Category Archives: Protección de Datos

03Abr/16

La visión legal del habeas data en latinoamerica y europa

La visión legal del habeas data en latinoamerica y europa

 

CAPITULO PRIMERO

  1. El HÁBEAS DATA EN ALGUNOS ESTADOS DE AMERICA LATINA

 

 

  1. ANOTACIONES PRELIMINARES

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

2.1.                  Ley de Protección de datos personales en la República  de Argentina

2.1.1.               Estructura formal de la Ley

2.1.2.               Comentarios sucintos a la Ley

 

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

2.2.1.               Estructura formal de la Ley

2.2.2.               Comentarios sucintos a la ley

2.3.                  La Ley de protección de los datos personales de la Provincia de Neuquen

2.3.1.               Estructura formal de la ley

2.3.2.               Breves comentarios a la ley

 

  1. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

3.1.                             Notas preliminares: “The right to privacy”

3.2.                  Estructura formal de la ley

3.3.                  Breves comentarios a la LPVP o PDP

 

  1. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

4.1.                  Estructura de la LTGP y HD

4.2.                  Breves comentarios de la ley

 

  1. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

5.1.                  Estructura de la LPDP_HDU

5.2.                  Breves comentarios a la LPDP_HDU de 2004

 

  1. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

6.1.                  Notas preliminares

6.2.      Estructura de la Ley nº 28237 o Código Procesal Constitucional del Perú

6.3.                  Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

 

 

 

 

 

 

 

CAPITULO PRIMERO

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS Y EN LAS TRANSPARENCIA Y ACCESO DE LA INFORMACION PÚBLICA, EN ALGUNOS ESTADOS DE AMERICA LATINA

         

  1. ANOTACIONES PRELIMINARES

 

Hoy por hoy, las normas de desarrollo y reglamentación del Hábeas Data en los Estados de Latinoamérica, previamente a haber sido éste elevado a rango constitucional ha sobrevenido en algunos casos inmerso en las Leyes de protección de los datos o informaciones personales, cuya norma modelo es la regulada por en el derecho continental europeo, especialmente en las leyes teutonas de la década de los setenta, en forma general y las leyes protectoras de los datos de España, en forma particular. En otros eventos, la ley origen para el desarrollo legislativo del Hábeas Data, son las leyes denominadas de “transparencia y acceso a la información pública”; y otras pocas eventualidades, se regula el Hábeas Data separado de las leyes de protección de datos como de las leyes de transparencia y acceso a la información pública.

 

En el presente ensayo jurídico, abordaremos ejemplos típicos de legislaciones del Hábeas data perteneciente a cada uno de estas subdivisiones de origen que hemos planteado. No sobra advertir que si bien la Constitucionalización del Hábeas Data en Latinoamérica comenzó a finales de la década de los ochenta, en algunos pocos casos (v.gr. Brasil) y principios  (v.gr. Colombia, Perú, Argentina y Ecuador) y finales de los noventa (v.gr. Bolivia y Venezuela; así como también principios del dos mil (v.gr. Panamá y Honduras),  el desarrollo y reglamentación legal de la institución jurídico constitucional de igual forma se ha dado en diferentes períodos de tiempo por variopintas razones que van desde las político-jurídicas (razones de seguridad de Estado y de las personas), pasando por la culturales, libertad de expresión, opinión y pensamiento hasta las de índole financiero, económico, comercial o bancario. Esas diferencias temporales en algunos casos han sido cortas desde la constitucionalización hasta la reglamentación de tipo legislativo, entre cinco y seis años (v.gr. caso Argentino); entre seis a diez años (v.gr. El caso de Brasil, Perú, Panamá, Uruguay, México y Honduras); y, de más de diez años (Casos en los cuales se tienen presentados varios proyectos de ley orgánica o estatutaria de Hábeas Data, pero que todavía no acaban de concretarse en leyes de cada Estado, v.gr. El Caso de Colombia, Ecuador, Bolivia, Venezuela; entre otros).

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

 

En la Argentina con una forma de Estado sui géneris: República Federal, existe normatividad general para la “nación”, como ordenamiento jurídico para las regiones y ciudad autónoma de Buenos Aires. En tal virtud, veremos a continuación la Ley General de Protección de datos para la República Argentina, y las Leyes especiales de protección de datos para la ciudad autónoma de Buenos Aires y para la Provincia del Neuquem.

 

2.1.      Ley de Protección de datos personales en la República  de Argentina

2.1.1.   Estructura formal de la Ley

 

La Ley 25.326 de Octubre 4 de 2000, que regula la protección de los datos personales en Argentina, tiene la siguiente estructura formal:

 

Capítulo I, relativo a las Disposiciones Generales, compuesto por un objetivo de la ley (artículo 1º); unas definiciones utilizadas en el contexto de la ley y eminentemente técnicas, pero aplicables al derecho informático, tales como: Datos personales, Datos sensibles, Tratamiento de Datos, responsable del archivo, Datos informatizados, Titular de los Datos, Usuario de los Datos, Disociación de los Datos (artículo 2º).

 

Capítulo II, referente a los Principios generales relativos a la protección de datos, que son los que guían y orientan todo el proceso informatizado de datos de la persona humana y caracterizan a la ley como una norma especial aplicable a las personas físicas o naturales. Estos principios son: a) Licitud del archivo de datos (artículo 3º); b) Calidad de los datos (artículo 4º); c) Consentimiento (artículo 5º); d) Información (artículo 6º); e) categoría de los datos (artículo 7º); f) Datos relativos a la Salud (artículo 8º); g) Seguridad de los datos (artículo 9º); h) Deber de confidencialidad (artículo 10º ); i) Cesión (artículo 11); j) Transferencia internacional (artículo 12).

 

Capítulo III, relativa a los Derechos de los titulares de datos, que no son otros que las facultades inherentes al Hábeas Data que denominamos administrativa y el consecuente Hábeas Data jurisdiccional en el que desemboca. En efecto, se menciona en principio el derecho a la información que tiene toda persona para consultar sus datos (artículo 13); el derecho de acceso de sus propios datos recabados en bancos de datos públicos o privados (artículo 14º); contenido de la información, la cual debe ser clara, accesible, amplia, no vinculante de terceros y podrá suministrarse por escrito, medios electrónicos, de imagen u otro idóneo (artículo 15º); Derecho de rectificación, actualización o supresión de los datos, como derecho trípode y alternativo de toda persona que se hace efectivo frente al incumplimiento de los organismos o responsables de los bancos de datos, a través de la “acción de protección de datos o de habeas data” (artículo 16º); excepciones al acceso, rectificación, actualización o supresión de datos, por protección de la defensa nacional, orden y seguridad públicos, o de protección de derechos o intereses de terceros (artículo 17º); Comisiones legislativas de seguridad Interior e Inteligencia del Congreso (artículo 18º); se  establece un principio adicional y concreto: el de gratuidad en las gestiones de rectificación, actualización o supresión de datos (artículo 19º); Impugnación de valoraciones personales contenidas en decisiones judiciales o actos administrativos, si revelan un perfil o personalidad del interesado (artículo 20º).

 

Capítulo IV, sobre los Usuarios y responsables de archivos, registros y bancos de datos. Relaciona la inscripción en el Registro de datos, ante el cual debe realizarse por parte de todo responsable de archivos, registros o bancos de datos públicos o privados (artículo 21º); Archivos, registros o bancos de datos públicos (artículo 22º); bancos de datos especiales de particulares con fines administrativos para la seguridad nacional o pública: fuerzas armadas, de seguridad, organismos policiales y de inteligencia (artículo 24º); prestación de servicios informatizados de datos personales por cuenta de terceros (artículo 25º); prestación de servicios de información crediticia (artículo 26º); Archivos, registros o bancos de datos con fines de publicidad (artículo 27º); Archivos, registros o bancos de datos relativos a encuestas. En las encuestas de opinión, mediciones y estadísticas se aplica la Ley 17.622 (artículo 28º);

 

Capítulo V, sobre el Control de los datos personales del concernido. Contiene normas referentes al órgano de control, sus facultades, deberes y derechos frente a los titulares, usuarios y responsables del procesamiento de datos. Es un órgano con autonomía funcional y actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. Se designará por cuatro años, por el ejecutivo (artículo 29º); Códigos de conducta para asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada (artículo 30º).

 

Capítulo VI, relativo a las Sanciones. Las sanciones administrativas son imponibles por el organismo de control, sin perjuicio de las penales o las de responsabilidad por daños y perjuicios derivados de la inobservancia de la ley (artículo 31º); Sanciones penales: se incorpora a la ley dos tipos penales al Código Penal Argentino (artículo 32º).

 

Capítulo VII, relativo a la Acción de protección de datos personales. Se relaciona la procedencia de la acción en dos casos: a) Para tomar conocimiento de los datos almacenados en bancos de datos públicos o privados; b) Cuando se presuma falsedad, inexactitud, desactualización, o durante el tratamiento de la información, para exigir la rectificación, supresión, confidencialidad o actualización (artículo 33º); legitimación activa de acción por parte del “afectado”, tutores o curadores o sucesores de las personas físicas directamente o por apoderado. La Legitimación de “personas ideales”, se hace por representante legal o apoderado. Coadyuva el Ministerio Público (artículo 34º); legitimación por pasiva. La acción se dirige contra los responsables y usuarios de los bancos de datos públicos y privados (artículo 35º); Competencia: Juez del domicilio del actor. La competencia federal, cuando se interponga en contra de archivos de datos públicos de organismos nacionales, o cuando los archivos de datos se encuentren interconectados interjurisdicciones, nacionales o internacionales (artículo 36º); Procedimiento aplicable a la acción de hábeas data, el del procedimiento de amparo común (artículo 37º); Requisitos de la demanda escrita (artículo 38º); Trámite: Admisión de la demanda, requerimiento a demandado, solicitud de informes, sí procede y resolución en 5 días (artículo 39º); Confidencialidad de la información, salvo en fuentes de información periodística y excepciones de ley (artículo 40º); contestación del informe: razones de su aceptación o negativa (artículo 41º); Ampliación de la demanda: 3 días (artículo 42º); Sentencia (artículo 43º); Ámbito de aplicación: De orden público y se aplica a todo el territorio nacional (artículo 44º); El ejecutivo reglamentará la ley (artículo 45º); Disposiciones transitorias (artículo 46º )

 

2.1.2.               Comentarios sucintos a la Ley

 

2.1.2.1.            Aspectos preliminares

 

Si bien la estructura de la norma especial argentina revela una cohesionada y bien intencionada ley de protección de los datos personales, dirigida a eliminar, restringir o minimizar la alta permeneabilidad que hoy por hoy, tienen los medios TIC y la informática en el pleno de derechos y libertades constitucionales y legales y especialmente del derecho a la intimidad, la imagen, el honor y la buena reputación. No es menos cierto, que dicha  estructura normativa como las finalidades, objetivo, principios, mecanismos administrativos y jurisdiccionales para protegerlos, así como las autoridades creadas para tales fines y loables propósitos no pertenecen a la cultura y experiencia jurídica argentina, pues como duramente lo sostiene Moeykens,  la ley nº 25.326 de noviembre de 2000, “no es mas que una triste copia mal efectuada de la vieja LORTAD española[1].

 

En efecto, la Ley de protección de datos argentina o de Hábeas Data para la época en que fue expedida debió el legislador, si esa era su técnica y estilo, apegarse al texto ya no de la LORTAD de 1992 que tantas críticas estructurales y de contenido había recibido en el derecho ibérico y en el comparado [2], sino a la nueva Ley de protección de datos personales de 1999  (L.O.15/99 o LOPDP) que corregía defectos de forma y fondo evidenciados por las varias demandas de constitucionalidad de personas, asociaciones o del propio defensor del pueblo español ante el Tribunal

 

_____________________

(1)        MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

(2)         Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.30 y ss.

__________________

Constitucional;  llenaba unos vacíos protuberantes sobre facultades efectivas de los titulares de derechos frente al tratamiento como al almacenamiento de datos, recabados, almacenados o comunicados (“transferidos” o “cedidos”) en bancos de datos (sinónimos de bases, archivos, registros o ficheros de datos); reestructuraba las vías previas y procesales del procedimiento originado en la acción de Hábeas Data; así como también reedificaba la aplicabilidad de la normatividad sobre protección de datos tanto los bancos de datos de titularidad pública como de titularidad privada, con las pertinentes excepciones para unos y otros; entre otros aspectos que brevemente analizaremos ut infra.

 

Ante este proceder del legislador argentino, podemos decir, que la Ley de protección de datos argentina (LPDA) de 2000, acusa los mismos defectos y falencias de la LORTAD de 1992, y por supuesto, lo más gravé que desconoció las actualizaciones que la LOPDE de 1999 de España debió transponer como obligación de Estado miembro de la UE y previstas en  las Directivas Europeas 95/46/CE y 97/66/CE.

 

Sin embargo y paradójicamente a nivel latinoamericano se pone a la vanguardia en legislación específica sobre la materia, pues acoge el modelo normativo europeo sobre protección de datos personales, al transliterar la LORTAD de 1992 al derecho argentino. Efectivamente la LORTAD recoge normativamente hablando, los lineamientos, objetivos, principios y normas procedimentales sobre protección de los datos personales contra los abusos del “poder informático” previstos en las normas aplicables a la Unión Europea, entre ellos, El Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981 y las recomendaciones de la OCDE de 1980, así como también de las normas alemanas y suizas de la década de los años setenta, sobre protección de datos personales.

 

2.1.2.2.            En relación al objeto y aplicabilidad de la ley

 

En relación al objeto de la ley, la LORTAD especificaba en el artículo 1º que ésta tenía por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. Con lo cual, el objeto resulta mucho más amplio que el propuesto por la Ley de protección de datos argentino. Objeto que fue parcialmente mutilado.

 

El Objeto de la nueva Ley orgánica de protección de datos española (LO.15/99), aclara de una buena vez, lo que en la LORTAD era objeto de interpretación y discusiones doctrinales y jurisprudenciales, vale decir que ésta sólo se dirige a proteger los derechos fundamentales de las personas naturales o físicas [3] “y especialmente de su honor e intimidad personal y familiar”, derechos personalísimos que se reputan del ser humano, pero no de las personas jurídicas, morales o “ideales”, como se denominan en el derecho argentino.

 

La LPDA de 2000, estipula en el inciso segundo del artículo 1º,  que la ley también será aplicable a las “personas de existencia ideal“, previendo que también existe una especie de derecho al honor y la intimidad de las personas jurídicas que eventualmente pudieran ser vulnerados por los abusos del “poder informático” o los tratamientos informatizados de los datos de aquellas. Precisamente para evitar esa discusión que se dio en el derecho ibérico y ahora la revive el derecho argentino, la nueva ley española de protección de datos enfatizó en la protección de derechos fundamentales de la persona humana. Quizá la jurisprudencia de la Corte Suprema Argentina, examine a fondo este aspecto y pueda declarar inconstitucional, la extensión de la ley a las personas ideales.

__________________

(3)        Ob., ut supra cit.

___________________

 

 

2.1.2.3.            En lo referente a las definiciones técnico-jurídicas de la ley

 

La LORTAD de 1992, tal como lo recoge la LPD argentina en el artículo 2º  y lo mantiene la LOPDP de 1999, en el artículo 3º,  se suministran unas definiciones técnico-jurídicas aplicables al tratamiento de datos personales y al mejor entendimiento del objeto y fines de la Ley de Protección de Datos. La principal diferencia entre la LPD de Argentina, es que considera dato personal, toda información concerniente a personas físicas e ideales, cuando la LORTAD de 1992 y la LOPDP española de 1999, solo consideran a los efectos de la ley, la información de las personas físicas.

 

El  término  “Archivo, registro, base o banco de datos“, como el conjunto organizado de  datos personales que son objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso que relaciona el artículo 2º, inciso 3º de la LPD argentina, resulta más amplio y comprensible que término “fichero automatizado [4]  que traía el artículo 3º, literal b, de la LORTAD, pues como observábamos en su momento el tratamiento de datos no sólo puede darse por medios electrónicos, informáticos o telemáticos, sino también por medios mecánicos, escritos o tradicionales. La LOPDP española, en el artículo 3º, literal b, corrigió dicho error y sólo mención al término “fichero” (del francés “fichiers”, sinónimo de banco o base de datos).

 

La LPD argentina en el artículo 2º, inciso 7º,  define el término “titular de los datos“, como toda persona física o persona de existencia ideal…cuyos datos sean objeto del tratamiento previsto en la ley. Esto en concordancia a lo dicho anteriormente que son sujetos destinatarios de la ley, no solo las personas físicas sino también las jurídicas.

 

La LORTAD de 1992, en su momento ya era criticada porque definía el solo el término “afectado”, como a  la Persona física titular de los datos que fueran objeto del tratamiento informatizado (electrónico o manual) previsto en dicha ley. Se cuestionaba la acepción negativa utilizado por la LORTAD para identificar al titular de algún derecho y por eso la LOPDP española adicionó a dicho término el calificativo de “o interesado“, para incluir el lado positivo del concepto de titular de los datos.

 

La LPD argentina en el artículo 2º, inciso 2º,  define una institución jurídica altamente permeable y de difícil concreción en una definición, como son los “datos sensibles”. Así lo entendió la LORTAD de 1992 y lo ratificó la LOPDP de 1999, las cuales prefirieron regular la institución sin nominarla expresamente en diferentes normas relativas a los niveles  potenciados de protección de ciertos datos especiales y en tal virtud, reglamentar lo relativo a la limitación, restricción o prohibición de aquellos, según la fase del tratamiento informatizado o no de los “datos especialmente protegidos” y como consecuencia ineludible de la aplicación del principio rector del tratamiento de datos, cual es el “consentimiento” de titular de los datos (“afectado o interesado”, según la LOPD).

 

La LPD Argentina definió los “datos sensibles”, como aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

______________________

(4)        La LORTAD de 1992, definía así: “Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso“.

__________________________

 

La Exposición de Motivos de la LORTAD de 1992, sobre el tema propuesto, manifestaba:

 

Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados “datos sensibles”, como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.

 

Los demás términos definidos por el artículo 2º de la LPDA de 2000, son de idéntica transliteración a los relacionados en la LORTAD de 1992.

 

 

2.1.2.4.            Los principios que orientan el tratamiento de datos

 

Los principios instituidos en toda ley o norma jurídica obedecen a la utilidad suprema que de estos se hace en el contexto de la norma y las finalidades que prestan para entender, interpretar o aplicar al caso concreto un inciso, artículo, capítulo o título de la ley. Estos principios sirven de guía y orientación al operador jurídico y por ello la denodada construcción del legislador al comienzo de cada norma jurídica.

 

Los principios o directrices interpretativas o integradoras de la protección de los datos personales en el derecho argentino se plasman en los artículos 3º a 12º de la Ley 25326 de 2000. Estos son: (i) licitud de las bases de datos, (ii) Calidad de los datos, (iii) consentimiento, (iv) Deber de información, (v) Categoría de datos, (vi) Datos relativos a la Salud, (vii) Seguridad de los datos, (viii) Deber de confidencialidad, (ix) Cesión, (x) Transferencia Internacional.

 

La LPD Argentina en estos temas  transcribe en su integridad y extensión lo previsto en los artículos 4 a 11º de La LORTAD de 1992. Sin embargo, existen algunas diferencias, particularmente sobre lo siguiente:

 

  1. a) La LPD individualiza el principio de la licitud de los “Archivos de datos” que la LORTAD lo incluye en el principio de la calidad de datos. La Ley Argentina, estima que tanto en la formación, como en el tratamiento y las finalidades las bases de datos no deben ser contrarios a la leyes o “a la moral pública“.

 

  1. b) Si bien el principio del consentimiento se establece como regla general en todo procedimiento o tratamiento de datos personales en la LPD Argentina, como en la LORTAD de 1992, en la primera se instituyen unas excepciones numerus clausus, en los que no se requiere dicho consentimiento, al punto que la LORTAD enfatizó en las excepciones relativas a las fuentes accesibles al público, cuando se recolecte información para el ejercicio de las funciones de las “Administraciones Públicas” y las que surgen en las relaciones laborales [ 5 ].

 

Por su parte, la LPD Argentina, manifiesta en el artículo 5º , numeral 2º , que no se requerirá el consentimiento del concernido cuando: (i) los datos se obtengan de fuentes de acceso irrestricto, (ii) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal, (iii) Se trate de listados cuyos datos se limitan a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio, (iv) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento, (v) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

 

El consentimiento en la LORTAD de 1992, según el numeral 3º del artículo 6º, podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos. Este derecho de capital importancia para el titular de los datos no fue previsto en la LPD Argentina.

 

  1. c) El deber de la confidencialidad prevista en el artículo 10º de la LPD Argentina, se diferencia tan solo en el nombre utilizado por el artículo 10º de la LORTAD de 1992, pues en ésta se denomina “Deber de secreto”. En cuanto al contenido son idénticos. Resulta una adición válida la hecha por la LPD Argentina, cuando estipula en el numeral 2º del artículo mencionado, que “el obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública“.

 

  1. d) La LPD Argentina de 2000, instituye como principio importante del tratamiento de datos personales, “la transferencia internacional” que por regla general esta prohibida, si los países u organismos internacionales no ofrecen niveles de protección adecuada (y agregamos, y niveles de seguridad tecnológica y jurídica pertinentes). Se exceptúa en los siguientes casos: (i) Colaboración judicial internacional; (ii) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se aplique un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables; (iii) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicables; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; y, (v) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

 

La LORTAD de 1992, le dedica a este tema el Título V, relativo al “Movimiento Internacional de datos“, y en el artículo 32, se establece la regla general de no podrán realizarse transferencias temporal ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o

____________________

(5)        El artículo 6º, numeral 2º de la LOPDP Española de 1999, amplia el listado en el cual no se requerirá el consentimiento del concernido,  (i) cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; (ii) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (iii) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley (Es decir, los datos de la salud para diagnóstico y prevención que afecte la vida del interesado); (iv) o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

_______________________

hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En cuanto a las excepciones a la regla, son de idéntico tenor a las previstas en el artículo 12º numeral 2º de la LPDA de 2000.

 

La LOPDP de 1999, acogiendo las críticas hechas a la LORTAD en su momento, reestructuró la norma y en el numeral 2º del artículo 33, agregó sobre el movimiento Internacional de Datos para estar acorde con las Directivas 95/46/CE y 97/66/CE, que el carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. Así mismo, aumento el listado de excepciones al previsto en la LORTAD de 1992 y que ut infra precisaremos.

 

2.1.2.5.            Los derechos de los titulares de los datos personales

 

La doctrina ha clasificado los derechos y deberes [6] de las personas frente a la recolección, el almacenamiento, el tratamiento propiamente dicho y la comunicación (“circulación” o “transferencia”) de datos, tal como lo confirma Tanús, al recoger un clasificación de Cifuentes de la siguiente manera: (i) Derecho oposición, (ii) derecho de información, (iii) Derecho de acceso, (iv) derecho de rectificación, cancelación o supresión; (v) Derecho de tutela, (vi) Derecho a la impugnación de valoraciones; y, (vii) Derecho de consulta. Y agregamos, el primero el derecho a conocer la información por parte del concernido, y el último en esta clasificación, el derecho a la oposición a la comunicación de los datos sensibles o a aquellos en donde no ha dado su consentimiento, siendo que éste se requiere expresamente.

 

Sin embargo, a efectos de nuestro ensayo nos referiremos a los derechos que aparecen en la ley. La LPDA, en los artículos 13 a 20, expresa que estos son: (i) Derecho a la Información, (ii) Derecho de acceso, (iii) Derecho de rectificación, actualización o supresión; y (iv) Derecho a la impugnación de valoraciones personales. Estos derechos son de idéntico tenor a los previstos en los artículos 12 a 17 de la LORTAD, con mínimas diferencias.

 

El Derecho a la información, es aquél que tiene toda persona para solicitar información al organismo de control (autónomo y descentralizado del ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, en el derecho argentino) relativa a la existencia de bancos de datos personales, sus finalidades y la identidad de sus responsabilidades. Igual contenido tiene el artículo 13 de la LORTAD de 1992. La diferencia estriba en que la información se ha de solicitar al Registro Nacional de Datos Personales dependiente de la Agencia de Protección de Datos española (APDE), que es el organismo de control general de datos en todo el territorio español

 

_______________________

(6)        Como deberes se establece: (i) Deber de secreto, (ii) Deber de inscripción, (iii)  Deber de información, (iv) Deber de seguridad, (v) Deber de velar por la calidad de datos, (vi) Deber de dar acceso a los datos, (vii) Deber de rectificación, cancelación y supresión, (viii) Deber de bloqueo, (ix) Deber de controlar la cesión de datos a terceros, (x) Deber de información al cesionario. Cfr. TANUS, Gustavo D. Protección de datos personales: principios, derechos, deberes y obligaciones.  En: http://www.protecciondedatos.com.ar

___________________________

 

 

La información que suministre (en forma escrita o por medios electrónicos, teléfono, telemedia o cualquier otro medio idóneo) el organismo competente argentino debe ser clara, exenta de codificaciones y fuera necesario   acompañada  de  una  explicación,  en lenguaje accesible a todos. Así mismo, la información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el interesado.

 

El Derecho de acceso de datos, lo tienen: (i) El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes; y (ii) El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

 

Vencido el plazo estipulado en el numeral (ii), sin que se satisfaga solicitud de información, o si se expidiera el informe, éste no es completo, quedará expedita la acción de protección de datos o de Hábeas Data. Esta acción es gratuita y se ejerce a intervalos no inferiores a  seis meses (12 meses en la LORTAD), salvo que se acredite un interés legítimo al efecto.

 

El derecho de rectificación, actualización, supresión (“cancelación” dice la LORTAD y así lo reconoce la doctrina argentina [ 7 ] ) y de confidencialidad  son aquellos derechos que tienen todas las personas, cuando sea concernidas con datos o informaciones que se hayan recabado, almacenados o administrados en bancos de datos de carácter público como de carácter privado. En tal virtud, el responsable o usuario del banco de datos, procederá a rectificar, actualizar, suprimir o conservar la confidencialidad de los datos personales del concernido, realizando las operaciones necesarias para conseguir dichos fines, dentro del plazo de cinco días hábiles a la recepción del reclamo o de detectado el error o la falsedad en los datos. Si se incumple éste término, habilita al titular de los datos para que ejerza la acción de protección de los datos o Hábeas Data.

 

En el evento de cesión o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.

 

La supresión de datos no procede cuando pudiera causar perjuicios a terceros, o cuando existiera una obligación legal de conservar los datos.

 

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que encuentra sometida a revisión.

 

______________________

(7)        El derecho de cancelación permite eliminar del archivo o base de datos a aquellos datos personales que, por diversas circunstancias, no deben figurar en el mismo. Es importante poner de manifiesto que el término “cancelación” debe ser entendido en forma amplia como la acción tendiente a hacer irreconocibles los datos archivados, ya sea anulando, destruyendo, borrando, tornando ilegibles o declarando su nulidad. La metodología empleada diferirá de acuerdo a las circunstancias. Demás está decir que existen casos en los que, por cuestiones de interés público, será imposible eliminar completamente una información. Prueba de ello es la excepción a la destrucción física de los datos que la ley contempla en artículos al referirse al mecanismo de bloqueo de datos.  Cfr. TANUS, Gustavo D. Protección de datos personales… Ob., ut supra cit.

_____________________

 

Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

 

La LPDA de 2000, establece unas excepciones al derecho de acceso y de rectificación, actualización y supresión, por parte de los responsables o usuarios de los datos personas, mediante “decisión fundada” (o mejor, motivada y notificada) en los siguientes casos: (i) Cuando se trate de la función de protección de la defensa de la Nación, del orden y la seguridad públicas, o de la protección de los derechos o intereses de terceros; (ii) Cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. El derecho de acceso se permitirá en el evento que el titular del dato lo requiera para su defensa.

 

El derecho a la impugnación de valoraciones personales consiste en la facultad que tiene toda persona para impugnar una decisión judicial o un acto administrativo, cuando estas impliquen apreciación o valoración de la conducta humana y a la cual sólo se llegue como y único fundamento sea el resultado de un tratamiento informatizado de datos personales y configure un banco de datos público o privado. Será nulas las decisiones o actos que contravengan este derecho.

 

Sobre el tema en particular, el artículo 12 de la LORTAD, fue transvasado por la LPDA de 2000, hasta el punto que sólo se hace referencia a los actos administrativos o “decisiones privadas”, las que pueden impetrarse por el titular de los datos mediante los recursos administrativos o particulares pertinentes, pero no de las “decisiones judiciales”, pues éstas tienen otro tratamiento e impugnación jurídicos dentro de cada proceso jurisdiccional y que por su puesto no será pertinente o idóneo el recurso administrativo o particular. Igualmente se transvasa la LORTAD, cuando determina que los actos que contravengan las disposiciones de la LPDA, artículo 20, serán “insanablemente nulos“, pues esto no esta previsto en la LORTAD y jurídicamente resultaría improcedente el declaratoria de nulidad de una decisión judicial en la que se haga una valoración del comportamiento de una persona (que no “conducta humana”, como dice el artículo 20) que suministre un “perfil o personalidad del interesado”.

 

En efecto, el artículo 12 de la LORTAD, sostiene: “El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad”. La LOPDP española de 1999, amplia los supuestos en los que pudiera valorarse el comportamiento de una persona y el efecto jurídico que podría dársele a éstas en el artículo 13, pero en ningún caso la declaratoria de nulidad por una autoridad que no sería la competente para hacerlo. El numeral 4º del artículo 13 sostiene: la valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

 

Bien sea por vía reglamentaria de la LPDA de 2000, o por vía de aplicación supletoria de la Ley de procedimiento Administrativa Argentina, el ejecutivo debería prever el procedimiento administrativo que se desata para ejercer los derechos de información, acceso y oposición, así como de rectificación, actualización y cancelación de los datos y  igual forma del derecho a impugnación de la valoración del comportamiento humano mediante un tratamiento de datos, pues hasta que esto no se clarifique el titular de estos derechos y la autoridad competente que debe conferir y decidir, si fuere presentado un derecho de petición en concreto, pueden proceder conforme a derecho.

 

El ejercicio de estos derechos ante el organismo de control de la protección de datos, bien podría instituir lo que llamamos el Hábeas Data administrativo, pues una vez agotado los trámites, procedimientos o términos procesales, podrá acudirse al Hábeas Data jurisdiccional, que en la LPD Argentina de 2000, se posibilita no por agotamiento previo de esas vías administrativas, sino por incumplimiento de las autoridades competentes del control a resolver en el término prefijado por la LPDA, o por el simple transcurso del tiempo, sin resolución alguna, es decir, por la configuración de una especie de silencio administrativo negativo de plazo brevísimo: (i) Diez (10) días para ejercer la acción de Hábeas Data, cuando no se hace efectivo el derecho de acceso a la información del titular de los datos; (ii) Cinco (5) días para ejercer el Hábeas Data, cuando no se hace efectivo el derecho de rectificación, actualización o cancelación de los datos.

 

2.1.2.6.            Sobre la prestación de servicios de solvencia patrimonial o crediticia

 

La LPDA de 2000, regula el tema de la “prestación de servicios de información crediticia” en el artículo 26 de parecida redacción al artículo 28 de la LORTAD y artículo 29 de la LOPDE de 1999, sobre la prestación de servicios de solvencia patrimonial o crediticia.

 

El  dato   financiero,   como   hemos  tenido  oportunidad  de decirlo  en  otro  de nuestros trabajos[8], se entiende aquella información concerniente a una persona determinada o determinable tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público, se puede decir genéricamente que el dato es financiero, pues según el diccionario el término financiero puede definirse como lo “perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles” [ 9 ], con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

 

Las Leyes de protección de datos española de 1992 y 1999, regulan esta clase especial de datos de la persona humana tan solo desde el ámbito privado, tal como lo confirma la ubicación de los artículos 28 y 29, respectivamente. En efecto, las normas hacen parte integrante del Título IV, relativo a la “Disposiciones Sectoriales”, Capítulo II, “Ficheros de titularidad privada“.  En cambio, la LPDA al no ubicar formalmente bajo un título o capítulo de la ley que determine qué clase de información financiera regula, deberá entenderse que lo hace en el ámbito privado y público, indistintamente, aunque los contenidos sigan siendo de la información financiera de carácter privado de la norma origen: la LORTAD.

 

La LPDA de 2000, expone en el artículo 26, que en la prestación de servicios de información crediticia sólo pueden tratarse los siguientes datos personales: (i) Los de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público (vale decir, los de dominio público, sin restricción o limitación alguna que no sea un pago por la contraprestación [10] ) o procedentes de informaciones facilitadas por el interesado o con su consentimiento; y, (ii) Los relativos al cumplimiento o incumplimiento de las obligaciones de carácter patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

___________________

(8)        RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

(9)        Ob., ut supra cit.

(10)       AA.VV. Microsoft® Encarta® 2007. © 1993-2006 Microsoft Corporation. Reservados todos los derechos.

_____________________

 

 

El tratamiento o procesamiento de estos datos financieros, en el derecho argentino deberán observar las siguientes reglas: (i) A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión; (ii)  Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económica financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación debiéndose hacer constar dicho hecho; y (iii) La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

 

Los datos personales de carácter privados recabados en los correspondientes bancos de datos, tanto en la legislación española de 1992  como en la legislación argentina de 2000, hacen énfasis en los realizados con fines de publicidad, los relativos a encuestas o investigaciones y los destinados a la prestación de servicios de información de solvencia patrimonial y crediticia. La LORTAD de 1992, incluía también los relativos a los abonados a los servicios de las telecomunicaciones y otros servicios prestados a la comunidad. Por su parte, la LOPD española de 1999, se ratifica los anteriores, reestructura los bancos de datos en los que se incluye información de acceso al público e incluye entre ellos, a los que figuren en el censo promocional, las listas de personas o grupos profesionales, los colegios profesionales, entre otros. Así como también los tratamientos con fines de publicidad y prospección comercial y censo promocional.

 

Sin embargo, es innegable que los asuntos que más nutren la jurisprudencia de la Corte Suprema de Justicia de la República argentina son los de índole financiero, especialmente en la labor crediticia de las entidades o instituciones bancarias privadas más que públicas, como tuvimos oportunidad de ponerlo en evidencia en el trabajo ut supra citado [ 11 ]. Todo por cuanto desde el nacimiento mismo de los proyectos de ley que trataban de regular el Hábeas Data como derecho y garantía constitucional previsto en las respectivas constituciones, el énfasis que se marcaba por la alta sensibilidad de los destinatarios de la información (usuarios, responsables de los bancos de datos  y con mayor razón el titular de los datos personales), consistía en la información financiera [12]. Aunque también hay que reconocer que en unos Estados Latinoamérica, más que en otros, se ha convertido en un obstáculo real a la hora de desarrollar y reglamentar legislativamente el Hábeas Data [13].

 

_____________________

(11)       Según el artículo 3º de la LOPD de España de 1999, para evitar confusiones terminológicas definió a las fuentes accesibles al público en el literal j), así: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación“.

(12)       RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

(13)       La historia legislativa  sur y centro americana cuando de la reglamentación del derecho y garantía constitucional del Hábeas Data se trata, ha mostrado la propensión a reglamentarlo haciendo énfasis en el dato financiero, fiscal, tributario, tarifario o de servicios públicos más que en cualquier otra arista del dato personal. Así se demuestra en los variopintos proyectos de ley orgánica o especial que en su momento los Estados de Argentina, Perú, Chile, Uruguay, Paraguay, excepto el Brasil cuya motivación e inspiración constitucional del Hábeas Data hunde sus raíces en el Constitucionalismo Portugués y en el ámbito de la seguridad e información ciudadana, los secretos de Estado y las actividades desbordantes, por decirlo menos, de la policía política, a juicio de DE ABREU DALLARI, Dalmo. En: RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

______________________

 

 

En Colombia por ejemplo, quizá el dato financiero haya sido la mayor piedra en el zapato, a la hora de expedir una Ley relativa a la reglamentación integral del Hábeas Data, aunque los diversos proyectos de ley de diferentes orígenes (parlamentario, gubernamental, defensoría del pueblo, entre otros), algunos no logren hacer el tránsito legislativo inicial, otros se queden en la etapa de control constitucional previo, por vicios de forma (por ser proyectos de ley estatutaria que tienen un procedimiento legislativo especial) y los últimos no logren el puntillazo legislativo final por errores o vicios de trámite legislativo, pero ninguno de ellos por estudio del contenido total o parcial. Esta labor la ha hecho la doctrina al develar los contenidos con muchas falencias, parcializados, descontextuados, con transliteraciones y mutilaciones de leyes extranjeras, o con exagerados énfasis de un solo tipo de dato personal: el financiero.

 

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

 

Mediante la Ley nº 1845, se reglamenta la protección de datos personales de la ciudad autónoma de Buenos Aires, la cual ha sido “vetada parcialmente” por el Decreto 1914 de 2006, de 29 de Diciembre.

 

2.2.1.   Estructura formal de la Ley

La estructura formal de la ley es la siguiente:

 

Título I, relativo a las “Disposiciones Generales“: El Objeto de la ley: la regulación del tratamiento informatizado de los datos de las personas físicas e “ideales” dentro de la ciudad de Buenos Aires (artículo 1º);  Ámbito de aplicación: Se extiende a los bancos de datos públicos de entidades y organismos nacionales y descentralizados presentes en la ciudad de Buenos Aires, bien pertenezcan  al poder ejecutivo, legislativo y judicial (artículo 2º); Definiciones de términos técnico jurídicos de: Datos personales, Datos sensibles, Archivos, Registros, Bases o Bancos de Datos, Tratamiento de datos, Titular de los datos, Responsable del Archivo, Registro, Base o Banco de Datos, Encargado del Tratamiento, Usuario de Datos, Fuentes de Acceso Público Irrestricto (artículo 3º)

 

Título II, referente al “Régimen de los Archivos, registros o bases o bancos de datos” Creación de archivos, registros, bases o bancos de datos, con fines y propósitos lícitos y socialmente aceptados (artículo 4º); Tratamiento de datos personales efectuados por terceros. Vetados incisos 1º y 2º  por del Decreto1914/05. El inciso 3º hace referencia a los contratos de prestación de servicios de tratamiento de datos personales deben contener niveles de seguridad exigidos por la ley (artículo 5º).

 

Título III, sobre los “Principios Generales de la protección de los datos personales”: (i) Calidad de los datos; (ii) consentimiento; (iii) Datos sensibles; (iv) Datos relativos a la salud; (v) Cesión de Datos; (vi) Transferencia interprovincial; (vii) Transferencia internacional, artículos 6º a 12º.

 

Título IV, relativo a “Los derechos de los titulares de los datos personales”, estos son: (i) Derecho de información; (ii) Derecho de acceso; (iii) Derecho de rectificación, actualización y supresión; (iv) Excepciones: Orden o Seguridad pública, derechos o intereses de terceros. Artículos 13º  a 15º.

 

Título V, referente a “Las obligaciones relacionadas con los datos personales asentados en archivos, registros o bancos de datos” Son: (i) confidencialidad; (ii) Seguridad; (iii) Obligaciones del responsable del banco de datos; (iv) obligaciones del encargado del tratamiento de datos; (v) Obligaciones del usuario de datos; (vi) valoraciones. Artículos 16º a 21º.

 

Título VI, concerniente al “Control”: El defensor del Pueblo (artículo 22) Funciones de registro de la Defensoría: (i) Incisos 1º, 2º y 13º  vetados por el decreto mentado; (ii) La demás vigentes (artículo 23). Conocimiento de los bancos de datos por toda persona (artículo 24º).

 

Titulo VII, concerniente a las “Infracciones”: infracciones administrativas que desconozcan los principios, obligaciones y derechos del tratamiento de datos personales por usuarios y responsables de los datos (artículo 25º).

 

Titulo VIII,  relativa a las “Sanciones”: (i) Responsabilidad de los responsables, usuarios o cesionarios de los bancos de datos del sector público de la ciudad de buenos Aires. (ii) Inmovilización de archivos, registros o bancos de datos. Artículos 26º y 27º

 

Titulo IX,  sobre la “Acción de Protección de Datos”: procede: (i) conocer los datos almacenados en bancos de datos del sector público en la ciudad de Buenos Aires; y (ii) En caso de infracción de la ley y la ley 25236, solicitar la rectificación, actualización, confidencialidad y supresión de datos. Exceptúan las fuentes periodísticas (Artículo 28º); Legitimación por activa: todo “afectado”, curador, tutor y sucesores de las personas físicas; las personas “ideales”, por representación legal o apoderado (artículo 29º); La legitimación por pasiva. Vetada por el decreto citado (artículo 30º); Jurisdicción y procedimiento aplicado (artículo 31º); Requisitos de la demanda (artículo 32º); Trámite (artículo 33º); confidencialidad de la información (artículo 34º); contestación del informe (artículo 35º); ampliación de la demanda (artículo 36º); Sentencia (artículo 37º).

 

Titulo X, concerniente a “Las disposiciones particulares”: (i) Prestación de servicios sobre solvencia patrimonial y crediticia; (ii) Privacidad laboral en el ámbito del sector público de la ciudad de Buenos Aires; (iii) Disposiciones transitorias.

 

2.2.2.   Comentarios sucintos a la ley

 

La Ciudad Autónoma de Buenos aires, reguló la protección de los datos en la Ley nº 1.845 de 2005 o LPD de CABA, siguiendo los parámetros y estructura de la Ley de protección de los datos de Argentina: Ley nº 25.326 de Octubre 4 de 2000. En tal virtud, los comentarios realizados a ésta ley son válidos para la presente. Sin embargo, se debe aclarar que la LPD de CABA, se expidió con el propósito claro de reglamentar el Hábeas Data solo en el sector público, tal como quedó plasmado en el objetivo y campo de aplicación de la ley (artículos 1º y 2º).

 

En efecto, la LPD de CABA, tiene por objeto y dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad Buenos Aires.

 

Cuando los datos se refieran a información pública y no a datos personales será de aplicación la ley 104 de la Ciudad de Buenos Aires, es decir, Ley nº 104 de 1998, relativa al acceso a la información pública, pues toda persona tiene derecho, de conformidad con  el principio de publicidad de los actos de gobierno, a solicitar y a recibir información completa, veraz, adecuada y oportuna, de cualquier órgano del estado presente en la ciudad de Buenos Aires.

 

A efectos de los comentarios de la presente ley nos referiremos a dos temas no tratados en la LPDA de 2000. Estos son: (i) El organismo de control previsto en la ley para la protección y garantía del Hábeas Data y los derechos fundamentales vinculados con éste; y (ii) Sanciones e Infracciones con motivo del tratamiento de datos.

 

2.2.2.1.            La Defensoría del Pueblo como organismo de control de la protección de datos

 

La Ley de Protección de datos personales de la ciudad Autónoma de Buenos Aires (LPD de CABA, designa como organismo de control de los datos personales a la Defensoría del Pueblo.

 

Según el artículo 137 de la Constitución de la Ciudad Autónoma de Buenos Aires, de 1º de Octubre de 1996, la Defensoría del Pueblo es uno de los organismos de Control de la ciudad autónoma de carácter unipersonal e independiente con autonomía funcional y autarquía financiera, que no recibe instrucciones de ninguna autoridad.

 

Es su misión la defensa, protección y promoción de los derechos humanos y demás derechos e intereses individuales, colectivos y difusos tutelados en la Constitución Nacional, las leyes y esta Constitución, frente a los actos, hechos u omisiones de la administración o de prestadores de servicios públicos.

 

Por su parte,  el artículo 22 de la LPD de CABA, al designar como organismo de control a la Defensoría del Pueblo le confiere unas atribuciones específicas sobre la protección de los datos personales, aparte de las funciones constitucionales previstas en el transcrito artículo.

 

Estas funciones  son: (i) Llevar un Registro de los archivos, registros, bases o bancos datos creados por el Sector Público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrán presentar sus reclamos, de conformidad con lo establecido en el art.4 inc.3 de la presente Ley; (ii) Garantizar el acceso gratuito al público de toda la información contenida en su Registro; (iii) Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las personas; (iv) Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y cumplimiento a los principios contenidos en la presente Ley; (v) Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen establecido por la presente Ley; (vi) Recibir denuncias; (vii) Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires; (viii) Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el archivo, registro, base o banco de datos; (ix) Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad de Buenos Aires; (x) Elaborar informes sobre los proyectos de Ley de la Ciudad de Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos personales; (xi) Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Ciudad de Buenos Aires; (xii) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

 

Por su parte, el Decreto 1914 de 29 de diciembre de 2006, vetó las siguientes funciones: (i) Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del Sector Público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley; (ii) Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así como demás extremos pertinentes; (iii) Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el Sector Público de la Ciudad de Buenos Aires.

 

Estas funciones vetadas a la Defensoría del pueblo corresponden a los incisos 2º, 3º y penúltimo del artículo 22 de la LPD de CABA. Las razones jurídico constitucionales que suministra el Decreto 1914 para el veto, estriban en explicar que la Defensoría del Pueblo si bien es un organismo de control (no ejecutivo ni reglamentario) que no pertenece a las tres ramas del poder público, tiene su autonomía funcional y autarquía financiera y no recibe de instrucciones de ninguna autoridad.   Además, se considera:

 

  1. a) Que la gestión de gobierno en general hace indispensable la utilización de herramientas registrales o de bases de datos conforme lo permite el desarrollo tecnológico alcanzado, por lo que buena parte del instrumental que utilizan los tres poderes de Gobierno se nutre de la generación de bases de datos que, compartiendo con el espíritu de la ley, necesariamente deben ser controladas para evitar un avance estatal sobre la privacidad y derechos que la Constitución de la Ciudad garantiza a las personas que habitan en nuestro territorio, independientemente de la protección que otorga la Constitución y Ley Nacional;

 

  1. b) Que no obstante lo expuesto, del análisis de los párrafos 2°, 3° y penúltimo del referido artículo se advierte que la norma ha conferido a la Defensoría del Pueblo de la Ciudad de Buenos Aires facultades propias del Poder Ejecutivo que exceden la natural esfera de control que debe ejercer el citado organismo, para incursionar en las correspondientes a la administración activa, relacionadas con la implementación y ejecución de las políticas gubernamentales;

 

  1. c) Que las estipulaciones del mismo, al otorgar facultades ejecutivas al órgano de control -la Defensoría del Pueblo de la Ciudad de Buenos Aires-, a través de la creación del Registro de Datos Personales que funcionaría en su órbita, devienen exorbitantes, toda vez que el referido registro concentra la capacidad de autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad; estableciendo los requisitos y procedimientos que deberán cumplimentar dichos archivos, registros, bases y bancos de datos personales, relativos al proceso de recolección de datos, diseño general del sistema, mecanismos de seguridad y control, etc.;

 

  1. d) Que en este aspecto, la ley que se analiza avanza sobre la competencia natural del órgano ejecutivo, al atribuir a la Defensoría del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la normativa reglamentaria, vulnerando de esta manera flagrantemente lo normado por el art. 102 de la Constitución de la Ciudad de Buenos Aires, que ha otorgado en forma expresa dicha atribución al Poder Ejecutivo;

 

  1. e) Que según surge del artículo referido el registro que se crea, no sólo determinaría eventualmente qué conformación técnica deberían tener los registros o bases de datos del sector público de la Ciudad, sino que además debería habilitar su funcionamiento;

 

  1. f) Que de no observarse el artículo 23 en los párrafos señalados, la Defensoría del Pueblo debería autorizar, sólo a modo de ejemplo el funcionamiento de las constancias de datos del Padrón de Contribuyentes y el Registro de Contribuyentes de la Dirección General de Rentas, las bases de prestatarios de servicios de taxis y remises; el Sistema de Seguimiento de Juicios de la Procuración General (SISEJ); las bases de permisionarios en cementerios; el Registro Único de Proveedores (RUP), todas las bases de datos del Registro Civil, el sistema único de mesa de entradas (SUME), etc.;

 

  1. g) Que ello implicaría supeditar todo el funcionamiento de la administración a la autorización de un órgano de control independiente, la Defensoría del Pueblo;

 

  1. h) Que si bien se comparte el espíritu de la ley sancionada, en cuanto al necesario control que debe instrumentarse en esta materia sobre la actividad administrativa del subsector estatal, e independientemente del poder de gobierno que esté a cargo de su implementación, corresponde señalar que tanto la actividad de reglamentación del sistema, como la de habilitación de los registros o bases, atribuida a un “Registro” creado en la órbita de la Defensoría del Pueblo, podría subvertir el orden constitucional.

 

Sin embargo, la Defensoría del Pueblo, a tenor del artículo 24 de la LPD de CABA, está habilitada, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales: (i) legalidad de la recolección o toma de información personal; (ii) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos; (iii) legalidad en la cesión propiamente dicha; y, (iv) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

 

Todo lo anterior,  por cuanto toda persona podrá conocer la existencia de archivos, registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los derechos del titular de los datos así como toda otra información registrada.

 

2.2.2.2.            Infracciones y Sanciones en el tratamiento de datos

 

A tenor del artículo 25 de la LPD de CABA, se consideran infracciones en el tratamiento de los datos personales, las siguientes de carácter administrativo:

 

1)         Realizar el tratamiento de datos desconociendo los principios rectores del tratamiento, ut supra analizados en la Ley de Protección de Datos Argentina, que son los mismos de la presente ley, artículos 6º a 12º .

 

2)         Incumplir las obligaciones de confidencialidad, seguridad, obligaciones del responsable del banco de datos, obligaciones del encargado del tratamiento de datos, obligaciones del usuario y valoraciones (artículos 16 a 21 de la ley)

 

3)         No proceder a solicitud del titular de los datos, o del Organismo de Control a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.

 

4)         Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al Organismo de Control en los supuestos, tiempo y forma que la misma estipula.

 

5)         Ceder datos personales en infracción a los requisitos que se establecen en el artículo 10º de la LPD de CABA.

6)         Crear archivos, registros, bases o bancos de datos, ponerlos en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en la LPD de CABA.

 

7)         No cumplimentar los demás extremos o requisitos que esta ley establece, así como aquellos que el organismo de control establezca en ejercicio de su competencia.

 

8)         Obstruir las funciones que la LPD de CABA, le reconocen al organismo de control.

 

9)         Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así como cualquier otro derecho de que sean titulares las personas físicas o de existencia ideal.

 

Estas sanciones, serán aplicadas de conformidad  con las condiciones y procedimientos que al efecto se establezca en la reglamentación a la LPD de CABA. Dichas infracciones  deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso.

 

Por su parte, el artículo 26 de la LPD de CABA, establece un régimen sancionador correctivo y preventivo de carácter administrativo, cuando se constituya una de las infracciones anteriormente enlistadas.

 

Como régimen general de responsabilidad se establece que los responsables, usuarios, encargados o cesionarios de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le reconoce a los ciudadanos serán considerados incursos en falta grave.

 

Consecuentemente, el régimen sancionatorio administrativo correspondiente deviene de la comisión de alguna de las infracciones tanto previstas en el LPD de CABA, como en las previstas en la Ley de Protección de Datos de Argentina (Ley 25.326). Esto sin perjuicios de las responsabilidades administrativas, por daños y perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera verificado la infracción: (i) La adopción de las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo, registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos personales; y (ii) La aplicación de las pertinentes sanciones administrativas a los responsables de la infracción individualizando al responsable, los hechos y los perjudicados.

 

Si el que comete la infracción a la LPD de CABA, es un tercero encargado de realizar tratamientos de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5º de la LPD de CABA [14], de acuerdo al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor, las sanciones establecidas por la Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones.

 

Finalmente, aclara la LPD de CABA, que cumplida la recomendación del Organismo de Control, el Poder Ejecutivo deberá abrir un sumario administrativo para determinar si existió o no una infracción a la presente ley y dicha conclusión deberá ser informada a la Defensoría del Pueblo.

 

En los eventos constitutivos de  infracción 5º  y 6º, anteriormente relacionados (sobre cesión de datos y creación de bases de datos sin requisitos legales), según el artículo 27 de LPD de CABA, el organismo de control podrá requerir al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la infracción, la cesación en la utilización o cesión ilícita de los datos personales y, en caso de corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los derechos de los titulares de datos afectados.

 

Esta inmovilización de bases de datos, técnica y jurídicamente constituye una especie de medida cautelar que podrá ser adoptada por el organismo de control del cual dependa jerárquicamente el administrador o responsable del banco de datos.

 

2.3.      La Ley de protección de los datos personales de la Provincia de Neuquen

 

Mediante la Ley nº 2.307 de 7 de Diciembre de 1999, se regula el “Régimen de la Acción de Hábeas Data” en la Provincia Argentina de Neuquen. Ley fue promulgada el 30 de Diciembre de 1999 y se publicó el 4 de febrero de 2000, fecha en la cual entró en vigencia

 

2.3.1.   Estructura formal de la ley

El Régimen jurídico de la Acción de Hábeas Data, como intitula la ley, se halla reglamentado a nivel provincial, haciendo énfasis en el objeto primordial de la ley, por el cual sostiene que la acción de hábeas data procederá cuando se requiera conocer los datos de una persona que consten en forma de registro, archivo o banco de datos de organismos públicos o privados destinados a proveer informes, como así también para conocer la finalidad a que se destina esa información, si ha sido comunicada a terceros, a quiénes y a qué efectos y para requerir su ratificación, actualización o cancelación.
Asimismo, procederá contra la inclusión de aquellos datos que tiendan a discriminar  a  las personas afectadas y para requerir su supresión, rectificación, confidencialidad o actuación. Y agrega finalmente, que en ningún caso podrá afectarse el secreto de las fuentes y el contenido de la información periodística (artículo 1º).

_________________________

(14)      Inciso 3º del artículo 5º de la LPD de CABA, sostiene:”Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad exigidos por la ley, así como también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley a los fines de evitar una disminución en el nivel de protección de los datos personales“. Por su parte los incisos 1º y 3º del Artículo 5º, fueron vetados por el Decreto 1914 de 2006, por idénticas razones jurídicas a las transcritas sobre las funciones de la Defensoría del Pueblo. Esos incisos sostenía: (i) Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento; y (ii) Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos.

__________________________

 

La ley utiliza una estructura normativa de intitulado  de normas, sin dividir o subdividirla en Libros, Títulos, Capítulos, como lo hacen las leyes de la República Argentina y la de Ciudad de Buenos Aires, sobre la protección de datos personales.

 

Están legitimados para ejercitar la acción de Hábeas Data, toda persona física o jurídica (artículo 2º), y es competente para conocerla todo Juez Civil del lugar donde se encuentre el banco de datos (artículo 3º), previa intimación al responsable del banco podrá accionarse ante el Juez (artículo 4º). El requirente estará asistido de asesores técnicos o jurídicos (artículo 5º), se entenderá silencio del requerido, si no contesta en el plazo de 5 días, si es persona privada, o 15 días si es persona pública (artículo 6º).

 

La acción se interpone dentro de los 60 días siguientes a la notificación de la negativa del responsable del banco de datos (artículo 7º). El trámite es el previsto en la ley y supletoriamente en el proceso “sumarísimo” del Código de procedimiento civil y comercial (artículo 8º). La demanda reúne unos requisitos formales mínimos (artículo 9º). A petición de parte o de oficio, pueden adoptarse medidas cautelares como la no publicación o cesión de datos a terceros, mientras se tramite el proceso (artículo 10º). Se puede ampliar la demanda en cualquier momento del proceso (artículo 11º). Se da traslado de la “acción” al demandado por 5 días (persona privada), o 10 días si es pública  par que conteste (artículo 12º). Se abre a prueba el asunto por un término prudente, sino es de puro derecho (artículo 13º).  Sin necesidad de alegatos previos, se produce la sentencia (artículo 14º). Se impondrá costas al vencido en el proceso (artículo 17º)

 

Dentro de los dos días hábiles de notificación de la sentencia o resolución de medidas cautelares se podrá interponer el recurso de apelación, según el C.P.C. y Co. (artículo 15º).

 

La acción de habeas data deja subsistente las demás acciones pertinentes que quepan en estos casos (artículo 16º). Está exenta de tributo alguno y de sellado (artículo 18º)

 

2.3.2.   Breves comentarios a la ley

 

El legislador provincial de Argentina haciendo uso de la reserva de ley para regular materias de ámbito nacional en todo aquello que no ha sido objeto de regulación integral, o mejor aún que no esté reglamentado en forma clara, amplia o pertinente, expidió la Ley 2307 de Diciembre 7 de 1999, relativa al régimen de la acción de Hábeas Data en la provincia de Neuquen.

 

Efectivamente el legislador provincial entiende que la parte sustantiva de la Ley nº 23.326 de 2000, de Protección de datos de Argentina es amplio, claro y suficiente, sobre todo en el campo de aplicación de la ley a los titulares, usuarios y responsables o administradores de los archivos, registros o bancos de datos personales tanto los de titularidad privada como los de titularidad pública. Así mismo, lo referente al objeto y finalidades de la ley, como también a la infaltable relación de definiciones o conceptos utilizados en el tratamiento de datos personales y para conseguir un mejor entendimiento del objeto y fines de ley especial sobre datos o informaciones de la persona humana. Definiciones cerradas, técnica y jurídicamente comprensibles sobre Datos personales, datos sensibles; Archivo, registro, base o banco de datos; tratamiento de datos, responsable del banco de datos, datos informatizados, titular de los datos, Usuario de los datos y disociación de datos.

 

Igualmente, entiende el legislador provincial que es materia omni-comprensible lo atinente a los principios generales que deben observar quienes son sujetos destinatarios de la ley en todo tratamiento o procesamiento de datos personales de carácter público o de carácter privado. Principios que permean no solo el tratamiento propiamente dicho de los datos personales, sino todas las fases del tratamiento de datos (recolección, selección, almacenamiento y comunicación [15]),  como sostuvimos en la segunda parte de este ensayo jurídico. Esos principios son: (i) Calidad de los datos, (ii) Consentimiento, (iii) Deber de ser informado, (iv) categorización de datos, (v) Datos relativos a la salud, (vi) Seguridad de Datos, (vii) Cesión de datos, (viii) Transferencia internacional de datos.

 

La ley provincial de Neuquen se dedica a puntualizar aspectos procedimentales de la protección de datos personales, pues desde su intitulado clara e inequívocamente hace relación al régimen de la Acción de Hábeas Data y comienza por exponer el objeto de aquella, al exponer que ésta solo cabe en dos oportunidades: (i) Cuando se trata de la aprehensión y conocimiento de los datos del concernido y almacenadas en los bancos de datos públicos o privados; y (ii) Cuando el concernido, ha conocido previamente que los datos o informaciones almacenadas en un banco de datos público son inexactas, faltas o no conformes al ordenamiento jurídico, podrá ejercitar las facultades del Hábeas Data de rectificación, actualización y supresión de los datos.

 

La ley procesal de Hábeas Data de Neuquen a partir del artículo 2º hasta el 19º, puntualiza aspectos procedimentales del proceso “sumarísimo” originado en la acción de Hábeas Data, más desde el punto de vista de los breves lapsos de tiempo de cada una de las etapas jurisdiccionales (Etapas normales de: La litis contestatio: demanda y contestación; etapa probatoria, y etapa de juzgamiento, y la etapa contingente de “medidas cautelares”) desarrolladas por el Juez civil del lugar donde se halle el banco de datos, que desde la reestructuración del proceso mismo, pues como lo sostiene la ley comentada, supletoriamente se aplica al proceso  de Hábeas Data, las reglas y etapas del proceso “sumarísimo” previsto en el Código Procesal Civil y Comercial argentino.

 

Los brevísimos términos jurídicos que se establecen para cada etapa procesal comulgan con el espíritu, objeto y finalidades de la ley sobre datos personales tratados o informatizados en bancos de carácter público y privado; así como la efectividad, agilidad y pertinencia de las facultades inherentes al Hábeas Data ejercitadas por el concernido con las informaciones o datos personales. Este avenimiento de términos procesales es concordante con la actividad jurisdiccional que preferentemente avoca el conocimiento de esta clase de procesos en el cual se le suministra un margen de discrecionalidad temporal para la determinación de la etapa probatoria, así como un compás de discrecionalidad funcional para adoptar o no medidas cautelares en el proceso.

 

Las medidas cautelares en todo proceso jurisdiccional o administrativo, como mecanismos procesales que persiguen garantizar la terminación efectiva del proceso mediante sentencia, así como tutelar preventiva y realmente los derechos del demandante o titular de unos derechos o intereses jurídicos pendientes de decisión definitiva, pueden ser adoptadas a instancia de parte o ex officio  por parte de la autoridad judicial o administrativa [16]. En el proceso originado por la acción de Hábeas Data, el juez dispone de la facultad discrecional de adoptar medidas cautelares en el proceso, si previamente no han sido solicitadas por el demandante o interesado. Al respecto, cabe exaltar la labor del legislador de Neuquen,   porque efectiva

__________________________

(15)       Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.266 y ss.

(16)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis doctoral, Universidad de Navarra, Pamplona (España), p. 430 y ss.

_______________________

y precautelativamente se tutela los derechos del concernido con los datos o  también demandante en el proceso de Hábeas data, porque a pesar de ser un proceso brevísimo en trámites y términos procesales, la instauración de medidas cautelares precave daños y perjuicios mayores, suspende los que se estuvieren produciendo en menor escala o mejor aún, evita que pudieran producirse si el proceso “sumarísimo” demore más de lo debido y por diferentes razones aún las no imputables a las partes o al juez.

 

El Juez, a instancia de parte o de oficio, una vez presentada la demanda y en cualquier estado del proceso, podrá decretar precautelarmente medidas de no innovar a efectos que el demandado se abstenga de realizar publicidad o cesión de los datos a terceros; así como también, si procede, disponer el secuestro de los elementos que contengan la información hasta la terminación del proceso. Estas medidas cautelares documentales materiales de publicitación, comunicación y aprehensión de datos o informaciones personales buscan garantizar cautelar y eficazmente los derechos del concernido o titular de los derechos sobre los datos recabados en bancos de datos públicos y privados mientras dura el proceso (pendentia litis) y hasta su terminación efectiva mediante sentencia.

 

La Sentencia pronunciada por el Juez, en esta clase de procesos, se expedirá dentro del plazo de cinco (5) días de permanencia del expediente en el despacho judicial. La sentencia que admita las pretensiones del demandante, “librará el respectivo mandamiento que dispondrá: (i) la expresión concreta del particular, sea persona física o jurídica, o de la autoridad estatal a quien se dirija y con respecto a cuyos registros, archivo banco de datos se ha concedido la acción, (ii) la determinación precisa de lo que debe o no hacerse; y (ii) el plazo para su cumplimiento, que no podrá excederse de cuarenta y ocho (48) horas.

 

Vale decir, que el Juez en principio, deberá declarar e identificar inequívocamente al legitimado por pasiva: el usuario o al responsable del banco de datos, bien sea público o privado; y también, al legitimado por activa que será toda persona titular de un derecho o interés jurídico sobre los datos o informaciones que a él le conciernen, a efectos de viabilidad, pertinencia y declaratoria de derechos en el proceso originado por la acción de Hábeas Data. Así mismo, determinará a manera de condena, las actividades de hacer y no hacer respecto de los datos personales cautelados, y finalmente, ordena el cumplimiento de la determinación activa u omisiva en un lapso brevísimo de 48 horas, por parte de la autoridad, entidad u organismo del Estado, o de la persona privada, según fuere procedente y de conformidad con la sentencia.

 

  1. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

 

3.1.      Notas preliminares: “The right to privacy

 

Mediante la Ley nº 19.628 de Agosto 28 de 1999, el legislador del Estado Chileno expidió la  “Ley sobre Protección de la vida privada o protección de datos de carácter personal[17], en la cual se desarrolla y reglamenta el Hábeas Data, con el propósito central de proteger y garantizar a todas las personas el derecho a la intimidad personal y familiar o en términos de la primera etapa de regulación normativa del derecho europeo insular y anglosajón: The right to privacy.  Derecho a la privacidad o vida privada que luego se trasladó a las leyes de protección de datos de la Europa continental, especialmente Francesa, Italiana, portuguesa y española. Sólo hasta la expedición de las Directivas Europeas de protección de los datos de carácter personal, Números 95/46/CE y 97/66/CE, se sustituyó el término de privacidad por el de derecho a la intimidad de las personas.

__________________________

(17)       Texto completo de la ley En: http://www.sernac.cl/leyes/

__________________________

En el derecho latinoamericano, aún hace tránsito en las diferentes legislaciones, incluida la Chilena el término ius civilista del derecho a la privacidad, como un derecho personalísimo de todo ser humano que hunde sus raíces históricas en el trabajo doctrinal de los juristas norteamericanos  Warren and Brandeis, quienes para estructurar The right to privacy, parten del análisis de uno de los fundamentales principios del Common Law, que sostiene: todo individuo debe gozar de total protección en su persona y en sus bienes. Así mismo, los juristas de la época se preguntaron si existía o no un principio common law que permita invocarse para amparar la privacy, y en tal virtud analizan estos aspectos: (i) La evolución de la concepción jurídica, efectos y alcances de los derechos a la vida, la libertad y la propiedad de todas las personas; (ii) La sentencia del Juez Cooley (1888), sobre el denominado derecho “a no ser molestado” –The right to be alone–, cuando se invaden “los sagrados recintos de la vida privada y hogareña”, con la toma de fotografías por parte de empresas periodísticas sin el consentimiento de los fotografiados; y (iii) El escrito de El Godkin, sobre “The rights of the cittizen: to his reputatation” de junio de 1890, en donde se evidencia el peligro de una invasión de la privacidad por parte de los periódicos de la época, sobre todo, cuando se hacía comentarios sobre la vida personal y familiar del ciudadano Warren en detrimento de su reputación, poniéndolo “en ridículo” ante la sociedad o violando en términos más recientes, “su intimidad legal”  [18].

 

Es clásica la distinción entre el término privacidad y el concepto intimidad, que salió a relucir en la Exposición de Motivos de la LORTAD de 1992 [19], más no en el contenido normativo de la misma, que siempre se refirió al derecho a la intimidad, tal como la Constitución Española de 1978, lo había hecho en su momento en el artículo 18-4. Hoy por hoy, la discusión es bizantina, pues el término privacidad ha quedado subsumido en una de las esferas más lejanas al núcleo del derecho a la intimidad.  En su momento, la doctrina ibérica dominante evidenció la distinción y su poca utilidad a los efectos de la protección y garantía de un derecho fundamental de la persona humana, como lo era la intimidad y dentro de la cual se hallaba la concepción civilista de la privacidad (entre otros: González Navarro, González Pérez, García de Enterría, Entrena Cuesta). La E.M., de la LORTAD sostenía en uno de sus apartes: “Nótese que se habla de la privacidad y no de la intimidad. Aquella es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona –el domicilio donde realiza su vida cotidiana, las comunicaciones en las que se expresa sus sentimientos, por ejemplo– , la privacidad constituye un conjunto, más amplio, más global, de facetas de la personalidad que aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado”.

 

La ley de protección de los datos chilena, haciendo eco a esa primera etapa del derecho europeo en las que surgimiento la mayoría de las leyes de ese tipo, recogió el término de la vida privada y la privacidad como eje fundamental de su protección y garantía, y quizá por ello es la única a nivel latinoamericano, hasta el momento que intituló su ley con ese sello inconfundible  de la protección a la vida privada, aunque en los actuales momentos debemos entender que se refiere al derecho a la intimidad, ya no solo personal sino también de carácter familiar, pues la evolución de la institución The privacy lleva más de un  siglo.

________________________

(18)        En nuestra tesis hacemos una evolución histórico-jurídica del derecho anglosajón The privacy hasta los actuales momentos, en los que se prefiere denominarlo derecho a la Intimidad y así ha sido constitucionalizado en la mayor parte de Constituciones americanas, europeas e incluso se comienza a denominarlo así en el derecho anglosajón contemporáneo. Cfr. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p 11-12

(19)      E.M. LORTAD de 1992. AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

____________________________

3.2.       Estructura formal de la ley

 

La Ley nº 19.628 de 28 de Agosto de 1998, “sobre protección a la vida privada o protección de los datos de carácter personal”, está dividida en Títulos y artículos; artículos extensos sin titulación alguna y algo confusos en el contenido y redacción para un iniciado en derecho informático. La estructura es la siguiente:

 

Un Título Preliminar, relativo a las Disposiciones Generales”, artículos 1º a 3º, en los cuales se describe el objeto, campo de aplicación,  algunas definiciones técnico-jurídicas de uso corriente en el contexto de la norma, tales como: (i) Almacenamiento de datos; (ii) Bloqueo de datos; (iii) Comunicación o transmisión de datos; (iv) Dato caduco; (v) Dato estadístico; (vi) Datos de carácter personal o datos personales; (viii) Datos sensibles, (ix) Eliminación o cancelación de datos; (x) Fuentes accesibles al público; (xi) Modificación de datos; (xii) Organismos públicos, las autoridades, órganos del Estado y organismos; (xiii) Procedimiento de disociación de datos; (xiv) Registro o banco de datos; (xv) Responsable del registro o banco de datos; (xvi) Titular de los datos; (xvii) Tratamiento de datos.

En el extenso titulo preliminar, también se hace referencia a la recolección de datos con objetivo de publicidad, censos promocionales o “sondeos de opinión pública”, los que se advierte serán obligatorios o facultativos previo información, comunicación o notificación a los encuestados, preguntados o consultados. Deja a salvo los derechos de los titulares de esos datos y su derecho a la oposición, tanto en recolección como en la comunicación de los mismos.

 

El Título I, concerniente a “la utilización de datos personales, se trata en los artículos 4º a 11º.  En estos se hace referencia al tratamiento y recolección de datos, al consentimiento por escrito requerido para ello, la revocabilidad de la autorización, la no exigencia del consentimiento para algunos tratamientos de datos (artículo 4º); requisitos para el tratamiento de datos a través de la comunicación o medios TIC (“Red electrónica”). No aplicabilidad a los datos accesibles al público (artículo 5º);  sobre la eliminación, cancelación y bloqueo de datos personales (artículo 6º); Deber de secreto de los responsables de los bancos de datos (artículo 7º); Tratamiento de datos por “mandato escrito”–memorial poder– (artículo 8º); Utilización de los datos para los fines previstos, salvo los de fuentes de acceso al público (artículo 9º); No son objeto de tratamiento los datos sensibles, salvo lo dispuesto en la ley o con el consentimiento del titular (artículo 10º); Diligencia de “cuidado” o conservación de los datos por los responsables de los bancos de datos (artículo 11º ).

 

El Título II, relativo alos derechos de los titulares de datos“, se desarrolla en los artículos 12º a 16º. Derecho a la información que tiene toda persona, así como el derecho a la “modificación”, si los datos son inexactos, erróneos, equívocos o incompletos. Así mismo a la eliminación, cancelación y bloqueo de datos (artículo 12º); Los anteriores derechos no pueden limitarse por acto o convención alguna (artículo 13º); derecho acceso al banco de datos administrado por diferentes organismos (artículo 14º); Excepciones a los derechos de información, acceso, eliminación o cancelación por tratarse de actividades fiscalizadoras del Estado, por seguridad o interés nacionales (artículo 15º); Acción y procedimiento de amparo ante las autoridades judiciales civiles competente, tras la negativa a contestar la petición de la información, la cancelación, el acceso o la eliminación de datos (artículo 16º).  

 

El Título III, concerniente a “la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial“, está contenido en los artículos 17 a 19. Deber de información de los responsables de los bancos de datos financieros a los usuarios o titulares, siempre que consten en títulos valores, documentos o contratos y éstos contengan obligaciones claras, expresas y exigibles (artículo 17º); No se podrá comunicar datos transcurridos 7 años después de haber sido exigible una obligación o 3 años después de haber ocurrido su pago o extinción por otro modo (artículo 18º); Caducidad de los datos (artículo 19º).

 

El Título IV, relativo altratamiento de datos por organismos públicos, se desarrolla en los artículos 20º al 22º.  El tratamiento de datos por organismos públicos se hace conforme a la ley y no requiere el consentimiento del particular (artículo 20º); No se podrán comunicar datos relativos a la condena por delitos, infracciones administrativas o faltas disciplinarias, salvo que estuviese prescrita la acción o la pena (artículo 21º); El Servicio de Registro Civil e Identificación llevará un registro de los bancos de datos personales a cargo de organismos públicos (artículo 22º).

 

El Título V, concerniente a “la responsabilidad por las infracciones a esta ley”. En el artículo 23, se reglamenta la responsabilidad por el daño moral y material devenida del indebido uso de los bancos de datos por parte de los destinatarios de la ley (usuarios y responsables de los bancos de datos), sin perjuicio de la responsabilidad administrativa, disciplinaria o penal a que hubiere lugar.

 

En las “Disposiciones Transitorias”, se aclara que: (i) Los titulares de los datos personales registrados en bancos de datos creados con anterioridad a la entrada en vigencia de la presente ley tendrán los derechos que ésta les confiere; y (ii) Las normas que regulan el Boletín de Informaciones Comerciales creado por el decreto supremo de Hacienda Nº 950, de 1928, seguirán aplicándose en todo lo que no sean contrarias a las disposiciones de esta ley.

 

3.3.      Breves comentarios a la LPVP o PDP

 

La ley “sobre Protección de la vida privada o protección de datos de carácter personal” de 1998 o LPVP o PDP Chilena, desde su intitulado no se matricula en una escuela, doctrina o modelo de ley relativa a la reglamentación del Hábeas Data. Ni siquiera esta denominación se halla presente en el contexto de la ley, como tampoco, y esto sí es paradójico, la expresión “vida privada”, “privacidad” o su homónimo contemporáneo: “La intimidad”, que el objeto de tutela jurídica según el intitulado de la ley no se halla en la parte normativa de la ley en forma expresa.

 

Por la deficiente redacción de la ley de protección de datos Chilena, no podemos encuadrarla en el modelo europeo continental o insular o propio latinoamericano, pues hay de todos un poco y nada exclusivamente de alguno de ellos. En momentos parecería seguir el modelo europeo continental, pues tiene elementos constitutivos de aquél, cuando acoge el sistema de definiciones técnico-jurídicas aplicables al tratamiento de datos, pero se aleja de éste, cuando no menciona en el título preliminar, los principios rectores de todo tratamiento (electrónico o manual) de datos personales, aunque en el contexto de las normas reiteradamente se refiere al “consentimiento” que lo asimila a la “autorización por escrito” dada por el titular de los datos; así como también, a la calidad de los datos, a la licitud, al secreto y la confidencialidad, a la categoría de datos (generales, especiales y sensibles), seguridad y comunicabilidad de los datos, entre otros, sin decir expresamente que son principios del tratamiento de datos, sino que implícitamente hacen parte de la redacción de la norma.

 

3.3.1.   Objeto de la LPVP o PDP

 

A tenor del artículo 1º de la LPVP o PDP Chilena de 1998, tendrá por objeto regular todo  tratamiento de datos de carácter personal  que se recaben “en registros o bancos de datos por  organismos públicos o por particulares“, se exceptúan aquellos “que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la  ley a que se refiere el artículo 19, Nº 12, de la Constitución Política” de 1980, es decir, aquellas referidas a la libertad de expresión o a la libertad de prensa, pues del contenido de la norma constitucional citada devela aquellas libertades inmersas dentro de las de emitir opiniones y la de información, al expresamente mencionar los derechos, deberes y responsabilidades de los diferentes medios de comunicación (radio, televisión, periódicos, revistas, etc.,)

 

En ejercicio de la LPVP o PDP Chilena, toda persona “puede efectuar el tratamiento de datos personales“, cuando la norma debería sostener que a través de todo tratamiento de datos se protege y garantiza “el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las  facultades que esta ley les reconoce“, pues el titular de los datos o informaciones personales en principio es el sujeto principal de la protección y garantía de sus derechos y libertades, y aunque éste también tenga deberes constitucionales y legales no solo para con el tratamiento de datos sino para el derecho de los demás, el no abuso de los derechos y libertades propias, el Estado tiene como finalidad primera la protección y garantía de los derechos fundamentales a toda persona, natural o jurídica, nacionales o extranjeros, residentes o transeúntes.

 

Aunque se ha hecho un común denominador de todas la leyes de protección de datos de carácter personal el que se manifieste que la norma se expide para restringir o limitar el abuso del “poder informático” utilizado por las nuevas tecnologías de la información y la comunicación (TIC) y la informática, de cara a proteger expresos derechos constitucionales como la Intimidad, la honra, el honor, la buena imagen, la voz, la buena reputación, etc., la LPVP o PDP Chilena, a pesar de exponer en su intitulado la protección genérica de la “vida privada”, en éste punto de objeto de la ley no se manifiesta ni sobre su único objetivo de tutela constitucional, ni menos sobre el común denominador de derechos protegidos por las leyes de datos personales. Quizá interpretando los términos: “el pleno ejercicio de los derechos fundamentales de los titulares de los datos” que trae la  LPVP o PDP Chilena que relaciona en la parte in fine del artículo 1º, que es de idéntico tenor al artículo 18-4 de la Constitución Española, podemos deducir, que genéricamente se halla protegida la vida privada y los demás derechos constitucionales mencionados. Por su parte, el artículo 19-4 de la Constitución Chilena de 1980, asegura la protección a toda persona de la “vida privada y pública”, lo cual ratifica que por vía de interpretación sistemática se entienden tutelados los derechos fundamentales de la persona humana incluida la “vida privada” en concepto de las normas chilenas.

 

Objeto de especial atención le dedica la LPVP o PDP Chilena, a la información recabada por medio de encuestas, “estudios de mercado o sondeo de opinión pública u otros instrumentos semejantes“, según el artículo 3º de la mencionada ley, pues dedica a éstas un reforzado cuadro de protección, al establecer por un lado, el derecho de toda persona involucrada en esta clase de tratamiento de datos personales  en la fase de recolección, a ser informado sobre el carácter obligatorio o facultativo de las respuestas; y por otro lado, deberá manifestarse inequívocamente, “el propósito para el cual se está solicitando la información“.  Y además, por si fuera poco, deberá: (i) omitir las señas que puedan permitir la identificación de las personas consultadas, cuando se comuniquen los resultados de los instrumentos de encuesta, estudio, sondeo o semejantes; y, (ii)  tener en cuenta que el  titular puede oponerse a la utilización de sus datos personales con fines de publicidad,  investigación de mercado o encuestas de opinión.

 

En el tratamiento de datos personales, la LPVP o PDP Chilena, establece como regla general el consentimiento de la persona para poder efectuarlo. Ese consentimiento o “autorización” deberá constar por escrito, aunque podrá ser revocado, sin efecto retroactivo o ex nunc, pero en todo caso la revocatoria también constará por escrito.

 

Por excepción, según el artículo 4º de la mencionada ley, no se requiere autorización para aquel tratamiento de datos personales, en los siguientes casos: (i)  cuando los datos que se recolecten provengan de fuentes accesibles al público; (ii) cuando sean de carácter económico, financiero, bancario o comercial; (iii) cuando se hallen en listas que sólo contengan la pertenencia de una persona a un grupo determinado, su profesión o actividad, sus títulos académicos, dirección o fecha de nacimiento; (iv) cuando sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios; (v) cuando “el tratamiento de datos personales que realicen personas jurídicas privadas para el, uso exclusivo suyo (sic), de sus asociados y de las entidades a que están (sic) afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos“.

 

3.3.2.   Demasiadas definiciones técnico-jurídicas del tratamiento de datos

 

Si bien es una constante las definiciones de términos técnico-jurídicos en las leyes de protección de datos o de Hábeas Data, tal como lo hemos comentados ut supra desde las legendarias leyes de protección de datos de Alemania y Suiza en la década de los años setenta del pasado siglo; entre otras razones, porque este tipo de leyes conjugan aspectos de las tecnologías de la información y la comunicación (TIC), la informática jurídica (telemática, telegestión, cibernética y electrónica) y concepciones jurídicas sustantivas y procedimentales; no es menos cierto que el legislador deba abusar de ellas en el número y extensión de conceptualización, como aparece en la LPVP o PDP Chilena de 1998.

 

Si el propósito primero  de las definiciones técnico-jurídicas de ésta clase de leyes, es aclarar la utilización y pertinencia de las mismas en el contexto de la ley, así como precisar conceptualmente cada una de las definiciones suministradas a fin de evitar confusiones, indebidas interpretaciones o equívocas aplicaciones por el operador jurídico de la norma, éstos propósitos de diluyen si se proporcionan demasiadas definiciones y de entre ellas pudiera presentarse colisiones conceptuales como parece suceder en la  LPVP o PDP Chilena.

 

En efecto, la ley mencionada define lo que se entiende por dato personal, dato sensible, dato caduco, dato estadístico.

 

El dato personal, universalmente se ha entendido como toda información de la persona humana identificada o individualizada, como identificable. Esta información sólo se predica de las personas físicas o naturales. Se infiere entonces, que el titular de los datos, es la persona natural o física y no es necesario definir como la hace la ley Chilena, al “titular de los datos“.

 

La regla general es la información o dato personal. Sin embargo existen, algunos datos sobre protegidos en la legislación mundial, porque afectan al núcleo esencial de la intimidad (o privacidad en términos de la Ley chilena), tales como el origen racial o étnico; tendencias políticas, religiosas, filosóficas, sindicales; circunstancias especiales de la salud, la vida sexual, entre otras, que se consideran como datos sensibles de la persona humana y por ello, los estados potencian los niveles de protección en estos casos, no permitiendo por ejemplo, la recolección y tratamiento posterior, libre del consentimiento del titular de los datos, o más aún está prohibido, aún con el consentimiento del titular. Como se observa aquí lo importante es definir que entendemos por consentimiento del titular, más que cuántos ejemplos podemos dar de datos denominados esenciales como se empeña en relacionar la Ley Chilena, pues existen legislaciones de protección de datos, como la española por ejemplo, donde el consentimiento se convierte no sólo en una simple definición, sino un principio rector del tratamiento de datos que lo ilumina y determina en todas sus fases. En la ley Chilena esta definición de consentimiento no aparece expresamente en el artículo 2º dedicado a las definiciones, pero si se utiliza en varios artículos de la Ley con el nombre de “autorización del titular”.

 

En cuanto al dato caduco, definido por la Ley Chilena como aquel “que ha perdido actualidad por disposición de la ley, por el cumplimiento de la  condición o la expiración del plazo señalado para su vigencia o, si no hubiere norma expresa, por el  cambio de los hechos o circunstancias que consigna“, es una construcción que se originó en la jurisprudencia del Tribunal Constitucional Español y que ha ido variando con el fortalecimiento de la jurisprudencia, que hoy considera que los datos no caducan sino que se transforman de positivos a negativos, o de éstos a neutros, con el simple transcurrir del tiempo.

 

De otra parte, caducan sólo las acciones o recursos procesales jurisdiccionales o administrativos por la no utilización de aquellos por su titular o por quien demuestre interés legítimo dentro de un término preestablecido por la ley. Por ello, no pueden caducar los datos o informaciones personales, porque estas per se son intemporales, el valor agregado que le damos de ser información positiva, negativa o neutra a nuestros intereses, tiene una connotación altamente subjetiva que puede fundarse en intereses financieros, políticos, sociales, culturales, científicos, etc., aunque en el ámbito de las leyes de protección de datos siempre se ha hecho énfasis en el valor agregado estrictamente financiero (económico, comercial, bancario, bursátil, etc.,), pues es en el ámbito donde más tiene aplicabilidad el concepto de “caducidad del dato” o “dato caduco”. Más aún, ni siquiera en éste solo ámbito del valor agregado, las legislaciones universales se han puesto de acuerdo en qué término exactamente se produce la caducidad del dato; unas mencionan 3, 5, 7 o 9 años después de cumplida una condición resolutoria determinada, del pago del crédito, de notificado el cumplimiento de la obligación, entre otras posibilidades de cumplimiento o incumplimiento de una obligación económico-jurídica.

 

En consecuencia, la definición del “dato caduco” al ser altamente cambiante en la doctrina y la jurisprudencia sobre el tema, no parece conveniente petrificarla, como se hace en el artículo 2º de la comentada ley.

 

Con el dato estadístico, definido por la LPVP o PDP Chilena, como “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser  asociado a un titular identificado o identificable”, resulta pleonástico e innecesario, pues como la mayoría de leyes de protección de datos del mundo, incluida la Ley Chilena, definen que debe entenderse como “procedimiento de disociación de datos” (“todo tratamiento de datos personales de manera que la  información que se obtenga no pueda asociarse a persona determinada o indeterminada“) de donde se infiere que el dato estadístico es un ejemplo de aplicabilidad de dicho procedimiento de disociación, con lo cual resulta intrascendente pronunciarse nuevamente cuando ya se ha definido en qué consiste la disociación de datos.

 

Resulta cuando menos, sorprendente que la Ley Chilena se esmere en definir el dato estadístico que constituye una excepción a la aplicación del principio rector del tratamiento de datos denominado del consentimiento de las personas y deje de lado la conceptualización del dato financiero, al cual le dedica el Título III y tres extensos artículos de la LPVP o PDP.  No solo sorprende  porque también el dato financiero está excluido del principio general del consentimiento o “autorización” del titular de los datos para el tratamiento de cualquier dato de carácter personal, como lo está el dato estadístico de menos valor agregado y de perfil más bajo, por ser un dato disociado, que el del dato financiero, que es un dato personal individualizado o individualizable, sino además porque sólo protege al dato financiero en la fase de comunicación (circulación, transferencia o cesión) de datos y no en la recolección, selección, almacenamiento y registro de datos, pues en esta no se requiere “autorización” expresa y escrita del titular de los datos.

Por otro lado, resultan innecesarias las definiciones de “organismos públicos”, entidades o instituciones del Estado, cuando no son términos técnico-jurídicos aplicables exclusivamente a la  LPVP o PDP Chilena y son de conocimiento y aplicación general al derecho chileno, más aún existe una norma de ámbito nacional que explica, la estructura, organización y funcionamiento del Estado en desarrollo y regulación de la Constitución sobre el tema, es la Ley Nº 18.575, “Orgánica Constitucional de Bases Generales de la Administración del Estado“, que explica con más amplitud y profundidad lo que debe entenderse por organismos públicos e instituciones, organismos o entidades del Estado, que una ley específica en datos personales que tiene otros objetivos y fines programáticos.

 

  1. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

 

La República de Panamá mediante la Ley 6º de 22 de Enero de 2002, expidió la ley que intitula: “normas para la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones” [20]. Con lo cual es la única ley en Latinoamérica que regula el fenómeno jurídico de Hábeas Data en una misma ley que incorpora dos derechos fundamentales autónomos como son, por un lado, el derecho a la información y la garantía constitucional de su acceso a cualquier medio mediante el cual se recabe, recolecte o almacene (electrónico, informático o manual o escrito); y por otro, el derecho y garantía constitucional de Hábeas Data. En varios países latinoamericanos como Argentina, Perú, Ecuador, Chile, Uruguay e incluso Colombia que prepara desde hace años su Ley de Hábeas Data, regulan los mencionados derechos constitucionales en estatutos jurídicos diferentes.

 

Veamos a continuación que ventajas y desventajas trae la regulación integral del derecho a la información y su garantizado acceso público y privado y el derecho de Hábeas Data.

 

4.1.      Estructura de la LTGP y HD

 

Ley nº 6 de 22 de enero de 2002, se estructura formalmente en Capítulos y artículos sin intitulados.

 

En el artículo 1º de la Ley para “la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones” de Panamá (o LTGP y HD), relaciona un amplio catálogo de definiciones jurídicas relativas al derecho de la información y sus derechos fundamentales conexos, pero omite hacer sobre las definiciones técnico-jurídicas aplicables al tratamiento de datos o informaciones personales o al conjunto de facultades inherentes al Hábeas Data, que según el intitulado es también objeto de protección y garantía jurídica de la ley, aunque por la omisión parecería más un tema que raya la ajenidad con la norma su inclusión.

 

En efecto, se  define el Código Ético, como el “conjunto de principios y normas de obligatorio cumplimiento, con recomendaciones que ayudan a los miembros de una organización a actuar correctamente”; el Derecho de Libertad de Información, como  aquel “que tiene cualquier persona de obtener información sobre asuntos en trámites, en curso, en archivos, en expedientes, documentos, registros, decisión administrativa o constancias de cualquier naturaleza en poder de las instituciones incluidas” en la LTGP y HD de Panamá.

 

Luego profundiza, sin a nuestro juicio necesario hacerlo, en las definiciones de “ética”, “información”, “información confidencial”, “información de acceso libre”, “información de acceso restringido”, “institución”, “persona”, “principio de acceso público”, “principio de publicidad”, “rendición de

______________________

(20)       Texto completo En: http://www.defensoriadelpueblo.gob.pa/

____________________

cuentas” y “transparencia”.  Definiciones todas que en una ley que regula el derecho de acceso y transparencia de la información públicas, sin el aditamento del Hábeas Data, es válido y hasta cierto punto explicable, pero igualmente en este punto, retórico.

 

En el Capítulo II, relativo a la  “Libertad y Acceso a la Información”, la LTGP y HD de Panamá, describe en los artículos 2º  a 7º, la titularidad, legitimidad, características, requisitos, autoridades y formas de acceso del derecho a la información que tiene toda persona, bien sea por escrito, en forma verbal o a través de los nuevos medios de información y comunicación electrónica o informática. Así mismo, explica como los funcionarios encargados de recepcionar las peticiones de información, están obligados a contestar por escrito en el término de treinta (30) días calendario.

 

En el Capítulo III,  concerniente a la “Obligación de Informar por Parte del Estado”, en los artículos 8º a 12º, se regula los deberes y las obligaciones de informar al público en general, y a los peticionarios en particular, por parte de las entidades, organismos y dependencias del Estado, en especial sobre Contratación Pública del Ministerio de Economía y Finanzas y de la Contraloría General de la República. Así mismo, se establece los mecanismos y canales de información entre los particulares y el Estado; los instrumentos de información tradicional, documental escrita o electrónica y la forma de entregar información por escrito, en formularios o  por vía Internet.

 

En el Capítulo IV, referente a la “Información Confidencial y de Acceso Restringido”, prevista en los artículos 13º  a 16º, la LTGP y HD de Panamá, relaciona la no revelación o divulgación (o “descubrimiento”, como se dice en el derecho anglosajón) de la información confidencial de las personas humanas que hacen parte tanto del núcleo “duro” o esencial de la intimidad, como las concernientes a la “vida privada” de las personas, a los asuntos penales, policivos, médicos, correspondencia escrita y electrónica y a las conversaciones telefónicas, entre muchas otras informaciones. En el caso de la información judicial, se establece la reserva salvo el caso del concernido y las partes que intervienen en éste.

La información de acceso restringido, es decir, “todo tipo de información en manos de agentes del Estado o de cualquier institución pública, cuya divulgación haya sido circunscrita únicamente a los funcionarios que la deban conocer en razón de sus atribuciones“, no podrá ser revelada por un período de diez (10) años, “contado a partir de su clasificación como tal, salvo que antes del cumplimiento del período de restricción dejen de existir las razones que justificaban su acceso restringido”.

 

Se relaciona como información de acceso restringido, la relativa a: (i) la seguridad del Estado; (ii) los secretos comerciales; (iii) la información sobre procesos realizados por el Ministerio Público, las fuerzas militares y de policía, la Dirección de Aduanas y la Contraloría General de la Nación; (iii) información sobre yacimientos mineros y petrolíferos; (iv) información documental diplomática; (v) procesos y documentos judiciales penales y policivos; (vi) documentos e información de la Presidencia, Vicepresidencia y “gabinete” ministerial; (vii) Transcripciones y documentos de la Asamblea Legislativa.

 

La negación de entrega de información de información de acceso restringido o reservada, deberá ser motivada y por escrito por parte de la entidad del Estado que así proceda [21].

_________________________

(21)        Que según el artículo 1º, numeral 5º , la conforma: “Todo tipo de información en manos de agentes del Estado o de cualquier institución pública que tenga relevancia con respecto a los datos médico y psicológicos de las personas, la vida íntima de los particulares, incluyendo sus asuntos familiares, actividades maritales u orientación sexual, su historial penal y policivo, su correspondencia y conversaciones telefónicas o aquellas mantenidas por cualquier otro medio audiovisual o electrónico, así como la información pertinente a los menores de edad. Para efectos de esta Ley, también se considera como confidencial la información contenida en los registros individuales o expedientes de personal o de recursos humanos de los funcionarios”.

__________________________

En el Capítulo V, concerniente a la “Acción de Hábeas Data” contenida en los artículos 17 a 19, La Ley panameña, describe la legitimación del Hábeas Data para toda persona natural o física, cuando solicita información a él concernida y se encuentren en “manos” de las entidades del Estado o sea tratadas o procesadas por éstas a través de mecanismos electrónicos y ésta información sea negada o insuficiente o inexactamente entregada. Así mismo, menciona a las autoridades judiciales competentes y el procedimiento constitucional de amparo específico o de Hábeas Data informativo. Finaliza, indicando que el proceso será sumario, sin formalidades y sin presencia de abogado y respecto a la sustanciación, impedimentos, notificaciones y apelaciones, se aplicarán las normas que para estas materias se regulan en el ejercicio de “la acción de Amparo de Garantías Constitucionales”.

 

En el Capítulo VI, relativo a las  “Sanciones y Responsabilidades Personales de los Funcionarios”,  previsto en los artículos 20º a 23º  describe la responsabilidad del funcionario judicial que desatiende “el recurso de Hábeas Data”, sancionándolo la primera vez con multa por desacato, y con destitución, sí reincide. El perjudicado con la negativa de información por Hábeas Data, podrá demandar civilmente al funcionario público por daños y perjuicios, sin perjuicio de las acciones penales o disciplinarias que quepan.

 

En el Capítulo VII, concerniente a la  “Participación Ciudadana en las Decisiones Administrativas y sus Modalidades, contenidas en los artículos 24º  y 25º, describen los mecanismos de participación ciudadana en las acciones y gestiones públicas de las entidades del Estados, especialmente en obras civiles, valorización, zonificación, tarifas y servicios públicos. Así mismo establece las modalidades tales como la consulta y audiencias públicas, foros, talleres y participación directa ante la Instituciones públicas. Por los contenidos del capítulo bien podría tratarse de una norma que quebranta el principio de “unidad legislativa y de materia“, pues si bien en la solicitud y entrega de información se requiere la participación efectiva de la ciudadanía, no necesariamente debería haberse legislado sobre éste tópico en forma como lo hizo la Ley de acceso a la información y Hábeas Data de Panamá, pues constituye un “mico legislativo“.

 

En el Capítulo VIII, relativo a la “Fiscalización del Cumplimiento por el Órgano Legislativo”, previsto en el artículo 26º,  la ley obliga a las entidades del Estado que anualmente incorporen en su memorias de informe al órgano legislativo, el número de peticiones de información resueltas y negadas, así como la listas de los actos administrativos en los que tuvo participación la ciudadanía.

 

En el Capítulo IX, concerniente al  “Código de Ética”, previsto en el artículo 27º, se establece la obligatoriedad de todas las entidades del estado, pertenecientes a cualquiera de las tres ramas del poder público, del nivel nacional, regional y local, para que en el término de seis (6), si ya no lo tienen, adopten un Código de Ética para el correcto ejercicio de la función pública que será publicada en la Gaceta Oficial.

 

En el Capítulo X, relativo a las “Disposiciones Finales”, previsto en los artículos 28º  y 29º,  establece la tabla de vigencia de la ley.

 

4.2.      Breves comentarios de la ley

 

4.2.1.   La acción o “recurso” de amparo específico de Hábeas Data

 

La LTGP y HD de Panamá en el Capítulo V, regula lo que inicialmente denomina “Acción de Hábeas Data“, pero que en el contenido normativo del capítulo cambia su denominación por  “recurso de Hábeas Data“.

Esta ley panameña, como se ha dicho antes hace énfasis en la regulación amplia del derecho de acceso a la información pública contenida en documentos escritos, tradicionales y electrónicos (archivos o bases de datos), por parte de cualquier persona concernida con ésta y tan solo cuando ésta información es negada o entregada insuficiente o inexactamente por parte de la entidad, organismo, institución o dependencia del Estado, perteneciente a una cualquiera de las tres ramas del poder público u organismos autónomos o semiautónomos, nace para el peticionario, el consultante o solicitante de información, la posibilidad de accionar o recurrir ante las entidades jurisdiccionales, en Hábeas Data, para hacer respetar y garantizar su derecho a la información en los términos que establece el ordenamiento jurídico vigente, a través de un procedimiento breve y sumario, sin formalidades mayores que las que establece la LTGP y HD de Panamá y sin necesidad de abogado.

 

Esto por cuanto, como lo explica el Presidente de la Asamblea Legislativa Panameña, la  “nueva ley es un instrumento moderno que reconoce el derecho de cada uno de ustedes a exigir la información que sea del caso, sin tener que dar justificación o explicación sobre esa petición, y en un plazo no mayor de 30 días que, salvo algunas situaciones específicas, podría extenderse sólo otros 30 días” [22]. Cuando la información que es el derecho privilegiado en el derecho panameño es desconocido o quebrantado por las organismos, entidades, autoridades o dependencias del Estado, toda persona tiene derecho a recurrir al Hábeas Data,  “que no es más que un mecanismo que tendría el ciudadano para “garantizar su derecho de acceso a la información”, cuando el servidor público titular “no le haya suministrado lo solicitado” o le haya entregado algo de manera “insuficiente o en forma incorrecta” [23].

 

Por su parte, a Presidenta del Gobierno Panameño [24], al comentar la LTGP y HD, reconocía la importancia de esta ley, en particular cuando crea “la acción jurisdiccional de Habeas Data mediante la cual, cualquier persona, podrá recurrir ante la justicia ordinaria y exigir el respeto a su derecho a ser informado de una actuación pública”,  de las gestiones y realizaciones públicas en contratación estatal, en servicios públicos, en actividades tributarias, de valorización, de tarifas e incluso de gestiones efectivas contra la corrupción y las actividades ilegales, todo ello en beneficio de la mayor transparencia del Gobierno y las entidades del Estado para con sus ciudadanos y personas que pudieran ser afectadas por acción, omisión o extralimitación de funciones públicas.

 

La acción o recurso de Hábeas Data  regulado en la LTGP y HD, se introdujo en el derecho público panameño, para proteger y garantizar primigéneamente el derecho de acceso a la información pública que tiene toda persona humana, pero también para garantizar de contera, “la imagen, la privacidad, el honor, el derecho a la autodeterminación de la información y libertad de información de una persona[25].

 

Como analizamos en la Parte Segunda de este ensayo jurídico, la Constitución Panameña con la reforma de 2004, resulta mucho más avanzada que la Ley que la reglamentó, pues los artículos 43 y 44 de la Constitución garantizan el derecho de acceso a la información tanto pública o de interés colectivo como de carácter privado siempre que repose en bases de datos o registros a cargo  de servidores públicos o de personas privadas que presten servicios públicos y que ese acceso no haya sido limitado por disposición escrita y por  mandato de la Ley, así como para exigir su tratamiento leal y rectificación.

___________________

(22)       Mensaje del Excelentísimo Señor Presidente de la Asamblea Legislativa, Rubén Arosemena, en torno a la Ley de Transparencia en la gestión Pública. En: http://www.defensoriadelpueblo.gob.pa/

(23)      En dirección electrónica, ut supra cit

(24)      La Sra. Presidente de Panamá en la época, Mireya Moscoso. En: http://www.defensoriadelpueblo.gob.pa/

(25)       Según el Colegio de Abogados de Panamá. En: http://www.defensoriadelpueblo.gob.pa/

_______________________

Pero además y en forma  integral y completa, la Constitución Panameña, confiere a toda persona el derecho de promover “acción de Hábeas Data”, en los siguientes casos: (i) con  miras a garantizar el derecho de acceso a su información personal recabada en  bancos de datos o registros oficiales o particulares, cuando estos últimos traten  de empresas que prestan un servicio al público o se dediquen a suministrar  información; (ii) para hacer valer el  derecho de acceso a la información pública o de acceso libre, de conformidad  con lo establecido en esta Constitución; y,  (iii) podrá solicitar que se corrija,  actualice, rectifique, suprima o se mantenga en confidencialidad la información o  datos que tengan carácter personal.

 

La reglamentación y desarrollo legal de los artículos 43 y 44 de la Constitución  en la LTGP y HD de Panamá, es parcial porque por un lado, sólo desarrolla el acceso a la información pública por toda persona; y por otro establece el mecanismo jurisdiccional del Hábeas Data con algunas reglas procesales mínimas propias y otras, que son las mayoritarias nacen en la remisión legislativa al “Código Judicial de Panamá”, libro IV, Titulo III, sobre “Amparo degarantías Constitucionales”, en lo que “respecta a la sustanciación, impedimentos, notificaciones y apelaciones”,  como lo dispone el artículo 19 de la LTGP y HD.

 

El legislador panameño, perdió la oportunidad de reglamentar en forma amplia, integral y verdaderamente efectiva el proceso sumario originado en la acción de Hábeas Data, tal como se había facultado por la reforma constitucional de 2004, en el inciso in fine del artículo 44 y procedió en su entender mejor a la labor remisoria que a la tarea de creación legislativa de un proceso breve, expedito y altamente garantísta de los derechos fundamentales ut supra mencionados. En tal virtud, el proceso constitucional originado en la acción de Hábeas Data actualmente es de naturaleza jurídica mixta, pues por un lado, la Constitución estableció que éste sería sumario y sin necesidad de apoderado judicial y que serían competentes los tribunales judiciales que determine la ley; y por otro, según la LTGP y HD, en cuanto a la sustanciación, impedimentos, notificaciones y apelaciones  del “proceso sumario”, se regirán por los artículos 2615 a 2632 del Código Judicial que regulan el proceso de amparo de garantías constitucionales.

 

El proceso de amparo específico de Hábeas Data en consecuencia tiene una naturaleza jurídica de tertium genus, porque se estructura inicialmente como un “proceso sumario” específico para el Hábeas Data, pero que se complementa por un proceso judicial apto para la protección y garantía de derechos fundamentales a través de instituciones jurídico-procesales aplicables al  proceso de amparo, cuyas características y peculiaridades en el derecho público panameño, como lo hemos observando al leer los artículos mencionados del  Código Judicial, no son prenda de garantía de la mayor eficacia, sumariedad, claridad normativa y más aún, de ser un instrumento jurisdiccional expedito para garantizar y proteger los derechos fundamentales de la persona sólo contra entidades u organismos del Estado [26], con el mínimo de formalidades procedimentales y sin necesidad de apoderado judicial.

 

________________________

(26)         Actualmente la acción de amparo  no procede contra los acciones, actos o decisiones de los particulares cuando desconozcan o quebranten el ordenamiento jurídico vigente, tal como sí es posible en el derecho comparado. El autor en su obra, señala como “en el Derecho Constitucional tradicional, se consideraba que los derechos y garantías que la Constitución consagra a favor de los habitantes de una nación se establecían como una protección a los mismos frente a posibles abusos del Estado. Es decir, se estimaba que sólo el Estado podía violar los derechos fundamentales de los particulares y por ello, nuestra Carta Magna, entre muchas otras del área, señala que el Amparo cabe contra órdenes de hacer o no hacer dictadas por funcionarios. Pero, en la actualidad, se ha hecho evidente que los particulares pueden también violar los derechos de otros particulares”. Y por eso cuestiona el actual sistema jurídico panameño que no permite elevar acciones de amparo frente a la actividad contraria al derecho realizada por parte de las entidades o personas particulares. En: BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

_________________________

Según una autorizada doctrina, “La acción de amparo de garantías constitucionales lejos de cumplir su función protectora de los derechos individuales, incumple su misión por la multiplicidad de presupuestos legales y jurisprudenciales que se le han incorporado y que han desnaturalizado su razón de ser, así como la voluntad del constituyente [27]. Se ha convertido en una “acción inaccesible” por parte de las personas que hacen uso de ella para tutelar sus derechos fundamentales y especialmente el de Hábeas Data que venimos comentando.

 

En efecto, como lo constata el abogado y docente universitario De León Batista, al respecto sostiene: “venimos observando que la mayoría de las acciones de amparo de garantías constitucionales ni siquiera las admite el tribunal competente de la causa por el hecho de que no cumplen una serie de formalidades o requisitos” [28].

 

En la Parte Segunda de este ensayo, analizamos brevemente los cuadros estadísticos relacionados por el tratadista Pérez Jaramillo [29], en los que demuestra que desde la entrada en vigencia de la LTGP y HD de Panamá hasta Mayo de 2003, se había rechazado sesenta (60)  acciones de Hábeas Data por parte de la Corte Suprema de Justicia, basado en diversos argumentos, casi todos de índole formal, pues a título de ejemplo, se rechazaron por: (i) Once, porque no demostró “el interés legítimo, es decir, no es persona interesada”; (ii) Nueve, no se “solicita información y solicita otra petición”; (iii) Cinco, porque la “autoridad ha respondido la solicitud, aunque el peticionario no lo considera así”; (iv) Cinco, porque “al interponer la acción de Hábeas Data no se presentaron originales sino copias y se omiten formalidades”; (v) Tres, porque “la autoridad alega no tener la información y dice que corresponde a otra entidad”; (vi) Tres, porque “el peticionario presentó Hábeas Data, antes de 30 días”; (vii) Tres, porque “la autoridad a la que se hace petición no es funcionario público, aunque labore para una empresa mixta”; (viii) Tres, porque la “información fue calificada de ´acceso restringido´.

 

Según el artículo 18 de la LTGP y HD, tienen competencia y jurisdicción para avocar y resolver acciones de Hábeas data de carácter público, de conformidad con el nivel de la entidad administrativa y del funcionario  titular o responsable del banco de datos, así: (i)  los Tribunales Superiores que conocen de la acción de Amparo de Garantías constitucionales, cuando el funcionario titular o responsable de registro, archivo o banco de datos, tenga mando y jurisdicción a nivel municipal o provincial; y (ii) El Pleno de la Corte Suprema de Justicia,  en el evento de que el titular o responsable del registro, archivo o banco de datos tenga mando y jurisdicción en dos o más provincias o en toda la República.

 

Vale decir entonces, que los órganos judiciales competentes  para conocer el proceso de amparo originado en la acción de Hábeas Data en  Panamá, son de naturaleza colegiada o plural, bien sea que el asunto se conozca a nivel local y regional, o bien se trate de asuntos interprovinciales o nacionales. Las autoridades judiciales individuales a nivel de jueces municipales, provinciales o de Circuito, entre otros, están ausentes de esta clase de procesos según la ley comentada. Sin embargo, se hace necesario un reglamentación urgente sobre este tópico, pues así la naturaleza del proceso sumario de amparo de derechos fundamentales que pretende ser expedito debería prever el conocimiento y resolución judicial por jueces

 

____________________

(27)       PORCELL D., Kenia I. El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I y II) Abogada Asistente Secretaría de Asuntos Legales, Procuraduría General de la Nación. En: http://www.ministeriopublico.gob.pa/

(28)      DE LEON BATISTA, Hernán. Amparo de garantías: ¿un recurso muy especial?. En: http://mensual.prensa.com/

(29)      PEREZ JARAMILLO, Rafael. El Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

______________________

individuales que están más cerca de la población y a los asuntos que aquejan a los ciudadanos o personas a quienes se les niega, desconoce, limita o restringe el derecho de acceso a la información, por ahora sólo pública.

 

  1. 5. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

 

La República del Uruguay  mediante  la Ley nº 17938 de Octubre 1º de 2004, reglamentó y desarrolló legislativamente el Hábeas Data para la protección de los datos personales de carácter financiero, constituyéndose así en una de las más recientes leyes suramericanas que enfatiza en el dato financiero, como una especie del género de datos de la persona humana.

 

5.1.      Estructura de la LPDP_HDU

 

La Ley nº 17938 de Octubre 1º de 2004 o “Ley de protección de datos personales para ser utilizados en informes comerciales y el Hábeas Data” del Uruguay (LPDP_HDU), está estructurada en títulos, capítulos y artículos que regulan los siguientes contenidos:

 

En el Título I, Capítulo I, relativo a la Protección de datos personales de informes comerciales”,  la LPDP_HDU, en los artículos 1º y 2º  regula objeto de la ley y sus excepciones. La ley tiene como objetivo reglamentar las fases del  tratamiento de datos personales (el registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración), cuando se hallen en archivos, bases de datos, u otros “medios similares autorizados” (se entenderá en escritos, documentos tradicionales, o “informes”), sean éstos públicos o privados, “destinados a brindar informes de carácter comercial“.

 

Por oposición, se exceptúan del anterior objeto, los siguientes datos o informaciones de la persona humana: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar; (ii) los relativos a encuestas, estudios de mercado o semejantes; y, (iii) los datos sensibles sobre la privacidad de las personas

 

En el Capítulo II, concerniente a losPrincipios Generales”, la ley uruguaya describe a espacio, en los artículos 3º a 7º los principios rectores que rigen al tratamiento de datos de las personas físicas y jurídicas, tales como: (i) De licitud de los datos; (ii) El consentimiento de los titulares, como regla, con sus excepciones numerus clausus o taxativas [30]; (iii) Proporcionalidad y finalidad de los datos; (iv) Utilización adecuada y proporcionada de datos; (v) Secreto o sigilo profesional de los datos.

 

En el Capítulo III,  concerniente  al  “Tratamiento de datos personales relativos a las obligaciones de carácter comercial”, previsto en los artículos 8º a 11º se precisa que el tratamiento de datos personales regulado en la LPDP_HDU abarca el cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permiten evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor sin consentimiento del titular.

________________________

(30)        Según el artículo 4º de la Ley nº 17.838, No requiere previo consentimiento el registro y posterior tratamiento de datos personales cuando: (i) Los datos provengan de fuentes públicas de información, tales como registros, archivos o publicaciones en medios masivos de comunicación; (ii) Sean recabados para el ejercicio de funciones o cometidos constitucional y legalmente regulados propios de las instituciones del Estado o en virtud de una obligación específica legal; (iv) Se trate de listados cuyos datos se limiten a nombres y apellidos, documento de identidad o registro único de contribuyente, nacionalidad, estado civil, nombre del cónyuge, régimen patrimonial del matrimonio; (v) fecha de nacimiento, domicilio y teléfono, ocupación o profesión y domicilio.

_________________________

El registro de los datos comerciales sólo podrá estar registrado en las bases de datos por el término de cinco años.

 

Cuando se cancele una obligación, el acreedor estará obligado a comunicarla al responsable del banco de datos en un plazo máximo de diez (10) días. El receptor de esta información tiene un plazo máximo de tres (3) días para actualizar la información.

 

En el  Título II,  referente al Hábeas Data y Órgano de Control”,  Capítulo I sobre el “Hábeas Data”, previsto en los artículos 12º  a 16º de la ley, se define la acción de Hábeas Data como un derecho ejercitable por toda persona física y jurídica y se describe su objeto así: (i) Tomar conocimiento de los datos personales de carácter comercial; (ii) Se averigua la finalidad y el uso dado a dichos datos; (iii) Si se trata de datos amparados por el secreto, el Juez “apreciará” el levantamiento del mismo según el caso y circunstancias; y (iv)  A la rectificación, actualización y la eliminación o supresión de los datos personales que le conciernan, cuando estando incluidos en bases de datos, éstos lo estén por error o falsedad en la información.

 

En el Capítulo II, relativo a la “Acción de protección de datos personales”, contenida en los artículo 17º a 19º,  se describe la titularidad de la acción para toda persona física o jurídica, los casos en los que puede impetrarse y las normas del proceso a seguirse: (i) normas del Código General del Proceso; y (ii) Normas especiales de la  LPDP_HDU y las previstas en la Ley nº 16.011 de 19 de diciembre de 1998, es decir, en la Ley de amparo uruguaya [31].

 

En tal virtud, la acción de Hábeas Data para la protección de datos financieros constituye adjetivamente hablando configura una acción de amparo específica que genera un proceso jurisdiccional de amparo especial, con formas y ritualismos generales previstos en el Código General del Proceso y con ritos especiales previstos en la Ley de amparo.

 

En el Capítulo III, concerniente a los “Órganos de Control”, describe en los artículos 20º a 21º, la competencia y jurisdicción del Ministerio de Economía y Finanzas del Uruguay, el cual está asesorado por una comisión consultiva compuesta por integrantes del Ministerio de Economía, del Ministerio de Educación y Cultura, La Cámara  Nacional de Comercio y la Liga de defensa Comercial. Además, se puntualiza las funciones y las diversas sanciones que puede aplicar a quienes incumplieren los predicamentos de la  LPDP_HDU. Sanciones que van desde el apercibimiento hasta la clausura de la base de datos.

 

En el Título III, referente a las “Disposiciones finales y transitorias”, previstas en los artículos 22º a 26º, se describe además de la tabla de vigencia de la ley, siguientes aclaraciones: (i) que la LPDP_HDU, no rige para los registros públicos y similares creados por leyes especiales; (ii) que los responsables de bancos de datos públicos y privados existentes tendrán un plazo de 90 días, a partir de la promulgación de la ley, para inscribir dichos bancos en el Registro General; (iii)  Igual término, tendrán los responsables de los bancos de datos, para actualizar la información y en el evento de los “datos caducos” para eliminarlos; (iv) Los acreedores de obligaciones ya canceladas dispondrán del término de 10 días hábiles para comunicar dicha

_________________________

(31)      A tenor del  artículo 1º de la Ley de Amparo, “Cualquier persona física o jurídica, pública o privada, podrá deducir la acción de amparo contra todo acto, omisión o hecho de las autoridades estatales o paraestatales, así como de particulares que en forma actual o inminente, a su juicio, lesione, restrinja, altere o amenace, con ilegitimidad manifiesta, cualquiera de sus derechos y libertades reconocidos expresa o implícitamente por la Constitución (artículo 72), con excepción de los casos en que proceda la interposición del recurso de “habeas corpus”. La Acción de amparo uruguaya es de carácter jurisdiccional y subsidiaria. Conocen de ella, los Jueces letrados de primera instancia de la materia que corresponda el acto, hecho u omisión impugnados y el lugar donde estos produzcan sus efectos. Es subsidiaria, porque sólo podrá interponerse cuando no existan otros medios judiciales o administrativos que permitan obtener el mismo resultado de ésta acción.

__________________________

 

eventualidad a los responsables de los bancos  de datos; y (v) El poder ejecutivo dispondrá de 180 días para reglamentar la ley.

 

5.2.      Breves comentarios a la LPDP_HDU de 2004

 

5.2.1.   Notas preliminares. En particular, el proyecto de Hábeas Data de 2002

 

Uruguay como la mayoría de países de América Latina, antes de expedir una norma sobre protección de datos personales, experimentó con una cantidad de proyectos de diferente origen y matriculados a diferentes escuelas normativas globales que regulan estas materias técnico-jurídicas. Los anteproyectos y proyectos que regulaban la protección de datos en forma genérica, o el derecho de Hábeas Data en forma específica, tenía como común denominador, desarrollar legislativamente conjuntamente con aquellos, el derecho al acceso a la información pública o de interés colectivo y la información privada. Todo por cuanto,  los datos de la persona humana tratados a través de las nuevas tecnologías de la información y la comunicación (TIC), la informática y el derecho público posibilitaban una nueva y específica reglamentación que más temprano que tarde debían abordar los Estados no sólo latinoamericanos sino del mundo.

 

Cierto es, como sostiene algún sector de la doctrina [32], que Uruguay era el único Estado del MERCOSUR que no había expresamente elevado a rango constitucional el Hábeas Data, pero eso no impedía que por vía de interpretación sistemática de la Constitución, toda persona  tenga derecho a solicitar tutela del Estado para la protección de los datos personales que le conciernen cuando se hallen recolectados, almacenados o comunicados en bancos de datos, por error, inexactitud, falsedad o cuando se hayan realizado sin el consentimiento del titular o sin  la” previa conformidad de los titulares”, como dijera más tarde el inciso in fine del artículo 2º de la LPDP_HDU.

 

Un proyecto de Hábeas Data, publicado en la Internet [33], deja ver cómo la intención del legislador uruguayo en el año 2002, era reglamentar la protección de los datos personales recabados en bases o bancos de datos tanto de carácter público, como de carácter privado, a la par con el derecho de acceso a la información y el derecho de petición en interés particular, en interés general, al igual que el derecho de petición de informaciones y de consulta de actos y contratos administrativos (o mejor “estatales”) de la administración nacional, regional y local. Esto último para ponerse a tono con los países vecinos del cono sur de América en lo relativo a leyes de transparencia en la gestión pública y la implantación de mecanismos idóneos contra la corrupción pública.

 

La regulación del derecho de acceso a la información, el derecho de petición y la protección de datos de carácter personal en el proyecto de 2002, era amplia, genérica y aplicable a toda clase de datos personales, salvo los del “núcleo duro” de la intimidad o privacidad que estaban exentos de tratamiento de datos o de tratamientos restringido con potenciación en la protección en algunas fases del tratamiento, como por ejemplo, la comunicación de datos, tal como existe en el derecho continental europeo y en particular en las normas de protección de datos española de 1992 y 1999.

 

______________________

(32)      DAPKEVICIUS, Rubén Flórez. Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

(33)       En: http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

_________________________

 

El  proyecto además, reglamentaba la acción de Hábeas Data en dos estadios de su existencia, como lo hemos sostenido ut supra en este ensayo jurídico; es decir, en el ámbito administrativo y en el jurisdiccional. Así se desprende de la lectura de los artículos 12º y 13º del proyecto citado cuando sostiene que “el peticionante” podrá ejercer la acciones de Hábeas Data en los siguientes casos: 1) Cuando hayan transcurrido quince días corridos a contar desde la resolución denegatoria de la información solicitada ; y, 2) Cuando se haya agotado el plazo a que se refiere el artículo 8 º ( es decir, “la petición que recibiere deberá expedirse en un plazo  máximo de cuarenta y cinco días hábiles de recibida la misma”) sin pronunciamiento de la autoridad requerida.

 

Una vez conocida por los interesados la información relacionada con  su persona y archivada por organismos estatales o personas públicas de derecho  privado, nacionales o departamentales, ya sea por resolución de los mismos o por  orden judicial, aquellos, si consideren que la información es errónea o su  recolección y archivo fuera ilegal, o la posesión o uso de la misma pueda causar  perjuicio, lo que harán saber a los organismos o personas antes indicados en  plazo que no podrá exceder los quince días hábiles a contar desde el siguiente al  de su conocimiento.

 

Y agregaba el inciso 2º del artículo 13º del proyecto que vencido el plazo sin contestación, o si ésta fuera negativa, los interesados podrán promover la acción de “Hábeas Data” con el fin de modificar o eliminar la  información errónea o ilegal, la que se interpondrá dentro de los plazos y se  sustanciará según las formalidades previstas en esta ley.

 

El legislador Uruguayo de 2004, finalmente se decidió por expedir una Ley de Protección de datos personales y Hábeas Data, con expreso énfasis en los datos de carácter financiero, aunque la norma alude al término comercial, como pasamos a ver.

 

5.2.2.   Ley de protección de datos de carácter financiero

 

La LPDP_HDU de 2004, es una típica ley que enfatiza en la protección de los datos financieros de la persona no sólo física o natural, sino de la persona moral, “ideal” o jurídica. Quizá por ello, en el ámbito latinoamericano es la primera de las últimas leyes dictadas con ese claro sabor económico, basado el legislador uruguayo, a buen seguro, en el fenómeno de la globalización de la economía, el tracto financiero público y privado cada vez más decisivo en la gestión y acciones estatales como las del ámbito particular individual o empresarial, así como en los crecientes, fructíferos y productivos negocios de capitales, bienes y servicios en los cuales están involucrados entidades públicas, privadas y mixtas del sector bancario, bursátil y crediticio y llueven –si nos permiten el término—obligaciones constantes en títulos valores, bonos del estado y dinero líquido.

 

Hoy en día, el pago de un medio de transporte, la compra de un inmueble o acción, la venta de un servicio hotelero, el pago y/o cobro  de un tributo, el pago y/o cobro de un servicio público doméstico o el crédito personal de tarjeta, son muestran inequívocas del impacto que actualmente tiene las acciones, gestiones o actividades financieras en la vida de las personas humanas y jurídicas, y como tal cada una de ellas genera una huella, un dato o una información que puede ser recolectada, seleccionada, almacenada, registrada o comunicada a través de un procedimiento o tratamiento de datos tradicional o escrito, o electrónico o informático.

 

Estos entronques de las finanzas públicas y privadas con las nuevas tecnologías de la información y la comunicación (TIC) y la informática (telegestión, telemática o electrónica), es lo que ha cautivado últimamente a los Estados del mundo, para expedir normas proteccionistas de derechos o libertades fundamentales que pudieren verse afectadas por el abuso, extralimitación o exageración del llamado “poder informático”. Uruguay en Suramérica es de los primeros países que quedó impactado por el fenómeno jurídico y las finanzas y por ello se decidió en legislar sobre ese entronque anotado, antes que por la protección genérica de los datos de la persona humana y jurídica no financieros. Más aún en la  LPDP_HDU esta clase de datos han quedado excluidos expresamente en el artículo 2º, cuando sostiene:

 

Quedan excluidos de la aplicación de la Ley, los siguientes datos: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar;  (ii) los relativos a encuestas, estudios de mercado o semejantes, los que se regularán por las leyes especiales que les conciernan y que al efecto se dicten; y (iii) los datos sensibles sobre la privacidad de las personas, entendiéndose por éstos, aquellos datos referentes al origen racial y étnico de las personas, así como sus preferencias políticas, convicciones religiosas, filosóficas o morales, afiliación sindical o información referente a su salud física o a su sexualidad y toda otra zona reservada a la libertad individual.

 

Aclara la Ley de 2004, que solo  será procedente recolectar y aplicar el tratamiento o procesamiento de datos en estas clase de datos no comerciales, cuando el titular lo consienta  en forma “expresa y previa”, luego que sean informados del “fin y alcance del registro en cuestión“. Esto porque obviamente son datos que pueden afectar el “núcleo duro” de la intimidad o los derechos fundamentales de la persona humana.

 

Con estas exclusiones y aclaraciones expresas de la Ley uruguaya de 2004, se entiende que el legislador postergó la tarea de reglamentación y desarrollo legal de la protección de datos personales no comerciales o financieros. Por ahora, se ha legislado sobre el tema de actualidad mundial: las finanzas públicas y privadas.

 

La LPDP_HDU de 2004, desde el intitulado y el contenido mismo de la norma, se marca la impronta de ser una ley reguladora de datos financieros, aunque se empecina en nominarlos como datos comerciales.

 

El dato financiero como anotábamos ut supra,  es aquélla información concerniente a una persona determinada o determinable que tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público. Genéricamente esto dato financiero, pues según el diccionario el término financiero puede definirse como lo perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles”, con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

 

En la Ley Uruguaya para que no quepa la duda de si se puede o no someter a tratamiento manual o electrónico los datos financieros de las personas humanas o jurídicas, determinó en el artículo 8º  que queda “expresamente autorizado el tratamiento de datos personales“, bien sea sobre el cumplimiento o el incumplimiento de obligaciones de carácter comercial o crediticia. Con lo cual legalmente se excluye el consentimiento de las personas concernidas con dicha información, que a partir de la Ley de datos financieros de 2004, pueden tratarse sin la “conformidad”, “autorización” o consentimiento escrito y expreso del concernido.

 

Esta apertura uruguaya al tratamiento de datos financieros, tiene como objetivos inmediatos el que las entidades financieras puedan recabar la información pertinente dentro de este mundo globalizado de la economía y la rapidez y efectividad de la información que se necesita en toda clase de actividades donde medie el capital, para evaluar la concentración de negocios en general, la conducta comercial (no la valoración subjetiva del titular de los datos) o la capacidad de pago del titular de los datos, siempre y cuando la información se obtenga de “fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor, aparte de las eventualidades que la regla general, sin el consentimiento del titular de los datos.

 

El dato financiero tiene unas características especiales en todas las fases del tratamiento o procesamiento de datos personales, aparte de las anotadas en la fase de recolección.

 

En la fase de registro de la información, el dato financiero tendrá un plazo de cinco (5) años, contados a partir de su incorporación a la base, fichero o banco de datos respectivo. Solo en el evento en que la obligación persista en el incumplimiento, el acreedor podrá solicitar válidamente al responsable del banco, treinta días antes del vencimiento del plazo inicial, la permanencia por otros cinco (5) años más improrrogables, según el artículo 9º de la  LPDP_HDU. Este plazo inicial y el de la prórroga generan la vigencia y la vida útil del dato, pues ningún dato o información deberá ser perenne, ni por tiempo indefinido.

 

Por esta razón, las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción, según lo dispone el inciso in fine del artículo 9º.

 

Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de diez días hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos correspondiente.

 

Una vez recibida la comunicación por el responsable, éste dispondrá de un plazo máximo de tres días hábiles para proceder a la actualización del dato, asentando su nueva situación.

 

  1. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

 

6.1.      Notas preliminares

 

El lunes 31 de Mayo de 2004, con demasiados bombos y platillos el Estado Peruano, estrenó la única norma en su género en el ámbito Latinoamericano, conocida como “Código Procesal Constitucional”, el cual compila sistemática y coherentemente los procedimientos constitucionales generados por las acciones de Hábeas Corpus, Amparo, Hábeas Data y de cumplimiento; así como también las acciones de inconstitucionalidad y acciones populares. De igual forma, la jurisdicción y competencia, reglas generales y especiales que las autoridades judiciales deben observar al avocar, desarrollar y resolver los procedimientos correspondientes.

 

La Ley nº 28237 de 2004, tuvo origen en diferentes motivaciones de tipo doctrinal, jurisprudencial e incluso legislativo, sobre las cuales los juristas peruanos han escrito obras jurídicas de relevancia. En nuestro criterio, el Código Procesal Constitucional peruano o CPCP, tiene inequívocas finalidades de concentración temática al compilar instrumentos adjetivos idóneos para proteger y garantizar derechos fundamentales, así mismo objetivos normativos de unidad jurídica de acciones, recursos o instrumentos procesales diferentes en su origen, pero homologables o equiparables a través de un mismo hilo procedimental o iter procesalis genérico que admite peculiaridades o reglas especiales para todas o cada una de las instituciones que no pierden su autonomía y diferencia. Esta nueva técnica legislativa de compilación de instituciones jurídicas diferentes en su origen pero equiparables en sus procedimientos es loable, práctica, altamente eficiente para el operador jurídico y relevantemente pedagógico para el titular de un derecho o interés legítimo que lo estime amenazado, vulnerado, limitado o restringido por un acto, hecho u omisión de una autoridad, entidad u organismo del Estado o por los particulares con funciones o servicios públicos, por excepción.

 

Como es apenas obvio, el CPCP de 2004, reglamenta y desarrolla la garantía y acción constitucional de Hábeas Data, en el ámbito estrictamente procedimental. Por ello, para analizar la institución jurídica del Hábeas Data en forma integral, hay que recurrir a la Ley de Transparencia y Acceso a la información Pública peruana (LT y AIP) o Ley nº 27806 de 13 de Julio de 2002, la cual tiene por finalidad además de promover la transparencia de los actos, contratos, gestiones y acciones del Estado, la encomiable labor de reglamentar el derecho fundamental de acceso a la información consagrada en el numeral 5º  del artículo 2º de la Constitución Peruana, es decir, el derecho de toda persona a solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

 

En efecto, la LT y AIP de 2002 [34], regula la parte sustantiva del Hábeas Data, pues allí el legislador peruano regula el derecho fundamental de información en general y en particular sobre la información de acceso público [35], la legitimación por activa y por pasiva de la información, las autoridades o entidades del Estado obligadas a dar cumplimiento al acceso a la información pública, los principios rectores de la información veraz, oportuna, lícita, clara, exacta que deben entregar las entidades estatales y a su vez, recibirla los titulares o concernidos con la misma; el régimen de sanciones y responsabilidades que asumen titulares, usuarios y administradores de la información;  los extensísimos y quizá cuestionables regímenes excepcionales al acceso a la información pública, cuando ésta se considera “secreta”, “reservada” y  “confidencial”; la regulación amplia y pormenorizada de la información de las finanzas, el régimen fiscal y presupuestal del Estado; entre muchas otras aristas del derecho a la información.

 

La LT y AIP posibilita el ejercicio de la acción de Hábeas Data, solo cuando se ha agotado el no fácil y expedito  “procedimiento” común o administrativo de acceso a la información pública.

 

En efecto, el artículo 11º de la mentada ley, sostiene que el acceso a la información pública está sujeta al siguiente procedimiento: (i) Toda solicitud de información debe ser dirigida al funcionario designado por la  entidad de la Administración Pública para realizar esta labor. En caso de que  éste no hubiera sido designado, la solicitud se dirige al funcionario que tiene en  su poder la información requerida o al superior inmediato; (ii)  La entidad de la Administración Pública a la cual se haya presentado la  solicitud de información deberá otorgarla en un plazo no mayor de siete (7)  días útiles; plazo que se podrá prorrogar en forma excepcional por cinco (5)  días útiles adicionales, de mediar circunstancias que hagan inusualmente difícil  reunir la información solicitada. En este caso, la entidad deberá comunicar por  escrito, antes del vencimiento del primer plazo, las razones por las que hará uso  de tal prórroga, de no hacerlo se considera denegado el pedido. En el supuesto de que la entidad de la Administración Pública no posea la  información solicitada y de conocer su ubicación y destino, esta circunstancia deberá ser puesta en conocimiento del solicitante; (iii) La denegatoria

___________________

(34)       Texto completo de la norma En: http://www.pcm.gob.pe/Transparencia/

(35)      El Artículo 10 de la LT y AIP, considera la Información de acceso público, aquella que las entidades de la Administración Pública tienen la obligación de proveer la  información requerida si se refiere a la contenida en documentos escritos, fotografías,  grabaciones, soporte magnético o digital, o en cualquier otro formato, siempre que haya sido  creada u obtenida por ella o que se encuentre en su posesión o bajo su control. Agrega, el inciso 2º Asimismo, para los efectos de esta Ley, se considera como información pública  cualquier tipo de documentación financiada por el presupuesto público que sirva de base a  una decisión de naturaleza administrativa, así como las actas de reuniones oficiales.

___________________

al acceso a la información se sujeta a lo dispuesto en el segundo párrafo del artículo 13º de la presente Ley; (iv)  De no mediar respuesta en los plazos previstos en el inciso b), el solicitante  puede considerar denegado su pedido; (v)  En los casos señalados en los incisos c) y d) del presente artículo, el solicitante  puede considerar denegado su pedido para los efectos de dar por agotada la vía  administrativa, salvo que la solicitud haya sido cursada a un órgano sometido a  superior jerarquía, en cuyo caso deberá interponer el recurso de apelación para  agotarla; (vi)  Si la apelación se resuelve en sentido negativo, o la entidad correspondiente no  se pronuncia en un plazo de diez (10) días útiles de presentado el recurso, el  solicitante podrá dar por agotada la vía administrativa; (vii)  Agotada la vía administrativa, el solicitante que no obtuvo la información  requerida podrá optar por iniciar el proceso contencioso administrativo, de  conformidad con lo señalado en la Ley Nº 27584 u optar por el proceso  constitucional del Hábeas Data, de acuerdo a lo señalado por la Ley Nº 26301.

 

Por ahora nos dedicaremos al estudio del proceso constitucional originado en la acción de Hábeas Data, o dicho de otro modo, a la visión jurisdiccional o procedimental del Hábeas Data.

 

6.2.      Estructura de la Ley 28237 o Código Procesal Constitucional del Perú

 

Si bien vamos a relacionar la estructura general del CPCP de 2004, eso no obsta que hagamos énfasis en aquellos apartes referidos a la acción o “proceso constitucional” de Hábeas Data, que es el objeto general de nuestro ensayo jurídico.

 

El CPCP tiene una estructura de extenso Codex y está dividió en Títulos, Capítulos, Artículos, numerales, literales y parágrafos. Contiene un Título preliminar y trece Títulos, y por su puesto disposiciones transitorias y tabla de vigencia.

 

El Título Preliminar en los artículos I a IX, regula el alcance, fines y principios de los procesos constitucionales; los órganos del poder judicial competentes; el entendimiento que debe darse a la interpretación constitucional y el control difuso; la sentencia del Tribunal constitucional como precedente en el derecho público peruano y la aplicación supletoria de los Códigos procesales de la materia objeto del cuestionamiento constitucional.

 

En el Título I, relativo a lasDisposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento”, en el artículo 1º al 24, hace referencia a la finalidad, procedencia frente a actos basados en normas o respecto de resoluciones judiciales, las causales de improcedencia, la cosa juzgada, la representación procesal del Estado, la responsabilidad del agresor, la ausencia de etapa probatoria, las excepciones y defensas previas, la integración decisiones, el turno, la tramitación preferente, notificaciones,  medidas cautelares, extinción de la medida cautelar, sentencia, recursos de agravio constitucional y de queja, el pronunciamiento del Tribunal Constitucional, la incorporación de medios probatorios sobre hechos nuevos al proceso, actuación de sentencias, procedencia durante los regímenes de excepción y agotamiento de la jurisdicción nacional.

 

El Título  II, concerniente al “Proceso de Hábeas Corpus”, contiene dos capítulos. En el Capítulo I, sobre los “Derechos protegidos”, en el artículo 25º, relaciona “enunciativamente” los derechos a la libertad individual de las personas protegidas por Hábeas Corpus. En el Capítulo II, sobre “el Procedimiento”, en los artículos 26º a 36, relaciona las partes y fases del proceso, la legitimación activa y pasiva, trámite y recursos.

 

El Título III, relativo al “Proceso de Amparo”, contiene dos capítulos. En el Capítulo I, relativo a los “Derechos protegidos”, en los artículos 37º a  38º , enumera los derechos en los que procede el amparo; entre otros, el honor, la información, la intimidad, las informaciones inexactas o agraviantes, la libertad de cátedra, etc. En el Capítulo II, referente al “Procedimiento”, en los artículos 39 a 60, menciona la legitimación, la representación procesal, la procuraduría oficiosa, requisitos y plazo para interposición de la demanda, acumulación subjetiva de oficio; el no menos discutible aspecto de “agotamiento de las vías previas” y excepciones al mismo; la improcedencia liminar; inadmisibilidd, abandono y reconvención; Juez competente, plazos para decidir, trámites y recursos.

 

El Título IV, referente al “Proceso de Hábeas Data”, en los artículos 61 a 65, describe los derechos protegidos a través de este mecanismo constitucional y que se concreta en los siguientes: (i) Acceder a información que obre en poder de cualquier entidad pública, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trámite, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier otro documento que la administración pública tenga en su poder, cualquiera que sea la forma de expresión, ya sea gráfica, sonora, visual, electromagnética o que obre en cualquier otro tipo de soporte material; (ii) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros; y (iii)  a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales.

 

Así mismo, se relacionan en éste capítulo los requisitos especiales que debe reunir la demanda en ejercicio de la acción de Hábeas Data; también una especie de medidas cautelares, que el legislador peruano, llama “ejecución anticipada”; la acumulación de pretensiones de conocer y acceder a la información, con las de actualizar, rectificar o eliminar información o de impedimento de entrega de informaciones; y finalmente, la homologación del procedimiento de amparo al procedimiento de Hábeas Data.

 

El Título V, relativo al “Proceso de cumplimiento”, en los artículos 66 a 74 describe el objeto, la legitimación activa y pasiva, representación, requisitos especiales de la demanda, causales de improcedencia, desistimiento de las pretensiones, contenido de la sentencia, ejecución de la sentencia y aplicabilidad del procedimiento de amparo a la acción de cumplimiento.

 

El Título VI, concerniente a “Disposiciones generales de los procesos de acción popular e inconstitucionalidad”, en los artículos 74º a 83, referencia la finalidad y procedencia de la acción popular y la de inconstitucionalidad, principios de interpretación, efectos de la sentencia, cosa juzgada y efectos de la irretroactividad.

 

El Título VII, referente a la “Acción Popular”,  en los artículos 84 a 97, relaciona la legitimación activa y pasiva, la competencia, requisitos de la demanda, admisibilidad e improcedencia, emplazamiento y publicación de la demanda, contestación, vista de la causa, recursos, medidas cautelares y sentencia.

 

El Título VIII, relativo a la “Acción de Inconstitucionalidad”, en los artículos 98 a 108, menciona la legitimación y competencia de la acción, representación ad procesum; la demanda, anexos, inadmisibilidad y su improcedencia Ad limine; improcedencia de medidas cautelares, trámite y sentencia.

 

El Título IX, concerniente al “Proceso competencial”, en los artículos 109º a 113, relaciona los procesos generados por los conflictos de competencias administrativas entre los órganos del Estado. Así mismo, sobre las pretensiones, medidas cautelares, causales de improcedencia y efectos de la sentencia.

 

El Título X, referente a la “Jurisdicción Internacional”, en los artículos 114º a 116º, hace mención a los organismos internacionales competentes para tutelar los derechos fundamentales de los peruanos, cuando han agotado las vías administrativas y jurisdiccionales internas, el Comité de Derechos Humanos de las Naciones Unidas, la Comisión Interamericana de Derechos Humanos de la Organización de Estados Americanos, por ejemplo.

 

El Título XI, relativo a las “Disposiciones generales aplicables a los procedimientos ante el Tribunal Constitucional”, en el artículo 117º al 121º, menciona la acumulación de procesos, numeración de sentencias, solicitud de información del Tribunal a los organismos del Estado, subsanación de vicios de procedimiento y el carácter inimpugnable de las sentencias del Tribunal.

 

El Titulo XII, concerniente a las “Disposiciones finales” de la primera a la séptima, se mencionan aspectos que por técnica legislativa no pudieron incrustarlos en los títulos referidos a disposiciones, reglas o principios generales o aspectos que deberían ir en el título preliminar. Por ello, se menciona “las denominaciones empleadas” a lo largo de la ley, los jueces especializados, publicación de sentencias, aspectos de pedagogía constitucional en centros educativos y la gaceta constitucional.

 

El Título XIII, referente a las “Disposiciones Transitorias y derogatorias”. Se derogan expresamente 15 leyes y se dispone la vigencia después de 6 meses de la publicación.

 

6.3.      Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

 

El CPCP le dedica específicamente el Título IV  al Hábeas Data, pero también le dedica inmerso con otras acciones constitucionales, el Título I, para hacer mención a las disposiciones generales que rigen al proceso constitucional originado en la acción o garantía constitucional de Hábeas Data, aunque por disposición final (Titulo XIII), sostiene que se “denominará” proceso de Hábeas Data a la acción de Hábeas Data. Asimilación terminológica que parece conllevar el cambio de naturaleza jurídica del Hábeas Data peruano.

 

Por eso, en el presente aparte haremos un análisis sucinto de los aspectos relacionados en los artículos 61 a 65 del CPCP, con las consiguientes remisiones a la Constitución Peruana de 1993.

 

6.3.1.               El procedimiento de amparo específico o de Hábeas Data

 

Desde el punto de vista procedimental es aplicable al Hábeas Data según el artículo 65 del CPCP, el Título III relativo al “Proceso de Amparo” en toda su extensión (artículos 39 a 60 ibidem), es decir en cuanto a  la iniciación, desarrollo, sustanciación, recursos y sentencia del procedimiento de Hábeas Data, éste se tramitará conforme a las formas y ritualidades del proceso de amparo, salvo lo previsto en forma específica en los artículos 61 a 64 del CPCP, vale decir sobre objeto de la acción de Hábeas Data, las medidas cautelares y la acumulación de pretensiones, propias del proceso de Hábeas data. Lo cual quiere decir, que el proceso de Hábeas Data es mixto en el derecho peruano y está compuesto por parte genérica aplicable todos los procesos de amparo, y una parte específica, aplicable en forma exclusiva y excluyente al proceso de Hábeas Data.

 

El procedimiento constitucional de amparo peruano, lejos de ser un proceso sumario, expedito y altamente garantizador del derecho fundamental y garantía constitucional de Hábeas Data, se erigió en el CPCP, con una serie de etapas normales y contingentes para todo procedimiento constitucional ordinario, digno de estudiarse en una obra jurídica autónoma y separada a la presente. En tal virtud por ahora, solo nos permitimos relacionar casi gráficamente las etapas de dicho proceso para demostrar nuestra crítica.

 

Tiene unas etapas normales u obligatorias del proceso como son la de litis contestatio y la de juzgamiento. La etapa de litis contestatio, compuesta por la: (i) demanda con requisitos generales y especiales, plazo para su interposición, agotamiento de vías previas y excepciones mínimas a éste; y, (ii) Contestación de la demanda. La Etapa de Juzgamiento constituida por la sentencia, salvo que se haya formulado solicitud de informe oral.

 

Tiene como etapas contingentes o facultativas: (i) Inadmisibilidad de la demanda; (ii) desistimiento; (iii) impedimentos del juez; (iv) intervención litisconsorcial; (v) Adopción de medidas cautelares;  y,  (vi) procedimiento para represión de actos homogéneos; además de las circunstancias procesales contingentes de acumulación subjetiva de terceros y acumulación de procesos.

 

6.3.2.   El Objeto del procedimiento constitucional de Hábeas Data

 

Sobre el objeto y el extravasamiento del CPCP, respecto de la reglamentación de la garantía constitucional del Hábeas Data, previsto en el artículo 200 de la Constitución Peruana, ya nos hemos referido al hacer los comentarios pertinentes a ésta en la Parte Segunda de esta obra, y por ello, sólo adicionemos aquí, que el CPCP concreta un objetivo amplio que puede ser mejorado, si se reglamenta el artículo 200-3º  en su integridad (no sólo los numerales 5º  y 6º  del artículo 2º de la Constitución incorporado al artículo 200-3º y reglamentado en el artículo 61 del CPCP, sino también el numeral 7º [36]  que es omitido en dicha reglamentación legal) pues hoy por hoy, la acción de Hábeas data sólo procede en las fases de conocimiento y acceso de la información, de solicitud de actualización, rectificación y cancelación de la misma y en las eventualidades de solicitar la supresión de las informaciones o de impedir que sean sometidas a tratamiento de datos,  ciertas informaciones sensibles o privadas cuando con ellas se amenacen, vulneren o desconozcan derechos fundamentales de la persona.

 

El numeral 5º del artículo 2º de la Constitución Peruana de 1993, sostiene que toda persona tiene derecho: “A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional”. Y agrega el inciso 2º: “El secreto bancario y la reserva tributaria pueden levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado”.

 

______________________

(36)      El numeral 7º del artículo 2º de la Constitución sostiene que toda persona tiene derecho: “Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias. Agrega el inciso 2º, “Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley”. Pues en este caso también procede la acción de Hábeas Data como mecanismo idóneo y potenciado de protección y garantía constitucional y legal de los mencionados derechos fundamentales, más cuantos se hace mención a informaciones inexactas o agraviantes por cualquier medio TIC. Esto sin perjuicio e independencia que éstos derechos fundamentales tienen en ejercicio de su autonomía, protección y garantía constitucionales por medio de la acción de amparo. Si se hubiese éste numeral 7º  en el artículo 61 CPCP, los derechos fundamentales allí mencionados gozaran hoy de una protección ultrapotenciada que la necesitan ante el avance y la alta porosidad de las TIC y la informática en el derecho.

__________________________

 

Por su parte, el numeral 6º del artículo 2º constitucional, sostiene que toda persona tiene derecho: “A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar“.

 

Tanto en el numeral 5º como en el 6º, la Constitución preserva bienes jurídicos y derechos fundamentales tales como el derecho de acceso a la información pública o de interés colectivo y privada o de interés individual y el derecho a la intimidad personal y familiar. Derechos constitucionales autónomos que gozan de protección per se, por sus connotaciones especiales, su caracterización de derechos de la persona humana y jurídica (el de la información) o de personalísimos del ser humano (el de intimidad), por ser de aplicación inmediata y por estar garantizados por el Estado a toda persona habitante, residente o transeúnte en el país. Además gozan de la protección reforzada a través del mecanismo administrativo del derecho de petición ante cualquier autoridad del Estado y del mecanismo jurisdiccional de la acción de amparo, según el CPCP. Pero además, tienen un ámbito de ultraprotección, por disposición del artículo 200-3º de la Constitución, cuando entran en entronque el abuso, irregular, indebido o ilegal tratamiento de datos o informaciones personales  por medios TIC y la informática (abuso del “poder informático”). Es entonces, en este momento que los derechos fundamentales enunciados en los numerales 5, 6 y 7º del artículo 2º obtienen una ultraprotección constitucional y legal que le es negada parcialmente al los derechos constitucionales del numeral 7º , por omisión del legislador peruano o por disposición y a sabiendas de su exclusión. La doctrina peruana tiene la palabra sobre este punto.

 

6.3.3.   Requisitos especiales de la demanda de Hábeas Data

 

Ahora bien, en cuanto a los requisitos de la demanda en el “proceso constitucional de Hábeas Data”, el CPCP, redirige en principio a los requisitos generales previstos para la acción de amparo, los cuales están previstos en el artículo 42 en forma enunciativa, al emplear el término “cuando menos” para referirse a que la demanda por escrito, con sus “datos y anexos”, podrá ser presentada por quien se halle legitimado para hacerla y cuando reúna los siguientes requisitos: (i) La designación del Juez ante quien se interpone; (ii) El nombre, identidad y domicilio procesal del demandante; (iii) El nombre y domicilio del demandado, sin perjuicio de lo previsto en el artículo 7 del CPCP, sobre representación procesal del Estado; (iv) La relación numerada de los hechos que hayan producido, o estén en vías de producir la agresión del derecho constitucional; (v) Los derechos que se consideran violados o amenazados; (vi) El petitorio, que comprende la determinación clara y concreta de lo que se pide; (vii) La firma del demandante o de su representante o de su apoderado, y la del abogado.

 

Estos requisitos son los que normalmente se exigen para la presentación de cualquier tipo o clase de demanda ante autoridades jurisdiccionales, en cualquier Estado del mundo.

 

Agrega el inciso in fine del artículo mencionado, que “en ningún caso la demanda podrá ser rechazada por el personal administrativo del Juzgado o Sala correspondiente“. Nos parece que debió decir, que no podrá ser rechazada por el  jueces o jueces que son los funcionarios con jurisdicción y competencia para pronunciarse sobre la admisión, inadmisión o rechazo de la demanda, mediante providencia o decisión judicial correspondiente.

 

El CPCP en el artículo 62, establece unos requisitos especiales de la demanda que debe reunir la acción de Hábeas Data, además de los requisitos generales para la demanda en acción de amparo. Estos son: (i) que el demandante previamente haya reclamado, por documento de fecha cierta, el respeto de los derechos de conocimiento y acceso a la información, de actualización, rectificación o eliminación de la información inexacta, erróneo o ilegal, o de supresión o impedimento de la publicación de información sensible o privada que afecte derechos constitucionales; (ii) que el demandado se haya ratificado en su incumplimiento o no haya contestado dentro de los diez días útiles siguientes a la presentación de la solicitud tratándose del derecho reconocido por el artículo 2 inciso 5) de la Constitución, o dentro de los dos días si se trata del derecho reconocido por el artículo 2 inciso 6) de la Constitución. Excepcionalmente se podrá prescindir de este requisito cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante. Aparte de dicho requisito, no será necesario agotar la vía administrativa que pudiera existir.

 

Estos requisitos denominados especiales por el CPCP, en verdad, son trámites administrativos previos que debe agotar el titular de los datos o persona concernida con éstos, pues  ese es el significado que debe dársele al solicitar el artículo 62  la demostración de haber reclamado, “por documento de fecha cierta”, es decir, de haber ejercido el derecho de petición ante las autoridades, organismos o instituciones del Estado, o ante personas físicas o jurídicas de carácter particular y esperar que unas u otras, según el caso, hayan o no respondido expresa o  tácitamente (una especie de “silencio administrativo” de petición), en forma oportuna o extemporánea, dentro o no de un lapso de tiempo cierto. En fin, el primer requisito, parece sólo pedir que se demuestre que se reclamó mediante un memorial o documento, con la sola presentación y atestamiento de la autoridad o persona que recibió el memorial con sello de hora, día y fecha que de fe a la presentación.

 

El requisito especial segundo del artículo 62 del CPCP, parece aclarar el requisito primero. En efecto, solicita que el impetrante en acción de Hábeas Data, deba demostrar que la entidad o persona, pública o privada que lo denomina anticipadamente “demandado” cuando todavía no lo es técnica ni procesalmente  y según el caso, que ésta o  éstas, se han ratificado en su incumplimiento o no hayan contestado así: (i) dentro de los diez días útiles siguientes a la presentación de la solicitud (o petición más claro) tratándose del derecho de acceso a la información pública o privada; (ii) dentro de los dos días si se trata del derecho de la intimidad personal o familiar.

 

Excepcionalmente, agrega el artículo citado,  se podrá prescindir de este requisito especial cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante.  La prueba idónea que se exige al “interesado o afectado” con el tratamiento de datos, parecería exagerada, pues la calificación de los hechos, actos, sucesos u omisiones, sí constituyen o no “inminente peligro” debe darse por el funcionario jurisdiccional que admite el amparo específico de Hábeas Data, cuando no esté regulado previamente en el ordenamiento jurídico vigente, o más aún en el CPCP, pues la carga de la prueba en estos casos debería soportarla el Estado o la persona privada que vulnere el tratamiento de datos, a falta de regulación expresa.

 

Como se observa, sí existen vías previas antes de la acción de Hábeas Data en el derecho peruano, que el CPCP, se empeña en decir, en el inciso in fine del artículo 62 que “no será necesario agotar la vía administrativa“. Si bien es cierto, no existen recursos administrativos contra la decisión expresa o tácita al derecho de petición (“solicitud”, “reclamo”, como lo denomina el CPCP), elevados por el interesado, afectado o titular de los datos frente a las personas o entidades públicas o privadas; no es menos cierto, que las peticiones incoadas por aquél cuando se trata de los derechos fundamentales previstos en  los numerales 5º y 6º del artículo 2º de  la Constitución Peruana, reciben una contestación tácita negativa que genera un silencio administrativo de peticiones de 10 días en el caso del derecho de acceso a la información y de dos días en el caso del derecho a la intimidad; es decir, que hay una respuesta tácita negativa, que en todo caso genera una vía administrativa –mal llamada en Colombia “gubernativa”–  que ineludiblemente debe agotarse para acudir en Hábeas Data, pues el artículo 62 expone que estos son requisitos especiales adicionales a los generales de la presentación de la demanda en acción de amparo específico o de Hábeas Data.

 

6.3.4.   Las medidas cautelares en el procedimiento de amparo específico de Hábeas Data

 

En el Título I, concerniente a las “Disposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento”   del CPCP, y más concretamente en el artículo 15, se sostiene que son viables las medidas cautelares y de suspensión del acto violatorio en los procesos de amparo, Hábeas Data y de cumplimiento, indicando con ello, que respecto al proceso de amparo específico o de Hábeas Data son viables como etapa contingente del proceso las medidas cautelares como la suspensión de la eficacia o de los efectos jurídicos del acto (particular o administrativo) acusado [37] .

 

Para la adopción de las medidas cautelares en esta clase de procesos constitucionales sumarios, el legislador peruano impuso a la autoridad jurisdiccional que se comprobara ab initio los requisitos caracterizadores de las medidas cautelares: (i) la apariencia del derecho o también conocido como elemento fumus boni iuris [38];  (ii)  el   peligro  en  la demora   o periculum in mora [39]; (iii) que el pedido cautelar sea adecuado para garantizar la eficacia de la pretensión o como lo denominamos, el elemento de la pendentia litis [40]; y (iv) se dictan sin audiencia de la contraparte.

 

Efectivamente, los anteriores elementos caracterizadores de toda medida cautelar se deben reunir al momento de la solicitud de la medida cautelar por el interesado o afectado, pero es el Juez quien en el momento de la adopción de la medida mediante providencia idónea quien evalúe y compruebe su existencia y pertinencia luego de leer los argumentos fácticos, jurídicos y probatorios esgrimidos por el solicitante, en memorial escrito conjunto o separado de la demanda y de comprobar si existe una violación o vulneración irrefragable (“palmaria” o “prima facie”, como se solicita en el derecho público colombiano en los procesos de nulidad de actos administrativos ante la jurisdicción contencioso administrativa) entre el acto acusado y el ordenamiento jurídico vigente.

 

La procedencia, trámite y ejecución de las medidas cautelares, según el artículo citado dependen del contenido de la pretensión constitucional intentada y del aseguramiento de la decisión final.

 

Tienen competencia para avocar y decretar medidas cautelares en esta clase de procesos, si la solicitud de medida cautelar tiene por objeto dejar sin efecto actos administrativos dictados en el ámbito de aplicación de la legislación municipal o regional, en primera instancia por la Sala competente de la Corte Superior de Justicia del Distrito Judicial correspondiente.

 

En cuanto al trámite para la adopción, ejecución y recursos de las medidas cautelares, se seguirá el previsto en los incisos 3º y 4º del mentado artículo; es decir, se aplicará el iter procesalis del CPCP, como norma especial y el Código Procesal Civil Peruano (Título IV de la Sección Quinta), como norma subsidiaria para llenar los vacíos o lagunas legales del CPCP. En efecto, ab initio el  trámite es el siguiente: De la solicitud se corre traslado por el término de tres días, acompañando copia certificada de la demanda y sus recaudos, así como de la resolución que la da por admitida, tramitando el incidente en cuerda separada, con intervención del Ministerio Público. Con la contestación expresa o ficta la Corte Superior resolverá

________________________

(37)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis Doctoral, Universidad de Navarra, Pamplona (España), 1986, p. 15 y ss.

(38)      Ob., ut supra cit.

(39)      Ob., ut supra cit.

(40)      Ob., ut supra cit.

________________________

dentro del plazo de tres días, bajo responsabilidad salvo que se haya formulado solicitud de informe oral, en cuyo caso el plazo se computará a partir de la fecha de su realización. La resolución que dicta la Corte será recurrible con efecto suspensivo ante la Corte Suprema de Justicia de la República, la que resolverá en el plazo de diez días de elevados los autos, bajo responsabilidad.

 

La medida cautelar se extingue, según el artículo 16 del CPCP de pleno derecho cuando la resolución que concluye el proceso ha adquirido la autoridad de cosa juzgada.

 

Si la resolución final constituye una sentencia estimatoria, se conservan los efectos de la medida cautelar, produciéndose una conversión de pleno derecho de la misma en medida ejecutiva. Los efectos de esta medida permanecen hasta el momento de la satisfacción del derecho reconocido al demandante, o hasta que el juez expida una resolución modificatoria o extintiva durante la fase de ejecución.

 

Si la resolución última no reconoce el derecho reclamado por el demandante, se procede a la liquidación de costas y costos del procedimiento cautelar. El sujeto afectado por la medida cautelar puede promover la declaración de responsabilidad.

 

De verificarse la misma, en modo adicional a la condena de costas y costos, se procederá a la liquidación y ejecución de los daños y, si el juzgador lo considera necesario, a la imposición de una multa no mayor de diez Unidades de Referencia Procesal.

 

La resolución que fija las costas y costos es apelable sin efecto suspensivo; la que establece la reparación indemnizatoria y la multa lo es con efecto suspensivo.

 

 

CAPITULO SEGUNDO

 

  1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

CAPITULO SEGUNDO

 

  1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

 

2.1.                  PRELIMINARES

 

2.2.                  ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977

2.2.1.               Estructura de la LFAPD

2.2.2.               Comentarios sucintos a la LFAPD de 1977

 

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

2.3.3.               Principios y excepciones fundamentales del tratamiento informatizado o no de los datos personales

2.3.4.   Principios del tratamiento de datos en el ámbito nacional

2.3.5.   Principios del tratamiento de datos en el ámbito internacional: Libre circulación y restricciones legítimas

2.3.6.               Excepciones a las Directrices

 

2.4.                  El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981

2.4.1.               Definiciones nucleares en el tratamiento informatizado o no de datos personales

2.4.2.   Principios y excepciones fundamentales  en el tratamiento y circulación datos personales

 

2.5.                  ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE 1999 o LOPDP

2.5.1.               Notas preliminares

2.5.2.               Estructura de la LOPDP de 1999

2.5.3.               Comentarios sucintos a la LOPDP

 

2.6.                  LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE

 

 

 

2.1.       PRELIMINARES.

 

Nos parece oportuno en esta parte del trabajo, hacer mención a los diferentes cuerpos normativos que regulan el tratamiento informatizado de los datos de carácter personal, a efectos de exaltar, entre otros aspectos, por un lado,  la labor que vienen cumpliendo los legisladores en los diferentes Estados de Europa continental (a título de ejemplo en Alemania, España y la Unión Europea)  por puntualizar y establecer un marco de garantías y medias de protección a los derechos involucrados en dicho tratamiento (con mayor énfasis en el derecho a la intimidad y subsidiariamente de la información, la expresión, el honor y la imagen, entre otros); y por otro, analizar, estudiar y puntualizar el derecho del Hábeas Data prevista en las principales leyes de protección de datos personales, clasificadas inicialmente en tres generaciones, según sus contenidos y evolución en la regulación del fenómeno informático en entronque con el derecho. Ampliaremos luego una cuarta generación y otra en transición, atendiendo además de lo dicho, al factor temporal, los avances significativos de iusinformática y la consideración de los Estados “paraísos informáticos” técnica como legislativamente.

 

En la primera generación de estas leyes se hallan las denominadas leyes pioneras en la regulación y tratamiento (informatizado o no)  de datos de carácter personal: La Ley Federal alemana de protección de datos personales y Ley Sueca “Data Lag” de 11 de mayo de 1973 [41].  Según Mirabelli [42], estas leyes son tendencialmente restrictivas puesto que se sujetan al requisito de “la autorización previa” para la creación de los “ficheros” o bancos de datos, limitando excesivamente la recolección de los “datos sensibles” e instituyendo organismos con funciones y estructura cuasi jurisdiccional para la concesión y el ejercicio del control de los mencionados banco  de  datos [43].  Sin embargo, como veremos más adelante la Ley Alemana, –que tomamos como prototipo de análisis de esta primera generación– por contra, se caracteriza por ser la primera en el tratamiento integral de tratamiento informatizado o no de datos personales, así como de demarcar una nueva técnica legislativa en materia de definiciones técnico-jurídicas, estructurar por vez primera los “procesos de datos” públicos y privados y crear la figura del Comisario de Protección de datos para la vigilancia, garantía y protección de los derechos fundamentales, las libertades públicas e intereses legítimos de los titulares de datos personales.

 

En una segunda generación de leyes protectoras de los datos personales se destacan la de Francia en 1974, Noruega en 1978, Luxemburgo en 1981, etc. Por paralelo y con idénticos propósitos, surgen normas de ámbito internacional (La Recomendación de la OCDE de 1980) y Comunitario Europeo propuestas por el Consejo de Europa (El Convenio de Estrasburgo de 1981).  Las leyes en esta etapa se caracterizan por el sistema de “la notificación” y no de la autorización como requisito a priori para crear bancos de datos. Además, se introduce la figura del responsable del fichero o banco de datos [44],  se  ingresa en la técnica legislativa de la conceptualización de los términos técnico cerrados y abiertos utilizados en las nuevas

______________________________

(41)     La Data lag Sueca, según el profesor ORTI, “estableció un sistema de Registro de ficheros informatizados, exigiéndose la inscripción con carácter constitutivo, necesaria para obtener la autorización para crear un fichero, y a la que se condicionaba la inclusión en el Registro. Este requisito fue sustituido más tarde por el sistema de la mera notificación e inscripción registral, que es el seguido en la ley española” Cfr. ORTI VALLEJO, Antonio. Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y tratamiento informáticos de datos personales. Particular atención a los ficheros de titularidad privada). Ed. Comares, Peligros (Granada), 1994, p.14.

(42)       MIRABELLI, “Banche dati e contemperamento degli interessi”, Bance dati telematica e diritti della persona, Cedam, Padova, 1984, pág. 160. Citado por ORTI V. Ob. cit., p. 11.

(43)       En ésta etapa de clasificación de normas de protección de datos personales, nacieron por doquier varias leyes  en Europa y América.. Se destacan entre ellas la Ley Francesa de 6 de Enero de 1978, conocida como  “Loi relative à l´informatique, aux fichiers et aux libertés”, y la “Privacy act de 31 de diciembre de 1974, que fueron el prototipo de otras que les siguieron. Entre ellas, la Ley Noruega de Junio 9 de 1978, la de Luxemburgo de 30 de Marzo de 1979, la Suiza de 1981.

(44)     Ob. ut supra cit. p. 11.

______________________________

tecnologías de la información y la comunicación (TIC) que inciden  en el derecho y se instituye, a partir de éstas, los denominados “principios fundamentales de la protección de datos”, tanto  en  el tratamiento,  almacenamiento, difusión como en  la “libre circulación de datos de carácter personal“. Aspectos capitales en el procedimiento informatizado de datos que se evidenciaron más en las normas de ámbito internacional y comunitario, antes que en las leyes estatales, como precisaremos.  

 

Por ello, tomaremos de ésta generación dos prototipos de legislación sobre el tratamiento informatizado de datos: La Recomendación del Consejo de la OCDE de Septiembre 30 de 1980,  por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales y  El Convenio Europeo de Estrasburgo de 28 de Enero de 1981″, relativo a la “protección de las personas con respecto al tratamiento automatizado de datos de carácter personal”. Convenio incorporado por todos los Estados Europeos en sus respectivos ordenamientos jurídicos internos a través de normas jurídicas de trasposición. En España, el Convenio se ratificó mediante instrumento de  Enero 27 de 1984 (BOE. 15-11-1985, núm. 274) e ingresó al ordenamiento jurídico interno no sólo como mecanismo de interpretación de derechos humanos (art.10.2 CE), sino como una verdadera norma jurídica con fuerza legislativa desde aquélla época (art.96.1 CE).

 

En la “tercera generación”, se ubican las normas jurídicas nacidas en la década de los noventa, muy a pesar de que las propuestas e iniciativas venían manejándose desde la década anterior. En esta se ubican la “La ley española de regulación del tratamiento automatizado de datos de carácter personal”, de 29 de Octubre de 1992, conocida también como LORTAD, reformada en 1999, por la “Ley Orgánica de Protección de Datos” o  LOPD, Ley 15 de 1999;  como también la “Privacy and data Protection Bill 1994 (NSW) o Ley de protección de la intimidad y los datos personales en Australia. Esta generación de leyes se caracteriza según Orti Vallejo [45], siguiendo a Pérez Luño, por ser más “liberalizantes del uso de ficheros de datos personales” y establecer un amplio marco de principios, derechos y obligaciones para las personas naturales, jurídicas, públicas y privadas.

 

Una cuarta generación de normas surge con la expedición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta generación se caracteriza por plantear como epicentro el principio-derecho de la libre circulación de datos personales entre los países miembros de la Unión Europea e incluso entre países terceros, previo el lleno  de  unos  requisitos sine qua nom; la consagración de principios, derechos (como  el de información y de Hábeas data) y  obligaciones  en  todas  las fases, etapas o ciclos informáticos del procedimiento informatizado de datos, cuando se realiza con soportes, medios y aplicaciones informáticas electrónicas y telemáticas  y la plasmación del llamado derecho de oposición al tratamiento informatizado de datos personales, como un derecho personalísimo de los titulares de los datos personales.

 

Finalmente, una quinta generación o generación de leyes protectoras de datos específicas en tránsito, constituida por Estados que no disponen de normas especiales en la protección de datos personales, pero en cambio disponen de diversas normas jurídicas generales, mecanismos, procedimientos administrativos (iniciados por el derecho de petición y desarrollados y concluidos con los recursos ordinarios y extraordinarios de reposición, apelación, queja y revocatoria, respectivamente) y procedimientos jurisdiccionales de índole constitucional, contencioso-administrativo, civil y penal dirigidas a proteger los datos personales. Si bien estos Estados no se halla en Europa continental e insular, ello no obsta para que los

______________________________

(45)          ORTI VALLEJO, A. Ob. cit., p. 18

___________________________________

lmencionemos por ahora en esta clasificación. A título de ejemplo, se encuentra el Estado Colombiano pues se han venido adelantado juicios de defensa y protección de derechos y libertadas fundamentales con base en la aplicación directa de la Constitución que elevó a rango constitucional el Hábeas Data como acción, recurso, garantía o proceso constitucional.  Y esto último muy a pesar de que se acaba de expedir la Ley 1266 de 2008, conocida como “Ley de Habeas Data en Colombia”, tema en el que nos ocuparemos en un artículo aparte.

 

En  todo caso, estos Estados con este conjunto de normas e instituciones jurídicas, propenden por la efectiva protección de los derechos fundamentales, en todos los ámbitos incluidos aquellos que se presentan en el tratamiento informatizado de datos. Quizá por ello, en puridad jurídica no existen “Estados paraísos informáticos” por el sólo hecho de no tener normas específicas que regulen la tensión-relación de la  informática, los medios TIC y  los derechos humanos, pues el vacío normativo específico lo han llenado con normas procesales y sustantivas generales aplicables al tratamiento de datos personales en desarrollo jurisprudencial suministrado al Hábeas Data por los Tribunales o Corte Constitucional en sus variados fallos de defensa y tutela de los derechos a la intimidad, la imagen, la información, el buen nombre entre otros (v.gr. Sentencias de la Corte Constitucional: T-414-1992, Ago.T-444-92 de 7Jul.,T-127-1994, de 15 de Mar, T-022/1993, de 29 Ene., T-413-1993, de 29 de Sep., T-097/1995, de 3 de Mar, SU-082 y 089/1995, de 1 de Marz., C.C. Sent. T-552/1997, de 30 de Oct, entre muchas otras citadas ut supra y las que citaremos ut infra.

 

A continuación no referiremos a las Leyes de protección de datos Alemana, Española y las que rigen en la Unión Europea (UE).

 

2.2.       ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977 [46].

 

Esta Ley Federal es el resultado de la estructuración y promulgación de la Ley perteneciente al Land de Hesse de 7 de Octubre de 1970, primera en regular todo lo atinente al tratamiento informatizado de datos que “utilizaban los servicios administrativos del Land” y de la ley de la Renania-Palatinado [47]

 

La Ley Federal de protección de datos, no sólo fue la pionera a nivel internacional en regular legislativamente el tratamiento informatizado de los datos personales, sino que es la primera y la única, incluso hasta épocas actuales, en tratar integralmente todo lo atinente al tratamiento informatizado los datos personales, tanto en el ámbito público como privado; así como también en regular los aspectos civiles, penales y derecho público derivados del ejercicio, protección y transgresión de los derechos que ostentan los titulares de los datos, ante las autoridades civiles, administrativas y punitivas.

 

2.2.1.   Estructura de la LFAPD

 

La Ley Federal Alemana de protección de los titulares de los datos, el 20 de diciembre de 1990, recibió una nueva redacción en su texto y que en esencia su contenido y su “concepción sigue siendo igual a la de 1997” [48]. Por ello, estudiaremos brevemente el texto de 1977. Esta ley (en adelante LFAPD), tiene cinco secciones de las que destacaremos los aspectos que tienen que ver con el objeto de nuestro trabajo. Son:

______________________

(46)      Texto completo en AA.VV. Documentación informática. Serie Amarilla. Tratados Inter. núm.2.

(47)      ORTI VALLEJO, A. Ob. cit. pág. 12

(48)      Según Heredero Higueras, citado por ORTI VALLEJO, Ob. ut supra cit., pág. 12-13.

_______________________

 

SECCION PRIMERA: Disposiciones generales: En las que se refiere a los cometidos y objeto de la ley,  definiciones,  admisibilidad del “proceso de datos”, derechos del “afectado”; y “secreto de los datos, medidas técnicas y de organización”.

 

SECCION SEGUNDA: Proceso de datos de autoridades y otros servicios públicos: ámbito de aplicación; elaboración de datos personales por cuenta ajena; almacenamiento y modificación de datos; comunicación de datos dentro del sector público; comunicación de datos a “entes” ajenos a un sector público; Publicidad de los datos almacenados; Facilitación de información “al afectado”; Rectificación, bloqueo y cancelación de datos; Ejecución de la protección de datos en la Administración Federal; Disposiciones administrativos de carácter general; nombramiento de un Comisario Federal de Protección de datos; situación jurídica del Comisario Federal de Protección de Datos; Funciones del Comisario Federal de Protección de Datos; Reclamaciones del Comisario Federal de Protección de Datos; y, Recurso ante el Comisario Federal de Protección de Datos.

 

SECCION TERCERA: Proceso de datos de entes no público para uso interno: Ámbito de aplicación; modificación de datos; facilitación de información al afectado; Rectificación, bloqueo y cancelación de datos; Designación de un Comisario de Protección de Datos; Funciones del Comisario de Protección de Datos; y, Autoridad de tutela.

 

SECCION CUARTA: Proceso de datos realizado con finalidad mercantil para entes no públicos: Ámbito de aplicación; Almacenamiento y comunicación de datos; modificación de datos; facilitación de información al “afectado”; Rectificación, bloqueo y cancelación de datos; elaboración de datos personales para su difusión en forma “anonimizada” (o simplemente anónima); elaboración de datos personales por cuenta ajena; Comisario de Protección de Datos; Deber de denuncia; y,  Autoridad de tutela.

 

SECCION QUINTA: Normas punitivas y sancionadoras: Acciones punibles, y, Infracciones de Policía.

 

SECCION SEXTA: Disposiciones transitorias y  finales: Disposiciones finales; Aplicación de la Ley de Procedimiento Administrativo; Disposiciones subsistentes; “Cláusula Berlinesa”; y entrada en vigor.

 

2.2.2.               Comentarios sucintos a la LFAPD de 1977

 

Son muchos y variados los temas los que aborda la Ley alemana, sin embargo, destacaremos a nuestros efectos investigativos los siguientes, los cuales los dividiremos así: a) Las definiciones técnico-jurídicas o ius-informáticas; b) El Comisario de Protección de los Datos; y c) El Sistema Punitivo y Sancionador en materia de datos.

 

2.2.2.1.            Definiciones técnico-jurídicas o ius informáticas

 

La Ley Federal Alemana del tratamiento de datos personales, inaugura en su condición de pionera, la técnica legislativa que posteriormente se extendiera en toda norma jurídica estatal y comunitaria de iniciar el texto legislativo con un glosario de términos técnico-jurídicos cerrados, cuyas definiciones son de aplicación necesaria para todo operador jurídico de la ley. Las definiciones contenidas en la Ley de 27 de Enero de 1977, son ius-informáticas, por referirse a la órbita jurídica tanto al derecho público como al derecho privado y en particular,  al tratamiento informatizado de datos dominado por la informática.

 

Las diversas definiciones las podemos agrupar por su contenido y afinidad con el  fenómeno tecnológico de la informática (entendida como la ciencia del tratamiento lógico, sistematizado e informatizado de cualquier unidad de información o datos) y el derecho, en los siguientes: a) Definiciones sobre los sujetos del tratamiento de datos; b) Definiciones aplicables al “Habeas Data” y al proceso de datos personales; y, c) Definiciones aplicables al procedimiento informatizado de datos.

 

2.2.2.1.1.         Definiciones sobre los sujetos del tratamiento de datos

 

Pertenecen a este grupo las definiciones de “Datos personales”, “tercero” y “ente almacenante”. Datos personales se consideran las indicaciones concretas acerca de condiciones personales o materiales de una persona natural determinable (o “afectado” aunque en puridad mejor llamado sería: el interesado o  titular de los datos). Estos datos personales como información perteneciente a cualquier persona física, incluye tanto la contenida en método no informáticos, como en aquellos a los que se les ha aplicado la técnica, tratamiento o procedimientos informatizados o “procedimientos automáticos“, como lo denomina la Ley Federal Alemana de Protección de Datos. Se excluyen no del concepto de datos personales sino del ámbito de aplicación de la LFAPD, los datos personales elaborados por empresas auxiliares de la prensa, radio o cinematografía, exclusivamente para uso interno en relación con la difusión (Art. 1 in fine LFAPD), salvo en lo atinente a las “medidas técnicas y de organización” que éstas deben implementar para garantizar los derechos e intereses legítimos de los titulares de los datos de conformidad con LFAPD [49].

 

Tercero, es toda aquella persona o entidad (“ente”) ajena a la entidad almacenante, a excepción de los interesados o de aquellas personas y entidades  (Autoridades públicas, personas jurídicas, sociedades u otras agrupaciones, etc.) que obraren por “encargo” dentro del ámbito de vigencia de la LFAPD.

 

 

________________________

(49)    “Si se elaboraren automáticamente datos personales, deberá adoptarse para la aplicación de los preceptos de la presente ley medidas que en función de la índole de los datos personales que hubieren de ser protegidos fueren idóneas para: l. impedir a personas no autorizadas el acceso a los equipos de proceso de datos con los cuales fueren elaborados los datos personales (control de acceso a los equipos); 2. Impedir que las personas ocupadas en la elaboración de datos personales retiren sin autorización soportes de información (control de salidas); 3. Impedir la introducción no autorizada en memoria de datos personales, así como la toma de conocimiento, modificación o cancelación no autorizadas de datos personales ya almacenados (control de memorias); 4. Impedir que personas no autorizadas utilicen sistemas de proceso de datos a partir de los cuales se comunicaren datos personales valiéndose de dispositivos automáticos o en los cuales se introdujeren datos personales valiéndose tales dispositivos (control de usuarios); 5. Garantizar que las personas con derecho a usar un sistema de proceso de datos puedan acceder mediante dispositivos automáticos exclusivamente a los datos personales que estuvieren comprendidos dentro del ámbito de su facultad de acceso (control de acceso a los datos) ; 6. Garantizar que se pueda comprobar y determinar en qué puntos es posible comunicar datos personales valiéndose de dispositivos automáticos (control de la comunicación); 7. Garantizar que se pueda comprobar y determinar a posteriori que datos personales, en qué momento y por quien fueron introducidos en sistemas de proceso de datos (control de la introducción en memoria); 8. Garantizar que en los datos personales que fueren elaborados por cuenta ajena sólo puedan serlo de conformidad con las instrucciones del comitente (control de encargos); 9. Garantizar que en los supuestos de comunicación de datos personales, así como en los casos de transporte de los correspondientes soportes de información, estos no puedan ser leídos, modificados o cancelados sin autorización (control del transporte de datos); 10. Configurar la organización interna de las autoridades o empresas de tal manera que la misma responda a las exigencias de la protección de datos (control de la organización)”.

_____________________

 

Y, finalmente,  Entidad Almacenante, se consideran como tales cualquiera de las personas naturales o jurídicas o entidades que almacenaren datos por sí mismo o encomendare a otro su almacenamiento. Estas son: a) Las diversas Autoridades o entidades públicas (pertenecientes al Estado, a los Municipios, mancomunidades de municipios y cualesquiera otras personas jurídicas de derecho público sujetas a tutela estatal. Art. 7 LFAPD); y,  b) Personas naturales o jurídicas, sociedades u otras agrupaciones de personas de derecho privado, para uso interno (se exceptúan de ésta aparte las personas de derecho privado que desempeñan “funciones propias de la Administración Pública”. Art.22 LFAD), o las que realicen “con carácter regular y por cuenta ajena”  actividades con “finalidad mercantil” (en esta se incluyen las empresas de derecho público, con idéntica finalidad. Art. 31 LFAPD).

 

 

2.2.2.1.2          Definiciones aplicables exclusivamente al Hábeas Data y al proceso de datos personales

 

 

Si bien como recuerda el profesor González Navarro, citando a Heredero Higueras [50], el derecho de acceso, aún antes de la promulgación de las leyes de protección de datos, fue bautizado como habeas data, por considerarlo como una modalidad de acción exhibitoria análoga a la del habeas corpus del derecho anglosajón, no debemos olvidar que el derecho de acceso a los datos, sobre todo los informatizados o sometidos en parte o en todo a tratamiento o procedimientos “automatizados”, conlleva un grupo de derechos concomitantes y subsiguientes al ejercicio del derecho de acceso, tales como: el derecho a conocer la existencia de datos que le conciernan a la persona y que se hallen almacenados (“storage”) y contenidos en un fichero, banco de datos o simplemente en un “archivo” o registro informatizado (o simplemente “file” anglosajón), bien sean procesados con o sin su consentimiento; así como también el derecho a consultarlos, si fuere del caso, por cualquier método, técnica o medio informático, electrónico o telemático, dentro de conformidad con el ordenamiento jurídico vigente sobre la materia. Como consecuencia, de ello podrá, independientemente de los recursos (básicamente jurisdiccionales), solicitar la revisión, rectificación, actualización, modificación y, llegado el caso, la cancelación, borrado y  bloqueo de los datos personales que le conciernen.

 

En consecuencia, pertenecen a este segundo grupo de definiciones, las siguientes: almacenar, comunicar, modificar y cancelar datos personales.

 

Almacenar datos personales, en términos iusinformáticos, consiste en recoger, registrar o conservar en un soporte de información con miras a su ulterior utilización. El “almacenamiento” de datos, según la LFAPD constituye una fase del procedimiento informatizado de datos que abarca una etapa previa, como es la recolección; una etapa concomitante, como es la del registro; y una etapa posterior, como es la conservación de datos. Todas ellas interdependientes, pues faltando una de éstas no se puede completar el fenómeno o actividad de almacenamiento.

 

La LFAPD, establece la subsidiariedad de ésta, cuando existan  leyes especiales federales sobre los datos personales almacenados en registros informatizados (art.45), destacando con ello la etapa de almacenamiento y tratamiento informatizado de los datos. Así a título de ejemplo, se aplicará  la ley especial sobre la general en  la guarda de secreto sobre noticias obtenidas oficialmente o en el ejercicio profesional; p. e., el art. 12 de la Ley de Estadísticas para fines Federales, de 3 de septiembre de 1953 [51].

 

___________________

(50)      GONZALEZ NAVARRO, Francisco. Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994, Pamplona, p. 179

(51)      Otros ejemplos son: a) Sobre limitación del examen de documentos por terceros; p. e., el articulo 61, párrafo  segundo y tercero de la ley de estado civil de las personas; b) Sobre examen del expediente personal por los funcionarios o empleados; p e., el artículo 90 de la ley federal de funcionarios; el artículo 83 de la ley de Organización de Empresas; c) Sobre el deber de las autoridades de informar a los ciudadanos de los datos almacenados acerca de los mismos; p. e., el artículo 1.325 de la Ordenanza Imperial del Seguro; g) Sobre difusión, rectificación y cancelación de los datos referidos a personas incluidos en Registros públicos; p. e., los artículos 19, 23, 27, segundo párrafo; y d) Sobre la obligación de elaborar datos referidos a personas en la rendición de cuentas, comprendidas la contabilidad y otras anotaciones; p.e., los artículos 38 a 40, 42 a 47 del Código de Comercio. Texto completo de la LFAPD., en AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2º

____________________

 

 

La LFAPD, al hacer mención a los derechos que tiene el “afectado”  (por titular de los datos, en términos positivos y no en términos negativos, tal y como lo prevé la ley) dentro del llamado “proceso de datos”, se  hace expresa referencia a los derechos derivados del acceso y consulta de la información y subsecuente, todos ellos componentes del derecho fundamental del habeas data. Los derechos subsecuentes son: a) La información acerca de los datos almacenados en relación con la persona; b) La Rectificación de los datos almacenados en relación con su persona, cuando los mismos fueren inexactos; c) El bloqueo de los datos almacenados en relación con su persona cuando no pudiere determinarse su exactitud o inexactitud, o cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento; y d) La cancelación de los datos almacenados en relación con su persona, si su almacenamiento no había sido admisible o bien ‑-a elección, además del derecho de cancelación-‑ cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento.

 

Comunicar, en términos de la LFAPD, es una especie cualificada (dirigida a “terceros”) del género informar (que la ley denomina derecho de “facilitación de información al afectado”, considerado como un derecho fundamental, no absoluto que tiene el titular de los datos personales, tanto en el proceso de datos público [52], como en el privado [53], puesto que se prevé expresas excepciones al ejercicio del mismo), puesto

__________________________

(52)    Se facilitará al afectado, si así lo solicitare, información acerca de los datos almacenados con relación a su  persona. En la solicitud deberá detallarse la índole de los datos personales sobre los cuales deba facilitarse la información. El servicio o ente almacenante determinará el procedimiento, en especial la forma de facilitar información según las conveniencias del servicio… No precederá la facilitación de la información en los siguientes supuestos: 1. si la información perjudicare el legítimo cumplimiento de las tareas comprendidas en la competencia del servicio almacenante; 2. si la información perjudicare a la seguridad o al orden públicos o causare detrimento a la Federación o a un Estado; 3. si los datos personales o el hecho de su almacenamiento hubieren de ser mantenidos en secreto en virtud de norma jurídica o por razón de su esencia, en especial en razón del interés legítimo preponderante de un tercero ; 4. si la información hiciere referencia a la comunicación de datos personales a las autoridades mencionadas en el artículo 12, segundo párrafo, apartado 1. La facilitación de la información estará sujeta al devengo de una tasa… (art. 13 LFAPD).

(53)  Si se almacenaren por primera vez datos referentes a la persona del afectado, deberá este ser informado de  ello, a menos que hubiera tenido conocimiento del almacenamiento por otros medios. El afectado podrá exigir información acerca de los datos almacenados con relación a su persona. Si los datos fueren objeto de tratamiento automático, el afectado podrá exigir asimismo información acerca de las personas y servicios a los cuales fueren transmitidos regularmente sus datos. Deberá señalar la clase de los datos personales sobre los cuales debiere ser facilitada la información. La información se facilitara por escrito, siempre que no procediere otra forma de facilitación de información en razón de especiales circunstancias. Podrá exigirse por la información una retribución, la cual no Podrá exceder de los gastos directamente imputables a la facilitación de la información. No Podrá exigirse retribución en los casos en que por circunstancias especiales existiere motivo fundado para creer que se ha llevado a cabo un almacenamiento inexacto o ilícito de datos personales, o en los casos en que la información facilitada hubiera revelado que los datos personales debieren ser rectificados o, en virtud de lo dispuesto en el artículo 27, tercer párrafo, proposición segunda, semi-proposición primera, hubieren de ser cancelados. Los párrafos primero y segundo no regirán en la medida en que: 1. el dar a conocer datos referidos a personas pudiera crear un peligro considerable para el objeto social o los fines del ente almacenante, y no obstaren a ello intereses legítimos del afectado, 2. el servicio público competente con relación al ente almacenante hubiere observado que el dar a conocer datos referidos a personas podría poner en peligro la seguridad o el orden públicos o causar otros perjuicios para el bien de la Federación o de un Estado, 3. los datos personales hubieren de ser mantenidos en secreto en virtud de una norma jurídica o por razón de su esencia, en especial a causa de intereses legítimos preponderantes de una tercera persona, 4. los datos personales hubieren sido tomados de fuentes de acceso general, 5. los datos personales que, en virtud de lo dispuesto en el artículo 27, segundo párrafo, proposición segunda, estuvieren bloqueados porque sobre la base de disposiciones legales, estatutarias o contractuales, no pudieren ser cancelados a tenor de lo dispuesto en el artículo 27, tercer párrafo, proposición primera (art. 26 LFAPD).

_________________________

que comunicar se entiende la acción de dar a conocer a  terceros  datos  almacenados  u obtenidos directamente mediante un proceso de datos, tanto si fueren datos difundidos por el ente almacenante, como si son datos conservados por la entidad para su examen, en especial para su búsqueda automática (art. 4-2). En este sentido, la comunicación de datos personales, con el lleno de los requisitos previstos en la ley,  bien puede hacerse a personas como entidades públicas tanto en los procesos de datos de carácter público (art. 11), como en los procesos de índole privada (art. 32).

 

Cancelar,  es  la acción de hacer irreconocibles datos ya almacenados: cualquiera que fuere el procedimiento empleado a tal efecto. En tanto   modificar, se considera la acción de transformación del contenido de datos ya almacenados (art. 4-3 y 4-4). En el caso de los datos de carácter privado, la modificación de los datos personales será admisible dentro del marco de los fines de una relación contractual o de una relación de confianza análoga a la relación contractual creada, respectivamente con el titular de los datos, o en la medida en que fuere necesaria para salvaguardar intereses legítimos de la entidad almacenante, y no existiere motivo fundado para creer que de ello pudieren resultar perjuicios para los intereses dignos de protección del interesado (art. 25).

 

La Rectificación, bloqueo y cancelación de datos, son tres acciones íntimamente ligadas y subsecuentes por la consideración de sí los datos almacenados, son: a) inexactos o se duda sobre su exactitud. El in dubio pro date, como podríamos llamarlo siempre favorece al titular de los datos.  b) Si han sido almacenados de forma ilícita, c) Si los datos dejado de ser necesarios para los fines para los cuales fueron almacenados; y, d) porque así “lo exige” el titular de los datos (“afectado”).

 

Sin embargo, la rectificación de los datos sólo es procedente en el caso de no ser exactos los datos personales (art. 14 y 27 ab initio).

 

Se procederá al bloqueo de datos, cuando su exactitud fuere discutida por el titular de los mismos y no fuere posible determinar su exactitud ni su inexactitud. Igualmente serán bloqueados los datos cuando su conocimiento hubiere dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas a éste encomendadas, a menos que fueren imprescindibles para fines científicos, para fines probatorios, “intereses preponderantes del servicio almacenante o de un tercero”, o por consentimiento del titular de los datos. Esto rige para los datos con carácter público como los de carácter privado

 

La cancelación de datos, en los datos de carácter público,  procederá cuando su conocimiento hubiera dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas comprendidas dentro de su competencia y no existieren motivos fundados para creer que la cancelación pudiera causar perjuicio a intereses dignos de protección del titular. Igualmente serán cancelados los datos si su almacenamiento hubiere sido ilícito o cuando así lo exigiere el interesado. En los datos de carácter privado, además de los anteriores casos, procederá la cancelación cuando así lo exigiere el interesado, en los datos referentes a condiciones de salud, acciones punibles, infracciones de policía, así como a concepciones religiosas o políticas, si su exactitud no pudiere ser probada por la entidad almacenante (art.14 y 27 in fine).

 

El habeas data y el grupo de derechos subsecuentes rigen para los titulares de datos cuando sean almacenados tanto en un “proceso de datos de autoridades y otros servicios públicos” (art.7 y ss LFAPD), o procesos informatizados de carácter público, como en los  “procesos de datos de entes no públicos para uso interno” (art. 22) y los “procesos de datos realizados con finalidad mercantil para entes no públicos”, vale decir de carácter privado o que se reputan privados a los efectos de la LFAPD, respectivamente  (v.gr. el caso de las “empresas públicas de derecho público”, art.31).

2.2.2.2.            Definiciones aplicables al proceso informatizado de datos

 

La LFAPD, estructura tres procesos de datos, a saber: a) El Proceso de datos de autoridades y servicios públicos (arts.  7 a 21); b) El proceso de datos de “entes” no públicos para uso interno (arts. 22 a 30); y c) El proceso de datos realizado con finalidad mercantil para entes no públicos (arts. 31 a 40). En estos procesos de datos de naturaleza jurídica de derecho público y de derecho privado, respectivamente,  rige por igual etapas o fases, principios, derechos y deberes de los titulares de los datos, a pesar de estar regulados por separado, pues la misma norma reiterada como innecesariamente los reglamenta para cada uno, con específicas diferencias. V.gr. sobre el derecho de “facilitación de información al afectado” (arts. 14, 27 y 34), con cuasi similar contenido para cada uno de los procesos.

 

Interesa a los propósitos de la investigación, desentrañar las etapas ínsitas en dichos procesos, cara a la estructuración del procedimiento informatizado de datos informáticos.

 

En efecto, las etapas o fases inmersas en el  proceso alemán de datos  inmersa en las tres clases de procesos de datos son: a) La etapa de recolección o de “elaboración” de datos; b) La etapa de almacenamiento; c) La etapa de conservación e inscripción en un  registro (público, privado o mixto, según fuere el caso); y d) La transmisión  o  comunicación de datos; y e) Rectificación, bloqueo y cancelación de datos.

 

La LFAPD, al hablar del proceso de datos, en general, estipula que a éste debe someterse los titulares de los datos o interesados, si así está previsto en una ley o norma jurídica en forma expresa o si el interesado así lo consiente en forma escrita, “siempre que no procediere otra forma en razón de especiales circunstancias” (art. 3 LFAPD).

 

Igualmente, interesa aquí  destacar los conceptos estructurales del derecho de habeas data y el de “archivo informatizado” que están íntimamente ligados con el concepto de proceso de datos. En efecto, se considera archivo informatizado, una colección de datos estructurados de manera homogénea, susceptibles de ser obtenidos y ordenados de conformidad con determinadas características y, en su caso, reordenados y explotados de conformidad con otras características determinadas, cualquiera que fuere el procedimiento empleado a tal efecto, sin se consideren comprendidos los expedientes y las colecciones de expedientes, a menos que los mismos pudieren ser reordenados y explotados por procedimientos automáticos (art. 1-3).

 

Ahora, pasemos a ver otros aspectos capitales del procedimiento informatizado de datos alemán que aún hoy, tienen relevancia y discusión doctrinal no pacífica.

 

2.2.2.3.            El Comisario de protección de datos: Un Ombudsman [54] en el sector público y un veedor ciudadano en el sector privado

 

La figura del Comisario de datos personales en el proceso de datos alemán se estructura, cualifica y funciona, según la clase de proceso (público o privado) ante el cual se nombra o se designa por parte de las autoridades públicas federales o las personas privadas competentes, según fuere el caso y ámbito competencial.

 

2.2.2.3.1.         El Comisario Federal de protección de datos en el sector público

 

El nombramiento del Comisario Federal de protección de datos en “los procesos de datos de autoridades y otros servicios públicos”, se realiza por el Presidente Federal a propuesta del Gobierno Federal. El nombramiento se extingue por expiración del plazo de mandato y por destitución, previo trámite legal y la entrega de un “instrumento fehaciente” extendido por el Presidente Federal.

______________________

(54)     ORTI VALLEJO, A. Ob. ut supra cit., pág. 13

______________________

 

El designado como Comisario prestará su juramento y cumplirá un plazo de cinco (5) años y su régimen jurídico será el de derecho público. Jerárquicamente depende el Ministerio Federal del Interior, quien podrá entre otras atribuciones, encomendar a un sustituto del Comisario, cuando el titular se viere impedido para ejercer el cargo.

 

El Comisario Federal de Protección de Datos, tiene las siguientes funciones:

 

  1. a) De cumplida ejecución y de asesoramiento sobre leyes de protección de datos. En consecuencia, velará por  la  observancia  y  cumplimiento  de  la LFAPD; así como de otros preceptos sobre protección de datos a los cuales  están obligados las autoridades públicas y otros servicios públicos de la Federación, para corporaciones, instituciones y fundaciones de derecho público, etc. Se exceptúa de esta previsión los Tribunales, en la medida en que estos no conocieren de negocios contencioso-administrativos. A este efecto podrá formular recomendaciones en orden al mejoramiento de la protección de datos, pudiendo en especial asesorar al Gobierno Federal y a los distintos Ministros, así como a las restantes autoridades públicas en todo lo tocante a la protección de datos.

 

  1. b) De Emisión de dictámenes e informes. Si fuere requerido a ello por “la Dieta Federal Alemana” o por el Gobierno Federal, el Comisario Federal deberá emitir dictámenes e informes. Asimismo elevara anualmente a la Dieta Federal Alemana una memoria de sus actividades.

 

  1. c) De solicitud de auxilio a autoridades y servicios públicos. El Comisario podrá solicitar a las autoridades y servicios públicos le faciliten información en relación con las preguntas que éste formulare, así como facilitarán el examen de toda clase de documentos y expedientes que guardaren relación con la elaboración de datos  referidos a  personas, especialmente los datos almacenados y los programas de ordenador. Y, como consecuencia, permitirán  en todo momento el acceso a  todos los locales oficiales.

 

  1. d) De Registro. EI Comisario Federal llevará un registro de los archivos explotados automáticamente, en los cuales se almacenaren datos referidos a personas. Dicho registro se limitará a contener un cuadro general de la naturaleza de los archivos y de los fines para los cuales fueren empleados. El registro podrá ser examinado por toda persona. Las autoridades, servicios y entidades públicas, estarán obligadas a denunciar al Comisario Federal los archivos explotados automáticamente por las mismas. Quedan exentos de esta obligación: La Oficina Federal de Defensa Constitucional, el Servicio Federal de Investigación y el Servicio de Contraespionaje Militar (art. 19).

 

  1. e) De reclamaciones. Si el Comisario Federal de Protección de Datos observare que con ocasión del proceso de datos personales se atenta contra LFAPD, o contra las normas jurídicas de protección de datos, formulará una reclamación ante la autoridad suprema federal competente, si se tratare de la Administración Federal; ante la Dirección del Ferrocarril Federal, si se tratare de este; ante la Dirección o, en su caso, ante el órgano que tuviere atribuida la representación, si se tratare de corporaciones, instituciones o fundaciones de Derecho público directamente dependientes de la Federación, así como si se tratare de agrupaciones de tales corporaciones, instituciones y fundaciones; y la intimara a que se pronuncie dentro de un plazo que el mismo fijara (art. 20).

 

  1. f) De protección de los derechos de los titulares de datos personales. Toda persona podrá acudir al Comisario Federal de Protección de Datos si fuere de la opinión de que en el curso del tratamiento de sus datos personales realizado por las autoridades, servicios y entidades públicas, a excepción de los Tribunales, siempre que estos no conocieren de negocios contencioso‑administrativos, han lesionada los derechos de aquellas (artículo 21).

 

2.2.2.3.2.         El Comisario de protección de datos en el sector privado

 

La LFAPD, si bien distingue los “procesos de datos de entes no públicas para uso interno” y los “procesos de datos realizados con finalidad mercantil para entes no públicos”, no procede de idéntica manera, cuando menos, respecto de las funciones generales y especiales que el Comisario de Protección de los datos en el sector privado debe cumplir en uno y otro procesos.

 

En efecto, cuando se trata de procesos de datos de entes no públicos para uso interno, la designación del Comisario de Protección de datos se realizará, según el art. 28 de la LFAPD, por las personas, sociedades y otras agrupaciones de personas de derecho privado que sometan a tratamiento (o elaboraren) automáticamente datos personales y a tal efecto ocuparen con carácter permanente, por regla general, a cinco trabajadores por lo menos, deberán nombrar por escrito, lo más tarde dentro de un mes después de iniciar su actividad, a un Comisario de Protección de Datos. Igual se procederá si se ocupare con carácter permanente a veinte trabajadores.

 

El Comisario de Protección de Datos dependerá directamente del propietario, de la Dirección, del gerente o de otra persona a quien correspondiere la dirección en virtud de disposición legal o estatutaria. En la aplicación de su pericia profesional en materia de protección de datos no estar sujeto a instrucciones superiores. No podrá ser objeto de perjuicios por razón del cumplimiento de sus funciones.

 

El Comisario de Protección de Datos, cuando se trata de “procesos de datos realizados con finalidad mercantil para entes no públicos”, se designará por las personas, sociedades y otras agrupaciones de personas de derecho privado, o en su caso, por las empresas de derecho público que concurrieren en el mercado, según el art. 38 de la LFAPD. En cuanto a las funciones generales y especiales, éste Comisario cumplirá, en cuanto fuere procedente, las que se atribuyen al Comisario en el proceso de datos de entes no públicos para usos internos.

 

En tal virtud, El comisario de Protección de Datos, para uno y otro proceso de datos, cumple en su ámbito competencial idénticas  funciones generales a las atribuida al Comisario Federal de Protección de Datos; vale decir, que velará por la observancia, cumplimiento y conocimiento de la LFAPD; así como de otras disposiciones relativas a la protección de datos. A tal efecto podrá acudir en casos de duda a la Autoridad de tutela (autoridades administrativas o jurisdiccionales, según el caso).

 

Como funciones especiales tendrá: ii) De veeduría y vigilancia de datos, fines, destinatarios y equipos. En tal virtud, llevará un estado de la clase de los datos personales almacenados, así como del objeto social y los fines para cuya realización o cumplimiento fuere necesario conocer tales datos, de sus destinatarios regulares y la clase de los equipos de tratamiento automatizado de datos que estuvieren instalados; (ii) De veeduría de medios informáticos. Velará por la regularidad de la aplicación de los programas de ordenador con cuya ayuda debieren ser tratados los datos personales; y, (iii) De veeduría profesional. Prestan asesoramiento en la selección de las personas que se hubieren de ocupar en el tratamiento de datos los personales.

 

2.2.2.3.3.         El sistema punitivo y sancionador en materia de datos previsto en la LFAPDE

 

Siendo la LFAPD, una ley de ámbito federal, su carácter es de ley general, por tanto, se aplicará subsidiariamente en caso de ausencia de ley especial o para llenar vacíos o lagunas legislativas si existieren otras leyes de protección de datos de ámbito federal (art. 45). En materia punitiva se aplicarán preferentemente a la LFAPD, a título de ejemplo las siguientes disposiciones: a) Sobre el derecho a negarse a extender certificaciones o a facilitar información por razones personales o profesionales en procedimientos judiciales (arts. 52 a 55 de la Ordenanza Procesal Penal); b) Sobre la obligación, limitación o prohibición del almacenamiento, difusión o publicación de indicaciones pormenorizadas sobre personas (art. 161 de la Ordenanza Procesal Penal); y, c) Secreto profesional (v.gr. secreto médico. Art. 203 Código Penal).

 

Sin embargo, la LFAPD, se aplicará con carácter general en los casos expresamente previstos como hechos punibles (delitos y contravenciones) contra el tratamiento (informatizado o no) de datos personales.

 

  1. Delitos (art. 41 LFAPD):

 

  1. a) Atentados contra los datos personales que no son de dominio público.

 

Se considera como hecho punible investigable a instancia de parte el que sin la debida autorización: 1. comunicare o modificare, o 2. recuperare o se procurare a partir de archivos encerrados en depósitos adecuados, datos referidos a personas y protegidos por la LFAPD, que no fueren de dominio público, será castigado con pena de privación de libertad de un año como máximo o con pena de multa.

 

  1. b) Tipo Agravado por el lucro o por perjuicio a otro.

 

Si el autor, realizare una cualesquiera de la anteriores conductas y además  obrare por precio o con el propósito de procurarse a si mismo o a otro un lucro o de causar perjuicio a otro, la pena será privativa de libertad de dos años como máximo o de multa.

 

  1. Contravenciones o “Infracciones” de policía (art. 42 Ibídem). Obra con dolo o culpa quien:

 

  1. a) Por falta de información al interesado de almacenamiento de datos que le conciernen. No informar al interesado (“afectado”), sobre el almacenamiento de datos personales que le conciernen por primera vez,  a menos que hubiere tenido conocimiento del almacenamiento por otros medios. Igual incumplimiento se dará, si por primera vez fueren comunicados datos acerca de la persona interesada, siendo que debía ser informada de su almacenamiento, a menos que hubiere tenido noticia de éste por otros medios.

 

  1. b) Por falta de designación, teniendo la obligación de hacerlo, de un Comisario de Protección de datos. Por incumplimiento de designar un Comisario de Protección de datos, por parte de las personas, sociedades y agrupaciones de derecho privado que sometan a tratamiento informatizado datos personales y que ocuparen permanentemente trabajadores (cinco o veinte)

 

Igual, sucederá cuando se incumple la obligación de designar Comisario de Protección de datos por  parte de las personas, sociedades y agrupaciones de derecho privado dentro de los procesos de datos realizado con finalidad mercantil para entes no públicos.

 

  1. c) Por falta de adjunción de motivos que justifiquen un interés legítimo para la comunicación de datos. Si el destinatario no justificare los motivos y la existencia de un interés legítimo y los medios que lo acreditaren en forma fidedigna y detallada para que sea admisible la comunicación de datos personales.

 

  1. d) Por falta de cumplimiento del “deber de denuncia”. Cuando las personas, sociedades y otras agrupaciones de personas de derecho privado, así como sus filiales y sucursales, teniendo la obligación de formular en tiempo oportuno (un mes) denuncia, no lo hacen. Igual incumplimiento se verificará, si estas personas no facilitaren al formular tal declaración los datos necesarios o no los facilitaren correctamente o de manera incompleta.  Estos datos se refieren a la determinación del propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y sobre personas encargadas de la dirección del tratamiento de datos y sus direcciones (art.39-2 y 3 LFAPD)[55].

 

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

 

Si bien es cierto Alemania, Suecia, Francia; entre otros Estados europeos, habían afrontado no solo teórica sino prácticamente el complejo mundo del tratamiento informatizado o no de datos de carácter personal, como el movimiento, flujo o circulación de datos entre países, expidiendo leyes sobre la materia; no es menos cierto también, que éstos esfuerzos legislativos resultaban aislados e incomprensibles incluso en el contexto de una Europa unida, pregonada y defendida desde hacía tres décadas antes con la suscripción de Francia y Alemania con la llamada “declaración o Plan Shuman” de 1950, y subsiguientemente la suscripción del “Tratado del Carbón y el Acero” de 1951–CECA–, por los países bajos, Italia, Bélgica, Luxemburgo y la entonces República Federal Alemana (RFA). Mucho más, resultaba incomprensible cuando dichos Estados  habían apostado por una Comunidad de Estados europeos, de origen económico sí, pero luego su radio ampliado a los aspectos sociales, laborales, culturales, políticos, legislativos; y en fin, en un futuro no muy lejano,  alcanzar lo que siempre buscaron: un gran Estado Europeo unido con una sola Constitución, como lo teorizaba el profesor alemán de la Universidad de Münster, Martín Seidel [56].

 

Pese a ello, el profesor Davara [57], sostiene que desde 1967 en Europa existía “conciencia europea sobre protección de la privacidad” (por la traducción literal de la “privacy” anglosajona) y para ello relaciona varias recomendaciones surgidas en el seno del Consejo de Europa, el cual constituyó una comisión consultiva para estudiar las tecnologías de la información y su potencial agresividad a los más elementales derechos de la persona, entre los que estaba la Intimidad. Entre las más destacadas están; (i) La Resolución 509 de 1958, de la Asamblea del Consejo de Europa,

 

________________________

(55)     LFAPD. ART. 39.  Deber de denuncia. Las personas, sociedades y otras agrupaciones de personas que se  mencionan en el artículo 31, así como sus filiales y sucursales, deberán dar cuenta de la iniciación de su actividad ante la autoridad de tutela competente dentro del plazo de un mes. Al Llevar a cabo la denuncia, deberán comunicarse al Registro llevado por la Autoridad de tutela los siguientes datos: 1. nombre o denominación del ente; 2. propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y personas encargadas de la dirección del tratamiento de datos; 3. dirección; 4. objeto social o fines del ente y del tratamiento de datos; 5. naturaleza de los equipos utilizados para el tratamiento automatizado de datos; 6. nombre del Comisario de Protección de Datos; 7. naturaleza de los datos personales almacenados por el ente o por encargo suyo; 8. en caso de comunicación regular de datos personales, destinatarios y naturaleza de los datos comunicados. El primer párrafo regirá en cuanto fuere procedente para la terminación de la actividad, así como para la modificación de los datos facilitados en virtud de lo dispuesto en el segundo párrafo.

(56)      Vid., RIASCOS GOMEZ, Libardo O. Los denominados recursos ante los tribunales de Justicia de la UE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, pág. iii y 1.

(57)      DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997, pág. 56-61.

__________________________

sobre “Derechos Humanos y los nuevos logros científicos y técnicos”, (ii) Las recomendaciones del Comité de Ministros del Consejo de Europa de 1973 y 1974, sobre la creación de bancos de datos en el sector privado y público, respectivamente, (iii) En Septiembre de 1980, la Recomendación de la OCDE, sobre el flujo internacional de datos, protección a la intimidad y las libertades fundamentales, (iv) Recomendación del 30 de abril de 1980, relativa a la enseñanza, la investigación y la formación en materia de “informática y derecho”, (v) La Recomendación del 18 de septiembre de 1980, relativa al intercambio de informaciones jurídicas en materia de protección de datos, (vi) La Recomendación del 23 de enero de 1981, relativa a la reglamentación aplicable a los bancos de datos médicos automatizados, (vii) La Recomendación del 23 de Septiembre de 1983, relativa a la protección de los bancos de datos de carácter personal utilizados con fines de investigación científica y de estadísticas, (viii) La Recomendación de 23 de enero de 1986, relativa a la protección de los datos de carácter personal utilizados con fines de seguridad social”.

 

Con base en éstos o por inspiración de aquellos, algunos Estados Europeos expidieron sus propias normas de ámbito nacional, relativas al tratamiento informatizado de datos, con marcadas diferencias tanto en la conceptualización de los términos técnico-jurídicos (datos, fichero, banco de datos, tratamiento “automatizado”, etc.), como en lo referente a la enunciación y enumeración de principios, derechos, deberes y excepciones al tratamiento y la protección de los datos, lo cual indicaba que no existía univocidad en los temas referidos, en el grado y categorías de protección que estilaban dispensar a los datos de carácter personal sometidos a tratamiento informatizado en uno y otro país, ni menos el ámbito de los derechos fundamentales que en éste se involucraban si no era únicamente el de la intimidad.

 

Orti Vallejo [58] , estima que esta etapa de legislación estatal de protección de datos, se caracteriza por la preocupación de tutelar la intimidad de la persona, como lo acredita  el  hecho  de  que  se  protejan las informaciones consideradas sensibles, que son aquellas que tienen una más inmediata incidencia sobre la vida privada y sobre el datos produjo dos enclaves actualmente vigentes: por un lado, el matrimonio de las leyes de protección de datos aparentemente únicamente con el derecho a la intimidad, produjo a partir de ésta época una identificación casi plena sustentada en la argumentación de que la informática atentaba directa y plenamente  a la intimidad y no al conjunto de derechos y libertades fundamentales, tal como se revelaría en las diversas normas protectoras de datos personales;  y por otro lado, considerar al derecho de habeas data como una sola emanación del derecho anglosajón del habeas corpus y de  aplicación exclusiva al tratamiento de la información manual o mecanizada, sino también,  a todo procedimiento de tratamiento de datos personales de carácter  informatizada. Esto replanteaba el tradicional de  “derecho de acceso” a la información que tiene toda persona sobre los datos que le conciernen, así como los facultades subsecuentes, de conocimiento, consulta, rectificación, bloqueo y cancelación de información o datos personales que sean erróneos, inexactos o  ilegales.

 

De ésta época, tomaremos como prototipo de análisis y estudio las normas supraestatales o comunitarias de protección de datos personales que tendieron desde aquella  época  hasta los actuales momentos por la normatización y normalización del tratamiento informático de datos personales, la protección integral de los derechos, libertades públicas (o “individuales”) e intereses legítimos. En efecto, abordaremos la Recomendación del Consejo de la OCDE, del 23 de Septiembre de 1980, cuyo ámbito se extiende a los Estados de la Comunidad Europea (hoy, UE) y los algunos Estados de Oriente y Occidente. Así mismo, el Convenio de Estrasburgo de 28 de Enero de 1981, el cual creó un espíritu normalizador de todo cuanto existía en Europa sobre tratamiento informatizado de datos personales.

__________________________

(58)     ORTI VALLEJO. A. Ob. ut supra cit., pág. 15

__________________________

 

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

 

La OCDE (Organización de Cooperación y Desarrollo Económico), creada en 1948, como organización de cooperación preferentemente económica entre Estados Europeos que hoy forman la UE (Unión Europea), EE.UU y Canadá (1960), Japón (1964), Finlandia (1969), Australia (1971) y Nueva Zelandia (1973). Sin embargo, las funciones de esta organización internacional de Estados también se dirige desde su nacimiento hasta la actualidad a proyectar, planear, desarrollar, emitir conceptos, sugerencias y recomendaciones sobre diferentes aspectos de la vida que inciden de alguna manera en lo económico, tales como las estrategias, políticas y directrices sobre la protección de derechos fundamentales, libertades públicas e intereses legítimos de las personas naturales, jurídicas, públicas o privadas, según fuere el caso, con miras esencialmente ha facilitar la armonización de las legislaciones nacionales de los diferentes Estados que componen la OCDE.

 

En éste último orden de ideas, la OCDE recomendó a sus Estados Miembros, sin perjuicio de sus legislaciones internas sobre la materia [59], unas directrices sobre la protección de todo derechos fundamentales, como el de la intimidad, las “libertades individuales”, y sobre el derecho a la información  que  tiene toda persona  y ” conciliar  valores fundamentales aunque susceptibles de entrar en conflicto, tales como la intimidad y el libre flujo de la información” (Preámbulo del Convenio). Esta recomendación previos los proyectos y estudios, por parte de las comisiones y subcomisiones de expertos respectivas se concretó en lo que se conoce como “Recomendación Adoptada por el Consejo de la OCDE  (con base en los arts. 1 (c), 3 (a) y 5 (b) del Convenio relativo a la OCDE, de 14 de diciembre de 1960) del 23 de Septiembre de 1980, “por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales”.

 

El Texto de la Recomendación propuesto al Consejo por el Comité de Política Científica y Tecnológica, fue aceptado por los Estados Miembros de la OCDE, entre los que Estaba España, Alemania Occidental, Austria, Bélgica, Dinamarca, EE.UU., Finlandia, Francia, Grecia, Italia, Japón, Luxemburgo, Noruega, Nueva Zelandia, los Países Bajos, Portugal, Suecia y Suiza; en tanto que, Islandia, Turquía y el Reino Unido  adhirieron a la Recomendación,  el 21 de enero de 1981 y el 27 de Octubre d e  1981,  respectivamente, no sin mantener su abstención por lo que se había sostenido en la sesión de 23 de Septiembre de 1980.

________________________

(59)    El artículo 5 del Convenio de 14 de diciembre de 1969, de la OCDE, expresa: “Con miras a alcanzar sus objetivos, la Organización, podrá: a) adoptar decisiones que, salvo disposición en contrario, vincularan a todos los miembros: b) formular recomendaciones a los miembros; c) concertar acuerdos con sus miembros, con Estados no miembros y con organizaciones internacionales”. Por su parte, el articulo 18 del Reglamento de Procedimiento de la OCDE, de julio de 1976, dispone: “a) Las decisiones de la Organización, adoptadas de conformidad en los artículos 5, 6 y 7 del Convenio, podrán ser: (i) decisiones obligatorias para sus miembros, y que estos ejecutarán previo cumplimiento de los procedimientos que requieren sus constituciones; (ii) decisiones por las que fueren aprobados acuerdos concertados con sus miembros, con Estados no miembros y con organizaciones internacionales; (iii) decisiones de orden interno relativas al funcionamiento de la Organización, que se denominaran resoluciones; (iv) decisiones por las que se hicieren comunicaciones a Estados no miembros o a organizaciones. b) Las Recomendaciones de la Organización, formuladas de conformidad con lo dispuesto en los artículos 5, 6 y 7 del Convenio, serán sometidas a la consideración de los miembros para que estos procedan a su ejecución si lo estimaren oportuno,  c) los textos de las Decisiones o de las Recomendaciones a que se alude en los apartados a), (i) y b) que anteceden, deberán incluir una referencia al artículo 4- a) o al artículo 5-b), respectivamente”. Citado por RIVERA LLANO, A. Ob.cit., p.178.

______________________

 

La Recomendación de la OCDE, constituye un documento de capital importancia para aquella época e incluso con plenas y claras incidencias en la actualidad, tanto en las legislaciones internacionales como en las comunitarias europeas  [60]. El documento preparado por un grupo heterogéneo de expertos de diferentes Estados de Occidente y Oriente del mundo, es un fiel, serio, oportuno y claro diagnóstico y recetario de los innumerables hechos, sucesos, problemas, conflictos y proposición de sugerencias y soluciones a los mismos, sobre todo lo atinente al flujo internacional de datos entre países miembros de la OCDE y la protección de los derechos fundamentales como el de la intimidad (aunque no en todo su contexto, pues sólo se destaca la visión iusinformática de la intimidad), como hace énfasis el preámbulo, el texto y contexto y  las Memorias Explicativas (en adelante M.E.) de la Recomendación; además del conjunto de las llamadas libertades individuales (surgidas en la historia del constitucionalismo del liberalismo anglo-francés, y que hoy se consideran como un ámbito importante de los derechos fundamentales) [61],  dentro de las cuales se encuentra el hoy llamado “derecho de habeas data”, el derecho a la información y  los  derecho de impugnación y recurso que tiene toda persona contra decisiones administrativas o judiciales.

 

La Recomendación de la OCDE, en el anexo correspondiente  a las “directrices sobre protección de la intimidad y de los flujos de datos de carácter personal a  través de las fronteras”, estructura las cinco partes en las que se compone. Estas están referidas a las generalidades, Los principios fundamentales a aplicar en el ámbito interno, los principios fundamentales aplicables en el ámbito internacional: libre circulación y restricciones legítimas, la aplicación de los principios en el ámbito interno; y, la cooperación internacional.

 

________________________________

(60)     El profesor destaca esa importancia de la Recomendación de la OCDE, pero más dirigida a la vocación legislativa de los Estados Miembros que con vocación europeísta, y más aún, internacionalista, tal y como fue su origen y presentación. DAVARA RODRIGUEZ, Miguel. Manual de Derecho Informático. Ob.cit., pág. 57.

(61)         La importancia mundial que han adquirido los derechos fundamentales en el ámbito del derecho constitucional español a tenido relevancia muchísimo antes del reconocimiento constitucional en 1978, tal y como lo sostiene SEMPERE, al referirse a la “Tutela constitucional de los derechos fundamentales de la personalidad”, y en especial al derecho a  la intimidad  prevista en el art. 18 CE, que en el momento de la entrada en vigor del texto constitucional ya existía un cuerpo consolidado de doctrina y jurisprudencia con el reconocimiento y tutela de los derechos del honor, la intimidad, la imagen; entre otros. En igual forma, se suma a ello, que con carácter preconstitucional la protección de los derechos fundamentales, tanto en el ámbito penal (doctrina del T.C., sobre los delitos de injurias y animus iniuriandi y una nueva regulación del C.P.) como en el ámbito de la tutela civil (L.O.1/1982, de 5 de Mayo), así como en relación con la compatibilidad de uno u otro tipo de tutela y la posibilidad de elección, entre ellos, por el interesado. Tal reconocimiento determina, al menos, cuatro consecuencias a destacar: 1. El reconocimiento de los derechos privados de la personalidad mencionados en el artículo 18 como derechos fundamentales. El mismo conlleva una doble consecuencia. Por un lado, afirmar que ya no tiene mucho sentido hablar de estos derechos como derechos subjetivos de naturaleza privada, sino como derechos fundamentales de la personalidad, tal como lo sostiene DIEZ PICAZO. Por otro lado, en el ejercicio y limitaciones de estos derechos debe aplicarse la doctrina del T.C., sobre los derechos fundamentales. 2. Exigencia de garantía frente al legislador ordinario. Se concretaría en el respeto por parte de las leyes que regulen el ejercicio de estos derechos, de un contenido mínimo esencial (art. 53.1 CE). Concepto éste jurídicamente indeterminado cuyo control corresponde, en último término, al TC (art.12), a través del recurso de inconstitucionalidad, recurso con el que se garantiza la primacía de la C.E. –arts. 161.1. a) CE y 27 y 55.2 de la L.O.T.C. 3. Cualificación de la intervención del legislador: reserva de la ley orgánica. Implica que la ley que desarrolle el ejercicio de estos derechos, tanto en su aprobación como modificación, se ajuste a un procedimiento y quórum especiales (art. 168 CE), dado que se trata de leyes orgánicas (art. 81 y 82 CE). 4 . Habilitación de tutela especial ante el Tribunal Constitucional: Recurso de amparo…. SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen. Ob.ut supra cit. p. 390 y ss.

_____________________________

A nuestros efectos destacaremos, los siguientes temas: a) las definiciones en el tratamiento informatizado de los datos personales y, b) los principios y excepciones fundamentales del tratamiento informatizado de los datos, tanto en el  ámbito nacional como en el  ámbito internacional, y dentro de éste especialmente, el principio denominado de la libre circulación de datos personales y las restricciones legítimas.

 

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

 

Siguiendo el criterio –generalizado en la década de los ochenta– la Recomendación de la OCDE, prevé una serie de definiciones ius-informáticas, tales como, Responsable del fichero, datos de carácter personal y flujos internacionales de datos de carácter personal. Se abstiene de definir lo que debe entenderse como “tratamiento automático de datos”, pese a que en el preámbulo y en el apartado tercero referido a los “grados de sensibilidad de los datos”, se menciona expresamente. Las razones, entre muchas otras,  son: limitar al máximo las definiciones; y en el caso específico,  porque resulta difícil hacer una distinción clara entre tratamiento “automático y no automático de la información” [62] y porque las directrices no están dirigidas exclusivamente al tratamiento de datos de carácter personal con “ordenadores” (o “automático”),  aunque curiosamente esto fue la punta del iceberg que convocó la reunión, estudio y planteamiento de las recomendaciones ahora comentadas [63].

 

La persona física a la que se refiere la definición tiene que gozar de una habilitación legal para decidir, sobre el contenido y utilización de los datos, independientemente de si los datos han sido o no obtenidos, registrados, tratados o difundidos por dicha persona o por una persona que obra en su nombre. El responsable del fichero puede ser una persona física o jurídica, una autoridad u organismo público.

 

La definición excluye, por tanto a: a) las autoridades competentes para conocer autorizaciones o licencias y los organismos que autorizan el tratamiento de la información pero son competentes para decidir sobre qué actividades deben llevarse a cabo y para que fines; b) las empresas de

 

_____________________________________________

(62)       Cfr. MEMORIA EXPLICATIVA (M.E) Punto 34. “Tratamiento automático y no automático de datos”. Las actividades que la OCDE había venido dedicando a la protección de la intimidad y a otros ámbitos conexos estaban centradas en el tratamiento automático de la información y en las redes de ordenadores. El grupo de expertos considero con especial atención la cuestión de si el alcance de estas directrices debía o no quedar limitado al tratamiento automático e informatizado de los datos de carácter personal. Este enfoque puede justificarse por razones diversas, tales como los especiales peligros que llevan consigo para las libertades individuales la automatización y los banco de datos informatizados, el creciente predominio de los métodos de tratamiento automático de la información, en especial en el contexto de los flujos internacionales de datos, así como el marco especifico de la política de la información, de la informática y las comunicaciones, dentro del cual hubo de cumplir su mandato el grupo de expertos. AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2.

(63)      M.E. Punto 35. “Así, por ejemplo, existen sistemas mixtos de tratamiento de la información y hay también ciertas etapas del tratamiento de la información que pueden o no ser susceptibles de automatización. Estas dificultades pueden agravarse aun mas como consecuencia de los continuos progresos técnicos, tales como la aparición de métodos semiautomáticos perfeccionados basados en la utilización de microfilmes o de microordenadores, que podrán ser empleados cada vez más para fines meramente privados, a la vez inofensivos e incontrolables. A mayor abundamiento, si las directrices se centraran únicamente en los ordenadores podrían dar lugar a incoherencias y lagunas, del mismo modo que podrían crear para los responsables de ficheros posibilidades de obviar las normas de aplicación de la directrices con sólo utilizar medios no automáticos para fines que podrían ser nocivos”. Ibídem Ob. ut supra cit.

________________________________________

servicios informáticos que realizan actividades  de tratamiento de la información por cuenta de terceros; c) las autoridades competentes en materia de telecomunicaciones y los organismos análogos; d) los usuarios dependientes, que si bien pueden acceder a los datos, no están sin embargo autorizados para decidir sobre qué  datos deberían ser registrados o cuales utilizados (M.E. núm.40).

 

Los Datos de carácter personal, o simplemente datos personales, se considera cualquier información relativa a una persona física identificada o identificable –o también interesado– (R.1-b).  Las directivas se aplicarán tanto a los datos personales en el sector público como en el sector privado, siempre que acarrearen un peligro para la intimidad y las libertades individuales, a causa de la manera en que fueren elaborados o por razón de su naturaleza o del contexto en que fueren usados (R.2). En esta aplicación deberá observarse: a) las  medidas de protección a las diversas clases de datos tanto en la obtención, almacenamiento, elaboración o difusión. b) que no se excluyen ni siquiera datos de carácter personal que de manera manifiesta no ofrecieren riesgo alguno para la intimidad y las libertades individuales [64], y c) que no se limitará la aplicación de las directrices a la “elaboración automática” de datos personales (R.3).

Los flujos internacionales de datos de carácter personal, se consideran a   los movimientos de datos de carácter personal a través de las fronteras nacionales (R.1-c). Aunque hace referencia a los flujos internacionales, las directrices no tienen en cuenta problemas hacia el interior de los Estados Federales. Los movimientos de datos tendrán lugar a menudo mediante la transmisión electrónica, pero también  pueden  servirse de otros medios de transmisión, así como por vía satélite (M.E. núm. 42).

 

2.3.3.               Principios y excepciones fundamentales del tratamiento informatizado o no de los datos personales

 

Las partes  segunda, tercera y cuarta de la Recomendación de la OCDE, se destinan a  hacer referencia a los principios fundamentales a aplicar en el ámbito interno, los principios fundamentales a aplicar en el ámbito internacional: libre circulación de los datos y restricciones legítimas y aplicación de los principios en el ámbito interno, que no es más que un aparte reiterativo de las gestiones administrativas, jurídicas, legislativas “y de otra índole” que los Estados Miembros de la OCDE deben adelantar para implementar los medios y mecanismos idóneos para aplicar los principios en sus ámbitos legislativos internos y hacer efectivas las medidas de protección del derecho a la intimidad y las libertades individuales[65].

 

Los principios fundamentales aplicables al tratamiento informatizado o no de los datos personales en el ámbito nacional, según la directiva son: a) limitación de la colecta de los datos, b) calidad de los datos, c) especificación del fin, d) restricción del uso, e) garantía de la seguridad, f) transparencia, g) participación del individuo y h) responsabilidad.

_________________________________

(64)      M.E. Punto 1 a 3. Los problemas prioritario que detectaron las comisiones y subcomisiones de expertos se refieren principalmente al derecho a la intimidad; la informática, la tecnología (de ordenadores, redes de  comunicación), las telecomunicaciones, el derecho a la información y el de “habeas data”, aunque en el texto de la Recomendación y las M.E., se hace mención genérica al derecho de acceso a la información, a conocer, actualizar, cancelar o modificar los datos de carácter personal por el titular o interesado; el “tratamiento automático de la información. En particular se refieren a la intimidad en un concepto más amplio que el tradicional derecho de  “sólo dejar a sola” — el “The Right to Privacy” anglosajón–, y algo que se convertirá en la cantinela de proposición de toda la Recomendación, al decir:  “con la expresión intimidad y libertades individuales constituye el aspecto más controvertido” de todos cuantos se tratan en la Recomendación de la OCDE de 1980.

(65)         P.IV: “APLICACION DE LOS PRINCIPIOS EN EL AMBITO INTERNO. 19. Los países miembros al  aplicar en su ámbito interno los principios (parte II y III) deberán crear mecanismos jurídicos, administrativos y de otra índole, o instituciones, tendentes a proteger la intimidad y las libertades individuales con respecto a los datos de carácter personal. En especial, los países miembros deberán: a) promulgar una legislación interna idónea, b) fomentar y apoyar las reglamentaciones autónomas, bien en forma de códigos de deontología, bien en otra forma, c) poner a disposición de las personas físicas medios idóneos para ejercer sus derechos, d) instaurar sanciones y recursos para los supuestos de inobservancia de medidas de aplicación de los principios que se detallan en las partes II y III. e) Velar porque no exista discriminación desleal alguna contra los interesados”.

_____________________________

En el plano internacional, los principios básicos aplicables al tratamiento (informatizado o no)  de los datos personales, constituyen un complejo grupo de principios y límites  que estructuran a su vez, el principio fundamental denominado: libre circulación de datos personales dentro de un flujo o movimiento internacional de los mismos.

 

2.3.4.   Principios del tratamiento de datos en el ámbito nacional

 

Aunque se hace una distinción de los principios tanto en el ámbito nacional y el ámbito internacional, y dentro del primero en cada una de las fases del tratamiento de los datos personales (recolección, almacenamiento, registro, difusión y flujo), lo cierto es que dichos “principios son interdependientes y en parte se entrecruzan y traslapan. Por ello, las distinciones que con relación a los principios se hacen entre las actividades y las fases del tratamiento de datos son artificiales y no deben impedir que los principios sean tratados conjuntamente y estudiados como un todo” (M.E.50).  Esto se evidenció además, al analizar que los diferentes Estados Miembros de la OCDE, en sus diferentes iniciativas legislativas internas para la protección de la intimidad  y  las libertades individuales tienen muchos rasgos comunes, así como intereses, valores básicos y principios fundamentales[66] que guían y orientan las fases o ciclos del tratamiento de los datos personales.

 

Analicemos brevemente los mencionados principios:

 

  1. El Principio de limitación de la colecta de datos, hace referencia a aquellos datos personales que, debiendo ser obtenidos por medios legítimos y leales, y en el caso en que fuere procedente, con el conocimiento o el consentimiento del interesado, dichas actividades deberán ser limitadas (R.7).

 

Este principio hace referencia a dos aspectos: a)  los límites que han de fijarse a la colecta de aquellos datos que debieren ser considerados  como  especialmente datos sensibles[67] a causa de la manera en que hubieren de ser tratados, su naturaleza, el contexto en el cual hubieren de ser utilizados, y b) las condiciones que deben cumplir los métodos de colecta de datos.

 

____________________________

(66)        Esos rasgos comunes se sintetizan así: a) “poner límites a la colecta de datos personales, de conformidad con los objetivos del que hace acopio de tales datos y con otros criterios”, b) “restringir el uso de los datos,  de tal forma que se acomode a unos fines claramente expuestos; c) adoptar los medios necesarios para que el individuo conozca la existencia y el contenido de los datos y pueda requerir la corrección de los datos, y d) determinar las personas responsables del cumplimiento de las disposiciones y resoluciones de protección de la intimidad y de las libertades individuales que fueren aplicables.  “En términos generales, las leyes de protección de la intimidad y de las libertades individuales con relación a los datos de carácter personal tienden a cubrir las sucesivas etapas del ciclo que comienza con la colecta inicial de los datos y termina con la cancelación u otras medidas semejantes, y a garantizar  en  lo  posible el  conocimiento,  participación y control del individuo con respecto a dicho ciclo”. M.E. núm. 5.

(67)        Dado que por aquel entonces y hasta ahora, determinar el Agrado de sensibilidad de los datos” resulta un labor titánica, aún cuando se acude a circunstancias específicas de potencialidad del riesgo, se consideró por los expertos de la Recomendación de la OCDE, hacer mención genérica de los “datos sensibles” para que sean los Estados Miembros quienes determinen cuáles se pueden considerar como tales. Se hacía mención por ejemplo, que mientras en unos países los “identificadores personales universales” (tarjeta de identidad o cédula de ciudadanía, número de identificación profesional, de seguros, etc.), se consideran inocuos y útiles; en otros, se consideran algo delicado. Así mismo, se puso en evidencia, la disparidad de las legislaciones sobre qué datos se consideran o no sensibles. En efecto, en “las legislaciones europeas existen precedentes al respecto –es decir, considerar datos sensibles a los datos referidos a la– (raza, creencias, religiosas, registros de condenas, p.e.). Pero también se puede argüir que ningún dato es intrínsecamente privado o sensible, sino que puede llegar a serlo según su contexto y el uso que del mismo se haga. Esta opinión se refleja en la legislación de los Estados Unidos de protección de la intimidad, por ejemplo.( M. E. 50).

__________________________

 

 

En cuanto al primer aspecto, hay que resaltar lo siguiente: Se deberá poner fin a la colecta indiscriminada de datos personales, y más aún cuando se trata de universalizar la consideración  de  qué  datos  se  consideran  sensibles.  Para esto,  la  Recomendación suministra una serie de pautas que sirvan para determinar la índole de tales límites. Estas son: a)  los  aspectos  cualitativos  de  los  datos  (es  decir, que  deberá ser posible extraer de los datos obtenidos una  información de una calidad suficientemente buena, y que los datos deberán ser obtenidos dentro de un marco informativo apropiado);  b) la finalidad del tratamiento de la información (es decir, que sólo deberán ser obtenidos determinados datos y, a ser posible la colecta de datos se limitará al mínimo necesario para lograr la finalidad prevista): (i) Identificación mediante “marcas” de aquellos datos que según las tradiciones y actitudes propias de cada país miembro fueren  especialmente sensibles; (ii)  actividades de colecta de datos de determinados responsables de datos; (iii) preocupaciones relativas a los derechos humanos (M.E. núm. 51).

 

En cuanto al segundo aspecto, es decir las condiciones de los métodos de colecta de datos, se advierte contra ciertas prácticas que implican, por ejemplo, el uso de dispositivos ocultos de registro de datos, tales como magnetófonos u otros que inducen a error a los interesados, moviéndoles a facilitar información. La necesidad de poner los datos en conocimiento del interesado (que puede estar representado por un tercero, como en el caso de los menores de edad o personas “deficientes mentales”, etc.) o de obtener su consentimiento para registrarlos, constituye una norma básica, y el conocimiento, la exigencia mínima. Sin embargo, por razones prácticas, no es posible siempre exigir el consentimiento. p.e.  las investigaciones criminales y la actualización periódica de las listas de distribución de correspondencia (M.E. núm. 52).

 

  1. El Principio de calidad de los datos. Los datos personales deben ser pertinentes con respecto a los fines para los que fueron usados, y, en la medida en que fueren necesarios para tales fines, deberán ser exactos y completos, debiendo asimismo ser actualizados constantemente (R.8) .

 

La calidad de los datos hace relación a dos aspectos claramente definidos para toda información, más cuando ésta es de carácter personal. En efecto; uno, es el cumplimiento en todo el tratamiento (informatizado o no) de datos  desde la recolección misma hasta la fase de difusión, recuperación o transmisión acerca de la finalidad con que han sido tratados los datos y su correspondiente utilización posterior; y otro, como verificación de lo anterior, el de que los datos tratados deberán ser exactos, completos y constantemente actualizados. Estos aspectos están interrelacionados, puesto que no se puede exceder en la utilización de los datos la finalidad para las cuales fueron tratados (informatizada o no) en su momento. v.gr. En los datos relativos a opiniones pueden fácilmente inducir a error si se utilizan para fines con los cuales no guardan  relación alguna. Lo mismo puede decirse con respecto a los datos valorativos.

 

Sin embargo, se evidencia que en alguna clase de datos personales el criterio de la finalidad, lleva consigo el problema de si se puede o no causarse perjuicio a los interesados por falta de exactitud, de completud y de actualidad. Tal sería, el caso de las investigaciones de las ciencias sociales que llevan aparejados los llamados estudios “longitudinales” de la evolución de la sociedad, de investigaciones históricas y de actividades de archivo (M.E.núm. 53).

 

  1. El Principio de especificación del fin. Los fines para los cuales se obtuvieren datos personales deberán ser precisados en el momento de la colecta de datos, debiendo su subsiguientemente uso limitarse al cumplimiento de tales fines o de aquellos otros que, sin ser incompatibles con los mismos, fueren especificados cada vez que fueren modificados (R.9).

 

Este principio reitera, complementa y concreta el anterior principio, poniendo énfasis en la relación utilización y finalidades previstas para el tratamiento (informatizado o no) de datos, los cuales deben precisarse desde el momento mismo de la recolección.

 

Los fines pueden ser definidos de maneras diversas y complementarias, principalmente por medio de declaraciones públicas, o bien informando a los interesados, por medio de la legislación, resoluciones administrativas y autorizaciones otorgadas por los organismos de tutela.

 

Así, cuando los datos hubieren dejado de estar subordinados a un fin y, siempre que fuere posible, podrá ser necesario hacerlos destruir (borrar) o darles forma anónima. Esto por cuanto, los datos dejan de tener interés, sucede que se pierde el control sobre ellos y pueden surgir nuevos riesgos, tales como, “el hurto, reproducción no autorizada o de otras acciones ilícitas” (M.E. núm. 54 in fine).

 

  1. El Principio de restricción del uso. Los datos personales deberán ser revelados, facilitados o, en general, usados para fines que no fueren los que se especificaren de conformidad con el anterior principio, excepto en los siguientes supuestos: a) previo el consentimiento del interesado, b) previa habilitación legal al efecto (R.10).

 

Este principio que limita el uso de los datos en ciertos y precisos casos, no es más que un principio bisagra de los principios relativos a  la calidad y la determinación del fin, y como tal, juega un papel de inmovilizador de las facultades discrecionales  que tuvieran las autoridades competentes, responsables de un fichero o incluso usuarios de los datos personales tanto en la revelación o divulgación como en el mera uso de los mismos. Por ello, se limita la divulgación o el uso de los datos que impliquen desviaciones con respecto a las finalidades previamente determinadas.

 

La regla general, por la cual todo tratamiento de datos debe tener previamente determinadas sus  finalidades desde el momento mismo de la recolección, precisa dos excepciones, a saber: una, por el consentimiento del interesado (o de su representante, en el caso de menores, etc.); y otra, por disposición normativa. Estas excepciones son numerus clausus, y por tanto, no cabe excepciones interpretativas según este principio.

 

En tal virtud, podría destinarse datos personales a fines de investigación, estadísticos y de planificación social, que inicialmente se han obtenido con miras a tomar decisiones de tipo administrativo, sin que medie para ello, el consentimiento o así lo determine una norma jurídica.

 

  1. El Principio de garantía de la seguridad. Deberán preverse medidas adecuadas de seguridad para proteger datos personales contra riesgos tales como la pérdida o el acceso, destrucción, uso, modificación o divulgación de los mismos sin la oportuna autorización (R.11).

 

Este principio constituye el epicentro de las medidas de protección del derecho a  la intimidad y de las libertades individuales, cuando se ha sometido a tratamiento (informatizado o no) datos personales por quienes están involucrados en dicho tratamiento. Para concretar las denominadas “garantías adecuadas”, contra los riesgos tales como, la  pérdida de datos ( que incluye el borrado a causa de accidente, la destrucción de soportes de información  y el “hurto” de tales soportes ), el acceso no autorizado para destruir, modificar o divulgar datos, o más aún, el uso indebido o no autorizado  de los mismos (que incluye la reproducción no autorizada de datos), deberán las autoridades competentes implementar medidas idóneas proporcionales a los riesgos que los titulares de los datos pueden sufrir.

 

El grupo de expertos de la Recomendación de la OCDE, a título de ejemplo, propuso una serie de “garantías adecuadas”, tales como, las de índole material (cerrojos en puertas y tarjetas de identificación, por ejemplo), medidas de organización (niveles jerárquicos en relación con el acceso a los datos, así como la obligación que tiene el personal responsable del tratamiento de la información de respectar el carácter confidencial de los datos), y sobre todo en los sistemas informáticos, medidas relacionadas con la información (encriptación, control de actividades inusitadas capaces de constituir un peligro y medidas tendentes a hacerles frente). (M.E. núm. 56).

 

  1. El Principio de transparencia. Deberá adoptarse una norma general de transparencia en cuanto a las innovaciones, prácticas y criterios existentes con respecto a los datos personales. Deberá ser posible disponer fácilmente de medios que permitan determinar la existencia y naturaleza de los datos personales, el fin principal de su uso y la identidad del responsable de los datos y la sede habitual de sus actividades (R.12).

 

Como lo expone el grupo de expertos de la OCDE, el principio de transparencia puede ser considerado como condición previa del principio de participación individual. Como tal se considera una condición sine qua nom, para que pueda darse cabal y recto cumplimiento a uno de los principales principios con relación al tratamiento de datos, cual es el de la participación individual.

 

  1. El Principio de participación del individuo. Toda persona física gozará de los siguientes derechos: 1) obtener del responsable del fichero o de otra instancia la confirmación de si el responsable de datos tiene datos acerca de su persona. 2) Requerir que se le comuniquen los datos que hicieren referencia a la misma, y ello: i) dentro de un plazo prudencial, ii) previo abono, en su caso, de una tasa que no fuere excesiva, iii) de manera razonable, iv) de manera directamente inteligible. 3) ser informado de la motivación de la resolución denegatoria de la petición formulada al amparo de los apartados a, y b, y poder recurrir contra la denegación. 4) impugnar datos que hicieren referencia a la misma y, en el supuesto de que la impugnación fuere fundada, requerir que los datos fueran cancelados, rectificados, completados o modificados (R.13).

 

Este principio fundamental está estructurado por una serie de derechos y deberes que tienen y deben cumplir los sujetos interactuantes en el tratamiento o procedimiento (informatizado o no) de la información o datos. En efecto, se establecen los derechos que goza toda persona física en el transcurso del tratamiento de datos desde la recolección misma, así como las obligaciones que tienen que cumplir los responsables del fichero o autoridades competentes para proteger, respetar y hacer respetar esos derechos. Todo ello, dirigido a garantizar la protección de la intimidad y las libertades individuales.

 

Cuando en el principio se hace mención a los  derechos que tiene toda persona para acceder, conocer, impugnar, y en su caso solicitar, la cancelación, rectificación, complementación o modificación y actualización de los datos personales que le conciernen, simple y llanamente estamos haciendo referencia al derecho denominado de Ahabeas data@, por el cual la persona puede tener control de sus propios datos. Obviamente este derecho, como todo derecho fundamental, no es absoluto y está sometido a limitaciones previstas en las propias normas jurídicas.

 

Por ello, los expertos de la OCDE, concretaron lo siguiente:

 

  1. a) El derecho de acceso deberá ser, en general, fácil de ejercitar. Esto puede significar, entre otras cosas, que debería formar parte del conjunto de las actividades cotidianas del responsable del fichero o del que hiciere sus veces y no requerir proceso judicial o medida análoga alguna. En algunos casos podría quizá ser conveniente prever un acceso intermedio a los datos; así, por ejemplo, en la esfera médica el médico podrá servir de intermediario.

 

  1. b) La condición de que los datos sean comunicados dentro de un plazo razonable puede ser cumplida de modos diversos. Así, el responsable de un fichero que facilite información a los interesados a intervalos regulares puede ser dispensado de la obligación de responder inmediatamente a las peticiones formuladas individualmente. Normalmente, el plazo deberá ser computado desde la recepción de una petición. Su duración podrá variar en cierta amplitud de una situación a otra en función de circunstancias tales como la índole del tratamiento de la información.

 

  1. c) La comunicación de tales datos de manera razonable significa, entre otras cosas, que debe presentarse la debida atención a los problemas de la distancia geográfica, cuando menos.

 

  1. d) El derecho a ser informado de las razones, en los términos previstos en el apartado 3, es limitado en cuanto que se constriñe a situaciones en las cuales hubieren sido desestimadas peticiones de información.

 

  1. e) El derecho a impugnar, contemplados en los apartados 3 y 4, tiene una gran amplitud, y comprende las reclamaciones formuladas en primera instancia ante los  responsables de  los datos y asimismo los subsiguientes recursos presentados ante tribunales, organismos administrativos, órganos profesionales u otras instituciones, siguiendo los cauces previstos en los reglamentos internos de procedimiento. El derecho a impugnar no implica que el interesado pueda decidir cuáles sean los recursos o reparaciones disponibles (rectificación, incluso de una anotación que precise que los datos son objeto de litigio, etc.); tales cuestiones serán resueltas aplicando el Derecho interno y los cauces procesales internos (M.E. núm. 58 a 61).

 

  1. El Principio de responsabilidad. El responsable del fichero deberá responder de la observancia de las medidas tendentes a dar cumplimiento a los principios que anteceden (R.14).

 

Este principio dirigido al responsable de los ficheros constituye el principal principio-deber de éste y principio-derecho de los titulares de los datos personales para demandar su efectividad. Este responsable no  será dispensado de tales obligaciones ni siquiera cuando  el tratamiento de datos es “llevado a cabo por su cuenta por un tercero, como una oficina de servicios, por ejemplo. Más aún, es probable deducir responsabilidad”  al personal de las oficinas de servicios, a los usuarios dependientes y a otras personas. Por ello, las sanciones impuestas por incumplir la obligación de confidencialidad podrán afectar a todas las personas, físicas o jurídicas, encargadas del tratamiento de los datos de carácter personal  (M.E.núm.62).

 

 

2.3.5.   Principios del tratamiento de datos en el ámbito internacional: Libre circulación y restricciones legítimas

 

Este grupo de principios que se concreta en el Principio fundamental de la Libre circulación de los datos, está previsto en la parte III, apartados 15 a 18 de la Recomendación de la OCDE. Decimos grupo de principios porque la Recomendación no deslinda uno a uno, como sí lo hace en el ámbito nacional, los principios aplicables al ámbito internacional. En los apartados mencionados se dan pautas que unidas concretan el principio fundamental que se quiere resaltar, el de la libre circulación de los datos. Sin embargo, no debemos olvidar que siendo la transferencia, flujo o movimiento de datos uno de los ciclos posibles del tratamiento de  datos personales, es lógico pensar que a esta clase de información transmitida en el ámbito internacional se tengan que aplicar los principios generales para todo el tratamiento de la información, es decir, los que hemos comentado en el apartado anterior, para el nivel nacional. Esta tesis se ve reforzada en el texto de la Recomendación misma, pues “los países miembros deberán tender a la formulación de unos principios en el plano interno e internacional que rijan el derecho aplicable en los supuestos de flujos internacionales de datos personales” (R.22), debiendo tener en cuenta estos países “las implicaciones que para otros países miembros tuvieran el tratamiento interno de datos personales y su reexportación” (R.15).

 

Para conseguir la incardinación de dichos principios e implementar las medidas de seguridad necesarias a nivel internacional, “los países miembros deberán adoptar las medidas razonables oportunas para que los flujos internacionales de datos personales, incluso el tránsito por un país miembro, sean ininterrumpidos y seguros” (R.16); es decir, que deben estar protegidos contra los accesos desautorizados, la pérdida, destrucción,  modificación o cancelación de datos. Esta protección debe extenderse a todos los datos personales, incluso a los “datos en tránsito“, o sea, aquellos que transitan de un país a otro  sin  ser  utilizados o almacenados en éste con finalidades de posterior uso o consulta [68].

 

Todo ello, por cuanto a nivel interno, los Estados miembros de la OCDE, presentaban diferentes problemas que no podía resolver aisladamente y surgidos por la adopción de medidas que amparan a la persona con respecto al flujo o movimiento de datos personales a través de sus fronteras [69]. Además porque, este flujo había crecido, a la par con la creación de bancos internacionales de datos (entendiendo como tales, los conjuntos de datos almacenados para poder ser recuperados y para otros fines). Esto no sólo justificaba la necesidad de cooperación internacional entre los Estados para resolver estos problemas, para velar porque los procedimientos aplicables al flujo internacional de datos personales y  la protección de la intimidad y de las libertades individuales sean seguros y compatibles con los de otros países miembros,  sino que consecuentemente fundamentaba el   libre flujo de la información, así como el grupo de principios que éste conlleva, pues hasta ahora la libre circulación de datos “con frecuencia debe ser mitigado en aras de la protección de datos y de las oportunas limitaciones con respecto a su colecta, tratamiento y difusión” (M.E.7).

______________________

(68)       “EI compromiso general que se contempla en el apartado 16 deberá ser considerado, por lo que respecta a las redes de ordenadores, dentro del contexto del Convenio Internacional de Telecomunicaciones de Málaga‑Torremolinos (25 de Octubre de 1973). En virtud de este convenio, los miembros de la Unión internacional de Telecomunicaciones (UIT), entre ellos los países miembros de la OCDE, acordaron entre otras cosas, adoptar las medidas oportunas para crear los canales e instalaciones necesarios con el fin de asegurar un intercambio rápido e ininterrumpido de las telecomunicaciones internacionales. A mayor abundamiento, los países miembros de la UIT acordaron adoptar todas la medidas posibles y compatibles con el sistema de telecomunicación empleado, con objeto de garantizar el secreto de la correspondencia internacional. En cuanto a las excepciones, los miembros se reservaron el derecho de suspender el servicio de las telecomunicaciones internacionales, así como el derecho de comunicar la correspondencia internacional a las autoridades competentes, con el objeto de garantizar la aplicación de su legislación interior o la ejecución de los convenios internacionales en los cuales fueren parte los países miembros de la UIT. Estas normas se aplicarán tan pronto como los datos fueren transmitidos por medio de las lineas de telecomunicación. Dentro de su contexto propio, las directrices constituyen un medio suplementario de garantizar que los flujos internacionales de datos de carácter personal tengan lugar sin interrupción y con plena seguridad” (M.E. núm. 66).

(69)        “Otras razones para completar la reglamentación del tratamiento de datos personales a nivel internacional, son: a) los principios en juego hacen referencia a ciertos valores que varios países ansían preservar y ver respetados; b) pueden contribuir a ahorrar gastos en la circulación internacional de datos; c) los países tienen un interés común en evitar la creación de enclaves en los cuales fuera fácil hurtarse al cumplimiento de las reglamentaciones nacionales internas relativas al tratamiento de la información” (M.E.9).

________________________

Se establece como regla general, la libre circulación de los datos personales, como un principio-derecho, no  absoluto,  y  por  tanto  limitada en los siguientes casos:

 

  1. a) Todo país miembro deberá abstenerse de restringir los flujos internacionales de datos personales que tuvieren lugar entre su territorio y el de otro país miembro, excepto en el supuesto de que este no observare sustancialmente las presentes directrices o cuando la reexportación de dichos datos permitiere soslayar la aplicación de su legislación interna de protección de la intimidad y de las libertades individuales (R.17 Ab initio).

 

  1. b) Todo país miembro podrá asimismo imponer restricciones con respecto a determinadas clases de datos personales para las cuales su legislación interna de protección de la intimidad y de las libertades individuales previere regulaciones normativas específicas basadas en la naturaleza de tales datos, siempre que el otro país miembro no les otorgare una protección equivalente (R.17 In fine). Con ello no se quiere que los países tengan regímenes de protección idénticos (en forma y fondo), sino que sus efectos puedan considerarse en esencia idénticos entre los Estados que intervienen en el movimiento de datos (Emisor/Transmisor de datos. Aunque la Recomendación utiliza una terminología ius-mercantilista criticable de Importador/Exportador de datos).

 

  1. c) Los países miembros deberán abstenerse de dictar disposiciones legales, formular directrices políticas o crear prácticas que, concebidas en nombre de la protección de la intimidad y de las libertades individuales, excedieren las exigencias de dicha protección y fueren por ello incompatibles con la libre circulación de datos personales a través de las fronteras (R.18). Sin embargo, esta restricción impuesta a nivel interno no significa que se limite la actividad legislativa de los Estados sobre flujos transfronterizos en el marco comercial, tarifas aduaneras, empleo y “a otros factores económicos conexos que condicionan el tráfico internacional de datos” (M.E.núm. 68).

 

2.3.6.   Excepciones a las Directrices

 

La regla general que se establece en la Recomendación para estructurar las excepciones a las Directrices, es la de que éstas constituyen en el ámbito de aplicación de los Estados Miembros de la OCDE,  “pautas mínimas susceptibles de ser completadas con medidas adicionales de protección de la intimidad y de las libertades individuales” (R.6).

 

Si bien, ni técnica ni jurídicamente la Recomendación sin fuerza ejecutiva, expone un listado de los supuestos que deben considerarse como excepciones, como se hace en las legislaciones a nivel interno, no debe desdeñarse el hecho de plantear unas pautas generales para su aplicabilidad, partiendo de la expuesta regla general. En efecto, se entiende entonces que las excepciones serán las mínimas posibles y deben darse a conocer al público por medios idóneos (p.e. publicación en diario oficial). Dentro de ese exceptionis mínimum, la Recomendación destaca tres supuestos genéricos: La Soberanía y  la Seguridad nacionales y el orden público. Aspectos estos que en las diferentes legislaciones de los Estados, aún ahora,  han sido definitivos para construir un sistema de excepciones, aún vigente.

 

El sistema de excepciones propuesto por la Recomendación no fue númerus clausus ni concentrado. Lo primero, por lo que se ha dicho anteriormente; y lo segundo, por cuanto no sólo constituyen eventos de excepciones a la regla general del tratamiento  (informatizado o no) de datos, ni a la aplicación de los principios que propenden por su protección y garantía, sino porque en el contexto de la Recomendación se exponen supuestos con el nombre de “limitaciones”, “restricciones legítimas”, etc., que en  puridad jurídica constituyen casos de excepciones. Bástenos mirar las llamadas restricciones legítimas al flujo internacional de datos.

 

2.4.                 El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981

 

Una armonización legislativa internacional en los Estados Europeos sobre la protección de los datos personales sometidos a tratamiento informatizado por medios idóneos, constituía la aspiración capital del Convenio 108 del Consejo de Europa de 28 de Enero de 1981. Esto es lo que se pretendió con el Convenio de Estrasburgo, y en efecto se logró. El Convenio Europeo de 1981, como también se le conoce, relativo a la  protección de personas en relación con el tratamiento automatizado de datos de carácter personal, fue ratificado por España el 27 de Enero de 1984, con lo cual a partir de allí perteneció a los Estados con leyes de protección de datos de la segunda generación. Este texto, aparte de constituir norma jurídica de derecho interno en España, por el ingreso al ordenamiento jurídico (art.96.1 CE) y ser un eficaz instrumento de interpretación de los derechos humanos, en lo referente al “uso de la informática” (STC 254/1993, de 20 de Julio), ha servido de modelo normativo (en forma y contenido no muy fiel, como veremos) a la  Ley Orgánica de regulación del tratamiento automatizado de datos de carácter personal española —LORTAD: L.O.5/1992, Oct. 29 [70]. Incluso a la vigente Ley 15 de 1999.

 

En el Preámbulo del  Convenio de Estrasburgo, se establecen las líneas directrices y programáticas para todos los Estados Miembros del Consejo de Europa, así como las posturas jurídicas a observar por los dichos Estados, respecto a la protección de los derechos y libertades fundamentales, en general, y al derecho a la intimidad (aunque conceptualmente se refiera  a “la vida privada”), en especial. Esta particularidad ha hecho que la protección en el tratamiento informatizado de datos personales sea inmediatamente identificada en su vulnerabilidad con el derecho a la intimidad, tal como lo hicieran otras normas comunitarias y estatales de protección de datos. Así mismo se confirmó varios postulados y principios previstos en la Recomendación de la OCDE de 1980, pero especialmente sobre la Libre circulación de datos, la libertad de información y la conciliación y respeto mutuo de derechos y libertades fundamentales.

 

Estas Directrices capitales son: a) Propender por una unión más íntima entre sus miembros, basada en el respeto particularmente de la preeminencia del derecho así como de los derechos humanos y de las libertades fundamentales; b) Ampliar la protección de los derechos y de las libertades fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos automatizados; c)  Reafirmando al mismo tiempo su compromiso en favor de la libertad de  información sin tener en cuenta las fronteras; y  d)  Reconociendo  la  necesidad de conciliar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos.

 

Muy a pesar de que el preámbulo en todo cuerpo normativo tiene efectos materiales y jurídicos vinculantes sobre el contexto o articulado, el Convenio prefirió pasar de reiterativo y volvió a plasmar estas directrices en forma resumida en el artículo primero, confirmando con ello la protección en el tratamiento informatizado de datos personales de todos los derechos, libertades públicas e intereses legítimos, no única y  exclusivamente el derecho a la intimidad.

________________________________

(70)      Las infidelidades de la LORTAD, fueron causa de recursos de inconstitucionalidad incoados por asociaciones y por la Defensoría del Pueblo Español. El autor destacaba la inspiración de contenido del Convenio seguido por la LORTAD. Vid. ORTI VALLEJO. A. Ob. ut supra cit., p. 17.

____________________________

El Convenio está dividido en siete capítulos, a saber: 1. Disposiciones Generales: Objetivo y fin, definiciones, y ámbito de aplicación; 2. Principios fundamentales de la protección de datos: Obligaciones de las partes, calidad de los datos, clases especiales de datos, seguridad de los datos, garantías complementarias para el interesado, excepciones y restricciones, sanciones y recursos, y ampliación de la protección; 3. De los flujos internacionales: flujos internacionales de datos de carácter personal y derecho interno; 4. Del Mutuo Auxilio: Cooperación entre las partes, asistencia a los interesados residentes en el extranjero, garantías referentes a la asistencia prestada por las autoridades designadas, desestimación de peticiones de asistencia, gastos y tramitación de la asistencia; 5. Del Comité Consultivo: Composición del Comité, funciones del Comité, procedimiento; 6. De las Enmiendas: Enmiendas; y, 7. Cláusulas Finales: Entrada en vigor, adhesión de estados no miembros, cláusula territorial, reservas, denuncia y notificación.

 

De este variopinto contenido, abordaremos el análisis de los siguientes temas: a) Las definiciones nucleares en el tratamiento informatizado de datos personales y, b) Los principios y excepciones fundamentales en el tratamiento y circulación de datos.

 

2.4.1.   Definiciones nucleares en el tratamiento informatizado o no de datos personales

 

El  poder de la informática desde  la  expedición del Convenio y mucho antes, hacía gravitar sobre los usuarios de los sectores públicos y privado la consiguiente responsabilidad social. En la sociedad moderna, gran parte de las decisiones que afectan a los individuos descansan en datos registrados en ficheros o bases de datos (v.gr. Nóminas, expedientes de seguridad social, historiales médicos, judiciales, policiales, etc.). En los años que siguieron a aquella época, el tratamiento informatizado de la información continuó imponiéndose en el ámbito administrativo y de gestión, entre otras cosas, a causa del abaratamiento de los costes del tratamiento informático de los datos, de la aparición en el mercado de dispositivos de tratamiento inteligente y de la creación de nuevos sistemas de telecomunicaciones para la transmisión de los datos, tal como lo destacaba también la Memoria Explicativa del Convenio (M.E.).

 

Un cierto halo de temor que rondaba a los operadores jurídicos (abogados, jueces, administradores, etc.) al aplicar cuerpos normativos jurídico-técnicos, como lo era el Convenio Europeo de 1981, inspiraba a los legisladores a implementar un capítulo preliminar que funcione como glosario técnico-jurídico que guía y orienta a los operadores

jurídicos del Convenio. Así, se paliaba ese temor, que aún ahora subsiste en todas las normas que regulan el fenómeno tecnológico de la información y la comunicación (TIC), unido a la informática.

 

En tal virtud, el Convenio definió los siguientes términos nucleares en todo tratamiento informatizado de los datos: Datos personales, persona identificable, interesado, “fichero automatizado”, “tratamiento automatizado” y “autoridad controladora”, entre otros.

 

Los datos de carácter personal (o datos personales), se consideran cualquier información relativa a una persona física identificada o identificable (“persona concernida”, como insiste el Convenio).

 

Se deduce de esta definición, que el concepto de persona concernida, a los efectos de determinar de identificación dentro de un procedimiento informatizado de datos, no solamente abarca los  rasgos de identificación de la persona de carácter  jurídico (como los registros de nacimiento, médico, etc., documento de identificación personal v.gr. Documento Nacional de Identidad DNI en España o Documento de Identidad Nacional DIN o Cédula de ciudadanía en Colombia, Pasaportes, etc.), sino también de carácter físico interno v.gr.  Exámenes sanguíneos, de líquidos humanos diferentes a la sangre (semen, orina, etc.), exámenes morfológicos (color de piel, facial, dentales, ópticos, de estatura, etc.); o de carácter físico externo, con fotografías y  huellas humanas y/o tecnológicas (códigos, password o firmas digitalizadas). Estas huellas, se consideran como rasgos diferenciadores de una persona humana de carácter morfológico o tecnológico  con incidencia jurídica.

 

Esta identificación del ser humano o de la “persona concernida” es la que a  la luz del Convenio constituye el núcleo central del concepto de datos de carácter personal, muy a pesar de que se sostiene en la E.M., del Convenio, que “persona identificable”, es aquella  “persona que puede fácilmente ser identificada”, sin necesidad de “identificación de personas por métodos complejos” [71]. Quizá en aquella época en que surgió la norma europea, tal proposición pudiera ser válida parcialmente, pero hoy no, pues dicha identificabilidad de las personas, antes y ahora debe incluir métodos y procedimientos científico-técnicos idóneos, máxime si se refiere al tratamiento informatizado de datos personales –con o sin el consentimiento del titular–, que relacionan datos personales contenidos en documentos jurídicos, registros de estado civil, médicos, judiciales, económicos o financieros, etc., en todos los cuales para una debida identificación de la persona se debe emplear medios idóneos de tipo técnico-científicos irrefutables previos al asiento o registro informático o concomitante con éste.

 

Hoy, el ser humano tiene un derecho a la identificación sico-física, como persona humana dotada de cuerpo, mente e inteligencia, válido o validable en todo ámbito social, cultural, político, económico, y sobre todo jurídico o iusinformático. Por lo  tanto, no se puede desdeñar ningún método científico-técnico para la plena identificación en todo procedimiento que tenga incidencia en el pleno ejercicio de los derechos y libertades fundamentales de una persona. El Convenio recoge este parecer cuando sostiene que su objetivo prioritario es  “reforzar la protección de datos, es decir, la protección jurídica de los individuos con relación al tratamiento automatizado de los datos de carácter personal que les conciernen” (M.E.núm. 1).

 

El concepto de persona concernida también se extiende al de persona “interesada”, que el Convenio utiliza en varios artículos. Así, interesado, “expresa la idea según la cual toda persona tiene un derecho subjetivo sobre la información relativa a sí misma, aún cuando tal información haya sido reunida por otras personas (cfr. la expresión inglesa data subjetc)[72]

 

El  “fichero automatizado” o bancos de datos.  Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado. Aunque en la E.M., del Convenio eufemísticamente se dice que se prefiere el nombre de fichero al de Banco de datos, porque esta expresión se utiliza “hoy en un sentido más especializado: el de un fondo común de datos accesibles a varios usuarios” [73]. Sin embargo, la diferencia hoy por hoy es simplemente terminológica y de origen idiomático (Banco de datos término anglosajón “database” o, Fichero informatizado del término francés “Fichiers“.

 

___________________________________

(71)       Memoria Explicativa del Convenio 108 de 1981. M.E.núm.28. Compilados por HEREDERO HIGUERAS, Manuel. Legislación Informática. Ed. Tecnos, Madrid, 1994, p.570

(72)       Ibídem., p. 570.

(73)        El M.E. núm. 30 ab initio, sostiene que la “expresión ´fichero automatizado´ ha sustituido a la de ´banco de datos electrónico´ utilizada anteriormente en Resoluciones (73)22 y (74)29 y en algunas leyes nacionales. Por ello, en el transcurso de la investigación utilizaremos indistintamente fichero o banco de datos para referirnos al mismo concepto.

_________________________________________

Los Estados Miembros del Consejo de Europa eran conscientes de que día a día crecían por la irrupción de la tecnología TIC y la informática, maneras y formatos de recolectar y almacenar información de todo tipo (incluida las denominadas “personales”) con medios informáticos, electrónicos o telemáticos, y que se materializaban en los llamados ficheros o bancos de datos, por regla general. Eran también, conscientes de que los diversos Estados tenían en sus sistemas jurídicos regulaciones sobre el derecho a la intimidad de las personas, la responsabilidad civil, el secreto o la confidencialidad de ciertas informaciones sensibles, etc. Sin embargo, se echaban de menos unas reglas generales sobre el registro y la utilización de informaciones personales y  en “especial sobre el problema de como facilitar a los individuos el ejercicio de un control sobre informaciones que, afectándoles a ellos, son colectadas y utilizadas por otros” (M.E.núm.3). En tal virtud, se decidió concretar además de el concepto de datos de carácter personal, qué debe entenderse por fichero o banco de datos para proteger los derechos y libertades fundamentales de la persona y facilitar el autocontrol de los mismos por parte de la persona concernida.

 

El concepto de fichero o banco de datos informatizados, comprende “no solamente  ficheros consistentes en conjuntos compactos de datos, sino a si mismo conjuntos de datos dispersos geográficamente y reunidos mediante un sistema automatizado para su tratamiento” (M.E. núm. 30 ab initio).

 

La definición de fichero “automatizado” para diferenciarlo del fichero o banco de datos mecánico o manual, resulta reiterativo cuando menos desde el punto de vista terminológico, cuando  al final sostiene que ese conjunto de informaciones deben estar sometidas a un tratamiento igualmente “automatizado” (que mejor sería decir informatizado[74] ). Sin embargo, esta observación es de menor entidad, frente a la significancia de la inclusión de un término imprescindible en el tratamiento  lógico  de entrada (E/) y salida (/S) de información por medios informáticos, como lo es el de fiche- ro o banco de datos informatizados. Esta aclaración delimita a su vez, el ámbito de aplicación del Convenio, al tratamiento informatizado de los datos o  información de carácter personal, a diferencia de la Recomendación de la OCDE de 1980, que abarcaba incluso el tratamiento no informatizado de datos personales, aunque la definición siguiente desmienta tal diferenciación, al menos en toda su integridad.

 

En efecto, por “tratamiento automatizado”,  se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión (art. 2, c). Este tratamiento de datos se extiende a los datos de carácter personal en los sectores público y privado (art. 3-1, del Convenio) [75]

____________________

(74)     Preferimos decir “informatizado”, porque entre otras razones que se dan a lo largo de la investigación, existen  estrechos vínculos entre la información obtenida (cualquiera sea esta, y más si es de tipo personal) con “la informática documental”, según los términos del profesor LOPEZ MUÑIZ-GOÑI,M  (En: Informática Jurídica Documental) que utiliza métodos y procedimientos informatizados en el tratamiento lógico, sistemático y analítico de la información que ésta proporciona y no solamente un tratamiento robótico o “automático” de la información, tal como lo hacen los cajeros electrónicos, sistemas electrónicos de detección de personas o cosas, etc. Es un tratamiento logicial con medios informáticos, electrónicos o telemáticos y no simplemente cibernético o robótico  aunque éste sea la base del mismo.

(75)    El Convenio se aplica al sector público y privado. “Si bien es cierto que la mayor parte de la circulación internacional de datos tiene lugar dentro del marco del sector privado, el convenio reviste, no obstante, gran importancia para el sector público y ello por dos razones: en primer lugar, el art. 3 impone a los Estados miembros la obligación de aplicar los principios de la protección de datos aun en el caso del tratamiento de ficheros públicos –que es el supuesto normal– totalmente dentro de sus fronteras nacionales. En segundo lugar, el convenio ofrece asistencia a los interesados que deseen ejercer su derecho a ser informados del registro que de ellas lleve una autoridad pública en un país extranjero. La distinción sector público- sector privado no aparece en las demás disposiciones del convenio, sobre todo porque esta nociones pueden tener significados distintos de un país a otro…” (M.E. núm. 33).

______________________

Las acciones de tratamiento lógico de la información, que se traducen en fases o ciclos informatizados, según la definición de tratamiento automatizado del Convenio puede  efectuarse  total o parcialmente con procedimientos informáticos, con lo cual se introducen métodos de tratamiento mixtos de la información, en los cuales participan acciones mecánicas o manuales e informáticas.

 

El concepto técnico-jurídico abierto de tratamiento de datos personales, abre la posibilidad a la interpretación de que el Convenio no sólo regule el tratamiento informatizado de la información, sino también el no informatizado siempre y cuando contenga alguna parte, acción o fase de carácter informática. Esto es posible cuando la fase inicial o de recolección de información  en un tratamiento lógico o informatizado es carácter mecánico o manual.

 

Las fases o ciclos del tratamiento informatizado, según el Convenio se inician con el registro de datos y frente a él todas las acciones (u “operaciones aritméticas”, guardando con ello más relación al tratamiento robótico de la información que al lógico o sistémico) subsiguientes que pueden realizarse: modificación, borrado, extracción o difusión de la información [76]. Todas estas acciones  a excepción de la última,  son componentes de una acción eminentemente tecnológica realizable con los datos ( o “files”: archivos o registros), más que jurídica; puesto que, sí se quería referir a las acciones  técnico-jurídico realizables con cualquier  tipo de datos, debió hacerse mención  a las fases de  recolección, almacenamiento, registro, conservación, rectificación, bloqueo y cancelación de la información, tal como lo hiciera la LFAPD de 1977, y posteriormente, la Recomendación de la OCDE de 1980.

 

Sin embargo, el contexto del Convenio aclara la deficiente definición de tratamiento automatizado, cuando se refiere: a) a  los principios y derechos que tiene toda persona cuando han sido sometidos a tratamiento informatizado los datos personales que le conciernen y, b)  al hacer mención expresa a la fase de recolección ( en los artículos 5-a y 12 del Convenio [77] ) y de transmisión “internacional” (o fase de comunicación) de datos, como fases ineludibles y/o posibles del tratamiento informatizado o no de datos. Esto a pesar de la insistencia de la E.M., núm. 31 ab initio del Convenio  al excluir la fase de recolección o colecta de información “de la noción de  tratamiento”  de  datos,  con  unos argumentos poco convincentes [78]

 

La Autoridad “controladora del fichero”, se considera a la persona física o jurídica, la  autoridad  pública,  el  servicio  o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del fichero informatizado, cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les deberá aplicar.

_________________________

(76)      La voz “difusión”, según la E.M. núm. 31 ab initio, “es un término genérico que abarca tanto la revelación de información a una persona (o a varias personas), como la consulta de la información por tales personas”

(77)     El Convenio utiliza los términos “obtener” o “reunir”, para hacer mención a la fase inicial de recolección o  colecta de datos. En efecto, el art. 5, a), expresa: “Los datos de carácter personal que sean objeto de un  tratamiento automatizado: a) Se obtendrán y tratarán leal y legítimamente”, y el Art.12., al referirse a los  “Flujos transfronterizos de datos de carácter personal y el derecho interno : 1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento”.

(78)     Se dice que “ante el rápido desarrollo de la tecnología del tratamiento de la información, se consideró conveniente enunciar una definición bastante general de “tratamiento automatizado”, susceptible de una interpretación flexible”. Y según, la autointerpretación del legislador comunitario del Convenio, la colecta queda excluida del concepto “tratamiento”.

____________________________

La definición contiene un concepto ampliado del ente almacenante que trae la LFAPD, en el art. 1-1., y a la vez, una conceptualización casi idéntica a la de “responsable del fichero” contenida en  la Recomendación de la OCDE de 1980, art.1-a. En efecto, la entidad almacenante atribuible a cualquier persona, entidad, servicio o institución pública o privada, tiene como función primordial el almacenamiento (que incluye según la ley alemana, las fases de recolección, registro y conservación)  de datos por sí mismo o por encargo a otro.

 

En cambio, “el responsable del fichero”, tanto en el la Resolución de la OCDE, como en el Convenio 108 de 1981, abarca otros ciclos o fases  como funciones  del tratamiento informatizado de los datos o informaciones personales, tales como la transmisión de datos, la determinación de la finalidad del fichero, la categorización de los datos, el registro y hasta “cuáles operaciones se les aplicarán” (art. 2, d), del  Convenio), respectivamente.

 

El Responsable del fichero se diferencia en uno y otro cuerpo normativo (OCDE y Convenio) en la circunstacia de que el “responsable del fichero”, en el Convenio es única y “exclusivamente la persona o ente que en última instancia responde de la gestión del fichero, pero no aquellas otras personas que llevan a cabo las operaciones del tratamiento de conformidad con las instrucciones del responsable del fichero” (M.E.núm.32).

 

Este concepto de Responsable del fichero, cuando menos, determina dos aspectos importantes en el tratamiento informatizado de datos: por un lado, la exclusión de cualquier grado o nivel de responsabilidad de los que realizaran actividades de tratamiento por encargo; y de otra, que la determinación del responsable del fichero, lleva aparejada una garantía para las personas concernidas con el tratamiento de dato personales, la cual es, que puedan en todo momento identificar plenamente al responsable del fichero [79].

 

2.4.2.   Principios y excepciones fundamentales  en el tratamiento y circulación datos personales

 

El Convenio 108 del Consejo de Europa de  1981, sobre protección de las personas en relación con el tratamiento informatizado de datos personales, no sólo “refuerza” la protección jurídica de los individuos en relación al tratamiento informatizado de información de carácter personal, tal como se prevé en el preámbulo, la E.M., núm. 1, y en el propio texto (art. 1); sino que además propone una armonización normativa en el ámbito competencial del Consejo de Europa. Quizá uno de los aspectos capitales en los cuales el Convenio más apuesta por la armonización normativa a nivel europeo, es precisamente en la estructuración de los principios y excepciones fundamentales, así como en los derechos subsecuentes para los titulares de datos personales que de aquellos se derivan. En efecto, el Convenio  persigue  homogeneizar todo lo atinente a la regulación de la protección de los titulares de los datos prevista en las leyes protección de aquellos  dictados hasta ese entonces (v.gr. Alemania, Suecia, Suiza, Francia, Noruega, Luxemburgo, Portugal, etc.), como también aquellas otras leyes que se dictaron a su amparo y guía,  como es el caso de la Ley Orgánica de regulación del tratamiento automatizado de datos de carácter  personal española (L.O. 5/1992, de 29 de Oct.).

 

En efecto, las Comisiones y subcomisiones encargadas del estudio, análisis y proposición del texto definitivo del que luego fuera el Convenio Europeo de 1981, reestructuró los principios inmersos en las leyes europeas de protección de datos y en forma mancomunada abordó la tarea de su

 

__________________________

(79)     En efecto, el art. 8., del Convenio 108 de 1981, al hacer referencia a las denominadas “Garantías  complementarias para la persona concernida”, sostiene que cualquier persona deberá poder: “a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero.

___________________________

proposición final con el grupo de expertos del Comité respectivo de la OCDE [80]. Especial atención le dedicó a los principios de la libre circulación y seguridad de los datos [81]. Quizá por ello, los principios como excepciones al tratamiento informatizado de datos personales en uno y otro cuerpo normativo comunitarios resultan coincidentes, con la diferencia de que en el Convenio de Estrasburgo, estos y aquellas tienen una especial regulación que los convierte en la  columna vertebral del tratamiento informatizado de datos personales.

 

En efecto, el Convenio Europeo como regla general establece que los principios y excepciones al tratamiento informático de datos, rigen en todo el tratamiento o procedimiento informatizado de datos personales y no en forma exclusiva y/o excluyente de una fase o etapa de dicho tratamiento (v.gr. recolección, almacenamiento, registro, conservación, etc.). Así se deduce de la redacción dada a los arts. 5 a 9 del Convenio. El sistema de principios y excepciones están  ligados entre sí, pues unos y otros tienden a garantizar y proteger los derechos, libertades públicas, intereses legítimos “y los valores fundamentales en una sociedad democrática” (M.E. núm. 55).

 

Es aquí donde halla eco y sentido el denominado “núcleo irreductible[82] , basado en la catalogación de los principios y excepciones fundamentales del tratamiento informatizado de datos personales, con capitales fines y objetivos de protección y garantía de derechos y libertades fundamentales (no sólo el derecho a la intimidad, como se ha generalizado),   el debido y oportuno cumplimiento que los Estados deben observar en la implementación en el ordenamiento jurídico interno (es decir, armonización legislativa) y la reducción al mínimo de los posibles conflictos de las leyes o de jurisdicción.

 

2.4.2.1.            Principios fundamentales en el tratamiento y transmisión de datos personales

 

Ahora bien, hagamos referencia a los principios en relación con las fases del tratamiento informatizado de datos que es donde tienen aplicabilidad y vigencia.

 

2.4.2.1.1.         Fase de recolección de datos

 

En la fase inicial o de recolección de los datos personales, son aplicables los principios siguientes: a) De lealtad y legitimidad (art.5-a,); b) De Prohibición excepcionada a la recolección de datos pertenecientes al “núcleo duro de la privacy” anglosajona [83] (art. 6); y, c) De información en  la recolección, sobre los objetivos y fines de la misma (art. 8).

 

____________________

(80)      M.E. núm. 14, “Cooperación con la OCDE y con la CEE”.

(81)      M.E. núm. 16. “La comisión de las Comunidades Europeas, que ha llevado a cabo estudios sobre la armonización de las legislaciones nacionales dentro del marco de la Comunidad con relación a los flujos internacionales de datos y las posibles distorsiones de la concurrencia, así como sobre los problemas vinculados a la seguridad de los datos, mantuvo estrecho contacto con el Consejo de Europa”

(82)      Institución de derecho público que se explica en relación con los principios y per se. En efecto, “los principios  del ´núcleo irreductible´ reconocen a los interesados en todos los Estados en los cuales se aplique el Convenio  un determinado mínimo de protección con relación al tratamiento automatizado de datos de carácter personal” M.E. núm. 20 in fine).

(83)      Comentado por el profesor MORALES PRATS, Fermín. Comentarios a la parte especial del Derecho Penal. En: Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Ed. Aranzadi, Pamplona, 1996, p. 310 y ss.

_________________________

 

Estos principios se hallan en el Convenio bajo los epígrafes de “calidad de los datos”, “categorías particulares de los datos” y “garantías complementarias para la persona concernida”.

 

El principio de lealtad y legitimidad, como principio de causa y efecto entre el objeto del tratamiento (datos) y su actividad (recolección),  se entiende que los datos que se van a obtener, recoger o recolectar debe pertenecer a una persona identificada o identificable, procesarse  con métodos informáticos idóneos que permitan no vulnerar  los  derechos  y libertades fundamentales del titular de los mismos y se  proceda  de  conformidad  con  el ordenamiento jurídico vigente en cada Estado y en concordancia con las normas comunitarias. Queda proscrita toda recolección de datos en forma ilícita, ilegítima, indebida, inoportuna o expresamente prohibida. Quizá por esto último resulta incompleta la calificación de este principio como “principio de legalidad” de los datos, que algún sector de la doctrina ibérica lo nomina (Castells, Souviron, López, etc.), pues la ley queda  transvasada, cuando se involucra el interés estatales o personal, el criterio de la oportunidad del tratamiento, etc.,

 

En principio, está prohibida la recolección de datos de carácter personal denominados “sensibles” [84] que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual,  a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales (artículo 6).

 

2.4.2.1.2.         Fase de Almacenamiento de datos

 

En la fase de almacenamiento de datos, serán aplicables los principios de: a)  Exactitud del contenido (o “veracidad”, según Souvirón [85]) y de sujeción a la revisión y actualización (art. 5-d); b) De prohibición excepcionada de los datos denominados “sensibles” (art.6); y c) De información en el almacenamiento de datos sobre los objetivos y fines del mismo (art. 8).

 

2.4.2.1.3.         Fase de Registro de datos

 

En la fase de registro de los datos personales, que es la etapa sobre la cual más incide el Convenio Europeo, quizá por las implicaciones de tipo socio-jurídico que se derivan de dicha actividad informatizada de datos, pues ésta sobreviene con carácter definitivo en tanto no haya causas para suspenderla, suprimir o cancelarla de conformidad con el ordenamiento jurídico vigente. Pareciera, por la redacción inicial del Convenio que la  protección de los titulares de los datos se  inicia con el registro de los mismos y no antes. Sin embargo, una recta interpretación del Convenio extiende la protección al momento mismo de la recolección de datos, haciendo énfasis en la etapa del registro porque supuestamente  más afloran los síntomas de vulnerabilidad, aspecto éste que es más apariencia que realidad, como se ha visto.

 

Los principios aplicables a esta etapa del tratamiento informatizado son: a) De compatibilidad de las finalidades (art. 5-b); b) De adecuación, pertinencia y no excesibilidad de las finalidades (art. 5-c); c) Prohibición excepcionada del registro de datos personales denominados “sensibles” (art.6); d) Principio de información en el registro de datos (art. 8); y e) Principio de “Seguridad de los datos” (art. 7).

______________________

(84) Según E. Vilariño, datos sensibles son “aquellos datos personales que se refieren a las características morales  o físicas que, en principio, no son de interés para los demás y no afectan en general a la sociedad y cuyo conocimiento, en cambio, puede perjudicar injustificadamente los derechos e intereses legítimos de esas personas”, p. 54. Citado por SOUVIRON, José M. En torno a la juridificación del poder informático del Estado. R.V.A.P. Núm. 40, Sep-Dic., Bilbao, 1994, cita núm. 67 p.153.

(85)   SOUVIRON, José M. Ob. cit. ut supra. pág. 152.

______________________

Se destacan en esta etapa los principios de información y seguridad de los datos, por cuanto, en puridad jurídica es aquí donde nace el derecho de habeas data [86]  y los subsecuentes derechos que este conlleva. Efectivamente, tras el ejercicio el derecho de la información y conocimiento  por parte del titular de los datos, de terceros, de  personas autorizadas  o no,  las personas naturales, jurídicas, públicas o privadas encargadas del tratamiento (o responsables) de datos toman las necesarias  medidas de seguridad para la protección de datos de  registrados en ficheros informatizados, a fin de evitar la destrucción accidental o no autorizada, la pérdida accidental o el acceso, la modificación o la difusión no autorizados.

 

En tal virtud, aquí se ponen en juego las que el Convenio en el artículo 8, llama “Garantías complementarias para la persona concernida”, dentro de las cuales cualquier persona podrá: a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero; b) obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible; c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos de “calidad de los datos” y “categoría particular de datos”; d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, luego de conocer la existencia de un fichero con los datos del concernido o de obtener a “intervalos razonales” la confirmación de tal existencia o no.

 

2.4.2.1.4.         Fase de conservación de datos

 

En la fase de conservación de los datos, se aplicará los siguientes principios: a) De identificación del concernido y de compatibilidad de las finalidades. En ejercicio de este principio, se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado (art. 5-e,); b) De Prohibición excepcionada en la conservación de datos personales considerados “sensibles” (art.6); c) De Seguridad de los datos (art. 8); y d) De información en la conservación de datos.

 

2.4.2.1.5.         Fase de transmisión de datos. En particular, “el flujo internacional de datos” [87]

________________________________

(86)        Se considera un derecho fundamental,  que según Fairen Guillen, “ya no (solo) es la libertad de negar información  sobre  los  propios hechos privados o datos personales, sino la libertad de controlar el uso de esos  mismos datos insertos en un programa informático: lo que se conoce con el nombre de habeas data.  Tales son las ideas generalmente admitidas hoy entre juristas y en el Derecho comparado, que ofrece una de las vías para determinar el contenido esencial de un derecho fundamental (S.T.C. 11/1981)” en el derecho español. Cfr. FAIREN GUILLEN, Víctor. El Hábeas Data  y su protección actual sugerida en la Ley Española de Informática de 29 de Octubre de 1992. En: Revista de Derecho Procesal. Núm.3, Madrid, 1996, p. 530.

(87)      La M.E. del Convenio Europeo  especifica el alcance de la noción de flujos internacionales,  ha sido redactado de tal manera que tenga en cuenta la gran diversidad de los factores determinantes del modo en que los datos son transferidos: modalidad de representación (texto libre o codificado), soporte (papel, tarjeta perforada, cinta perforada, cinta magnética, disco, etc.), medio de transporte (transporte físico, correo, enlace de telecomunicación conmutada por circuito o paquetes), interfaz (ordenador con terminal, ordenador con ordenador, manual con ordenador, etc.), el circuito dedicado (directo desde el país de origen al país de destino, o a través de uno o varios países de tránsito), las relaciones entre el emisor y el destinatario (pertenecientes ambos a una misma organización o a distintas organizaciones), etc. (M.E. núm. 63).

_____________________________________

En la fase de transmisión, flujo o movimiento de los datos, a la que el Convenio también le ha prestado especial cuidado y tratamiento, rigen los principios previstos bajo los epígrafes de “calidad de datos”, “categoría particular de datos”, “Seguridad de datos” y “garantías complementarias para la persona concernida”, que antes hemos referenciado, pues al fin y al cabo la transmisión de datos es otra fase más del tratamiento de datos, tal como lo sostiene el art. 12.1 del Convenio Europeo [88]. Pero además, se aplicará  un principio fundamental y específico para esta fase del tratamiento informatizado de datos personales, cual es la “libre circulación de datos[89], que desde la Recomendación de la OCDE de 1980, ya había sido planteado y sustentado.

 

Esta fase del tratamiento informatizado de datos personales es tan importante como delicada, pues los Estados que poseían medidas legislativas protectoras de  dicho  trata miento habían preparado y aplicado sus normas hacia el interior de sus zonas geográficas, pero no estaban preparados inicialmente para afrontar las dificultades sobrevenidas por la transferencia de datos entre Estados. La creación de “bancos de datos internacionales”, con diferentes fines, objetivos y actividades evidenció más aún dichas dificultades, pero a la vez, con la generalización de las transferencias internacionales en los ámbitos sociales, políticos, culturales, jurídicos y sobre todo económicos de la UE, se puntualizó y potenció toda clase de medidas de seguridad, eficacia, oportunidad y celeridad de la transmisión/emisión de datos personales, para eliminar las dificultades y aumentar el flujo necesario de información entre Estados, sin mayores riesgos que los sobrevenidos de actividades indebidas, ilegales o no autorizados, tanto de tipo técnico como jurídico. En efecto, así ocurrió con las  variopintas transacciones comerciales (v.gr. agencias de viajes, operaciones  bancarias,  cajeros  automáticos: tarjetas de crédito, debido, etc.), las transferencias en actividades personales privadas o públicas (.v.gr. Bancos de datos médicos, investigativos, bibliotecológicos, estadísticos, etc.); o en fin, para transmitir información de un lugar geográfico transfronterizo  a otro sin las debidos controles (técnicos o jurídicos, según la M.E. núm. 8), con fundamento en los adelantos de las telecomunicaciones, la informática, o la unión de las dos: la comunicación electrónica o  telemática.

 

En especial, –se decía en el E.M.núm.9– existe el temor de que los usuarios se sientan  tentados a “hurtarse” a los controles impuestos por la protección de datos desplazando sus operaciones, en todo o en parte hacia “paraísos de datos”, es decir, a países que tengan leyes de protección de datos menos rigurosas o que carezcan de leyes de protección de datos. Aunque algunos otros Estados para evitar estos riesgos han previsto en su Derecho interno controles jurídicos especiales, como las “autorizaciones de exportación de datos”, las cuales pueden resultar excesivos o insuficientes, frente a la avalancha de crecimiento de las transmisiones electrónicas de datos entre Estados.

 

El Convenio, en consecuencia, establece que un Estado no podrá “prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio” de otro Estado, so pretexto “de proteger la vida privada”, salvo: a) En la medida en que su legislación

_______________________

(88)         Artículo 12. “Flujos transfronterizos de datos de carácter personal y el derecho interno 1. Las disposiciones  que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento”  (Cursivas nuestras).

(89)        Este principio fundamental en el tratamiento y transmisión de datos personales, tanto para los individuos como para los Estados, se erigió, “habida cuenta de la rápida evolución de las técnicas de tratamiento de la información y del desarrollo de la circulación internacional de datos…(y de que era) conveniente crear unos mecanismos a escala internacional que permitan a los Estados tenerse informados mutuamente y consultarse entre sí en materia de protección de datos” (E.M. núm. 11 in fine).

_______________________

prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación del otro Estado (o Parte) establezca una protección equivalente; b) cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de un Estado no contratante por intermedio del territorio de otro Estado, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación del Estado  a que se refiere el comienzo del presente párrafo (art. 12 in fine).

 

En estas transmisiones interestatales, el  mayor flujo de circulación de datos lo ocupan las transferencias de datos de carácter personal, por ello, el Convenio plantea como regla general, la libre circulación de información , como principio fundamental, tanto para los individuos como para los Estados (o “pueblos”, según la E.M.núm.9) y como excepciones, las directrices previstas con carácter de numerus clausus para algunas categorías de datos personales (básicamente los denominados sensibles) o ficheros que los contengan y para aquellas transmisiones triangulares entre Estados y uno de los cuales no pertenezca al Consejo europeo.

 

Si no fuese así, “tales controles (como el de la autorización, p.e.) podrían crear trabas a la libre circulación de la información”, erigida como principio fundamental en el tratamiento y transmisión de datos personales entre Estados. “Había que encontrar, por tanto, una fórmula que garantizara que la protección de datos a escala internacional no vulneraría este principio” (M.E. núm. 9 in fine). Se trata en últimas de conciliar [90] dos aspectos capitales en el tratamiento y transmisión de datos personales, que tienen la particularidad de ser concurrentes y aparentemente excluyentes: por un lado, la protección de datos; y por otro, la libre circulación de los mismos. Concurrencia que se consigue cuando toda transmisión o flujo de datos debe prever cierto mínimo de garantías o de protecciones, pero no de controles especiales ni menos rigurosos que pudieran excluir la libre circulación de los datos. De ahí el establecimiento de una regla general con sus taxativas excepciones.

 

La E.M., del Convenio sustenta una serie de características especiales referentes a los flujos internacionales de datos, las cuales en su conjunto reafirman la regla y excepciones anotadas.

 

En efecto, se establece que con base en el principio del  núcleo irreductible que reconoce a los interesados en todos los Estados en los cuales se aplique el Convenio un determinado mínimo de protección con relación al tratamiento informatizado de datos, y como tal,  al obligarse a aplicarlos los Estados y miembros, “tienden a suprimir entre ellos las restricciones de los flujos internacionales de datos, evitando que el principio de libre circulación de datos sea puesto en tela de juicio por alguna forma de proteccionismo” (M.E. núm. 20 in fine).

 

Respecto de la transmisión o flujos de datos personales calificados de sensible (relativos al origen racial, origen racial, las opiniones políticas, las convicciones  religiosas  u  otras convicciones, la salud [91] o a la vida sexual, según el art. 6 del Convenio) se establece, al menos dos directrices para que un Estado justifique la derogación de las garantías que el Convenio ofrece a esta clase especial de datos personales. Estas son:

___________________________

(90)        Ese es el objeto principal del art. 12 del Convenio de Europa, “conciliar las exigencias de protección eficaz de los datos con el principio de la libre circulación de la información independientemente de la existencia de fronteras, consagrado por el artículo 10 del Convenio Europeo de los Derechos del Hombre” (E.M. núm. 62).

(91)      Los datos de carácter personal relativos a la salud, fue cuidadosamente estudiado por el Comité de expertos  de protección de datos dentro del contexto de sus trabajos sobre los bancos de datos médicos. Tal noción abarca las informaciones concernientes a la salud pasada, presente y futura, física y mental, de un individuo. Puede tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas (E.M. núm. 45).

____________________________

 

  1. a) Cuando las medidas específicas de protección de tales datos fueren sensiblemente distintas de las disposiciones del derecho de los demás Estados que hicieren referencia a tales datos y, en especial, cuando tales medidas ofrecieren, de conformidad con el art. 1, (es decir, que ninguna de las disposiciones del capítulo II, se interpretará en el sentido de que limite la facultad, o afecte de alguna otra forma a la facultad de cada Estado, de conceder a las personas concernidas una protección más amplia que la prevista en el presente Convenio) un nivel de protección que transcendiere las normas mínimas contenidas en el Convenio.

 

  1. b) Cuando determinados datos o ficheros que no estuvieren previstos dentro de los denominados datos sensibles, estuviesen sujetos a garantías especiales.

 

No será lícita la derogación, en estos casos, si el Estado destinatario ofreciere una protección equivalente. v.gr. Si un Estado somete los flujos internacionales de datos a una autorización especial, no puede negarse otro Estado, so pretexto de razones de protección de la intimidad, a conceder una tal autorización si el país receptor concede una protección equivalente (E.M. núm. 69 in fine).

 

Respecto de la transferencias triangulares de datos personales, o sea, aquellas que tienen lugar en dirección a un Estado no contratante a través de un Estado contratante, la derogación sólo puede ser invocada si está previsto que los datos transferidos se encuentren en un Estado contratante sólo en tránsito. No deberá ser invocada sobre la base de la mera presunción o expectativa de que los datos transferidos a otro Estado contratante pudieran, en su caso, ser transferidos a un Estado no contratante  (E.M. núm. 70).

 

2.4.2.2.            Excepciones al tratamiento informatizado de datos y a los principios. “Las Restricciones”

 

Para establecer un régimen jurídico de  excepciones en un ámbito interestatal,  se  debe tener en cuenta, al menos  dos reglas primordiales: el objeto y fin de la norma jurídica y la taxatividad en la enunciación de los supuestos de excepciones. Todo ello, para que los Estados no “tropiecen con dificultades en cuanto a la interpretación de la excepción, pues ello podría obstaculizar gravemente la aplicación del Convenio” (E.M. núm. 35 in fine ).

 

Por lo primero, el Convenio Europeo, según el art. 1.,  establece que su objeto y fin es garantizar, en los territorios de los Estados miembros,  a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la intimidad (o “vida privada”), con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona (“protección de datos”).

 

Respecto de lo segundo, es decir, la regulación numerus clausus de los supuestos de excepciones,  están previstas en el art. 9 del Convenio, con las siguientes anotaciones:

 

La regla general, para las excepciones al tratamiento informatizado de datos, consiste en la no admisión de excepción alguna contra los principios fundamentales previstos para las fases o etapas del tratamiento informatizado de recolección, almacenamiento, registro y conservación de datos personales, salvo que estuviere: prevista en el ordenamiento jurídico vigente del Estado miembro y  constituya una medida necesaria en una sociedad democrática, para: a) la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales; y, b) para la protección de la persona concernida y de los derechos y libertades de otras personas.

 

Estas excepciones a la excepción de los principios fundamentales del tratamiento informatizado, están inspiradas en el Convenio Europeo de los Derechos del Hombre (arts. 6, 8, 10 y 11). Así mismo, la expresión “medida necesaria” en una sociedad democrática, constituye una noción fruto de los acuerdos de la Comisión y el Tribunal de los Derechos Humanos, por la cual, resulta claramente que los criterios de tal concepto no pueden ser fijados para todos los Estados y en todo momento, sino que deberían ser considerados a la luz de la situación dada en cada Estado [92].

 

Las excepciones a la regla general tienen como fuente dos grandes ramales, a saber: los intereses fundamentales de los Estados y los intereses particulares de la persona humana.

 

En efecto, la enumeración taxativa dentro de las causales exceptivas al tratamiento y principios fundamentales de los datos obedece básica y exclusivamente a la delimitación conceptual de los que se consideran intereses principales de los Estados, es decir,  de   aquellas  instituciones  socio-jurídicas ; tales como, la  seguridad del Estado [93], seguridad pública , intereses monetarios del Estado [94] e infracciones penales [95]; y por supuesto, a fin de evitar que en la aplicación del Convenio los Estados puedan tener un “margen de maniobra demasiado amplio” en la interpretación y aplicación de las mismas y conserven la facultad de “rehusar” [96]  la  aplicación  del Convenio en casos concretos por motivos de importancia ponderada (E.M. núm. 56).

 

En cuanto a la enunciación taxativa de las causales de excepción al tratamiento y principios básicos de los datos previstas en el literal b), sobre protección de la persona concernida están  fundadas en los intereses particulares de la persona humana, tales como los del interesado (p.e., información psiquiátrica) o de terceros (p.e., la libertad de prensa, secretos del comercio, etc.).

 

Conjuntamente con este marco de excepciones, el Convenio presenta las que llama “restricciones” al ejercicio de los ciertos derechos de la persona concernida y presentes en los “ficheros automatizados” de datos personales que se utilicen con fines estadísticos  o de investigación científica [97], cuando no existan manifiestamente riesgos de atentado a la intimidad (“vida privada”) de las personas concernidas (art. 9-3)

 

______________________

(92)      Las excepciones se limitan a las que son necesarias para proteger los “valores fundamentales en una sociedad  democrática”. (E.M. núm. 55).

(93)    Se entiende por Seguridad Pública, en el sentido tradicional de protección de la soberanía nacional contra amenazas internas o externas, incluida la protección de las relaciones internacionales del Estado (E.M. núm. 56 in fine).

(94)    Intereses monetarios del Estado, comprende todo aquello que contribuye a facilitar al Estado los recursos financieros de su política. v.gr. La recaudación de los impuestos y al control de cambios. (E. M. núm. 57 ab initio).

(95)     Represión de los delitos, comprende tanto la investigación de los delitos como su persecución (E.M. núm.  57 in fine).

(96)      Artículo 16. Denegación de peticiones de asistencia.  Una autoridad designada, a quien se haya dirigido una petición de asistencia con arreglo a los términos de los artículos 13 (“Cooperación entre Estados) o 14 (Asistencia a las personas concernidas que tengan su residencia en el extranjero) del presente Convenio, solamente podrá negarse a atenderla si: a) La petición es incompatible con las competencias, en materia de protección de datos, de las autoridades habilitadas para responder; b) la petición no está conforme con lo dispuesto en el presente Convenio; c) atender a la petición fuese incompatible con la soberanía, la seguridad o el orden público de la Parte que la haya designado, o con los derechos y libertades fundamentales de las personas que estén bajo la jurisdicción de dicha Parte.

(97)        En  los ficheros o banco de datos estadísticos  la posibilidad de limitar el ejercicio de los derechos de los interesados, se centra en las “operaciones de proceso de datos que no llevaren aparejado riesgo alguno… en la medida en que se trate de datos presentados en forma agregada y separada de los identificadores. Igual los ficheros de datos científicos de  conformidad con una recomendación de la Fundación Europea de la Ciencia”.  (E.M. núm. 59 in fine ).

______________________________

 

Jurídicamente están restricciones no se consideran excepciones, sino limitaciones al ejercicio de algunos derechos impuestas por razones expresamente previstas en el ordenamiento jurídico, y como tal, pueden ser preventivas (in tempore) o modales (eliminación del riesgo o vulnerabilidad). Sin embargo, en la praxis, estas restricciones pueden esconder verdaderas instituciones nugatorias de derechos, aún cuando fueren preventivas o modales.

 

Las restricciones al ejercicio de algunos derechos en las circunstancias y para ciertos ficheros o bancos de datos previstos en el Convenio, se extiende a aquéllos derechos de la persona concernida que como “garantía complementaria” ostenta en el transcurso del tratamiento informatizado de datos personales. Esos derechos son los componentes del derecho de habeas data que inicia con el de información. En efecto, se admite la restricción al ejercicio de los siguientes derechos: a) De confirmación de la existencia o no de un fichero con datos del concernido, así como el de comunicación de dichos datos; b) De rectificación o borrado de datos, según fuere el caso, si se desconoce los principios fundamentales del tratamiento informatizado de datos (recolección, almacenamiento, registro y conservación) o la consideración de ser datos sensibles; y c) De recurso, ante las autoridades competentes, si no se atiende o se desconoce los anteriores derechos.

 

 

2.5.      ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE 1999 o LOPDP.

 

2.5.1.   Notas preliminares

 

Antes de la vigencia de LOPDP de 1999, en España rigió la Ley orgánica de regulación del tratamiento automatizado de datos de carácter  personal,  L.O. 5/1992, Oct. 29 o LORTAD, la cual a su vez terminaba con la existencia de la disposición transitoria primera de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, a través de la cual  se aplicaba la mencionada ley, aunque en un ámbito de comprensión legislativa y aplicabilidad hermenéutica restringidos (pues sólo se refería “a las intromisiones ilegítimas derivadas del uso de la informática“)  a todos aquellos aspectos referentes al tratamiento informatizado de datos personales, la protección de los derechos y libertades fundamentales e intereses legítimos y el uso de la informática, según lo estipulaba la disposición única derogatoria de la LORTAD.

 

La vida y derogación jurídicas de unas normas jurídicas que regulan el tratamiento informatizado de datos personales en España, estaba marcada no sólo temporal sino espacialmente de una etapa fructífera de cariz legislativo comunitario y estatal europeos  en materia de protección de los titulares de los datos personales, más que de los datos per se, cuando son sometidos a procesos informáticos con soportes y medios informáticos, electrónicos o telemáticos. Quizá eso motivó en su momento la reforma  y derogación parcial de la Ley Orgánica 1/82, y también la derogación total de la LORTAD de 1992 por la nueva Ley de protección de los datos personales de 1999.

 

España como Estado Miembro de la Unión Europea debía no sólo tener una Ley deprotección de datos como la LORTAD, sino que debía adecuarla, homologarla a las normas comunitarias de protección de datos a efectos regular técnica y jurídicamente los instrumentos o mecanismos idóneos que compatibilizaran con los de los demás Estados de la Unión. Esta técnica legislativa comunitaria se conoce como “transposición normativa”. España entonces debía transponer las dos últimas directivas comunitarias que se había expedido para el tratamiento de datos personales y la protección de derechos y libertades fundamentales de la persona humana (no jurídica) y del derecho a  la intimidad esencialmente. Esas Directivas eran la 95/46/CE y 97/66/CE, normas comunitarias que constituyeron junto con las normas europeas de 1980 y 1981, ut supra analizadas, el fundamento de la nueva Ley Orgánica de Protección de Datos Española de 13 de Diciembre 1999 o LOPDP.

 

2.5.2.   Estructura de la LOPDP de 1999

 

La LOPDP se compone de Títulos, Capítulos y Artículos, así:

 

El Título I, relativo a las “Disposiciones Generales”,  en los artículos 1º a 3º hace mención al objeto de la ley que consiste en garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

 

También hace relación a ámbito de aplicación de la ley, referido al tratamiento de datos personales de carácter público y privado. Al igual que la LORTAD, la LOPDP, trae una relación numerus clausus  de los ficheros o bancos de datos a los cuales no se aplica la ley. Estos son: (i) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; (ii) A los ficheros sometidos a la normativa sobre protección de materias clasificadas; (iii) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos o APD.
Aclara en el numeral 3 de artículo 2º de la LOPDP, que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: (i)  Los ficheros regulados por la legislación de régimen electoral; (ii) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública; (iii) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; (iv) Los derivados del Registro Civil y del Registro Central de penados y rebeldes; (v) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

 

Y finalmente,  en el artículo 3º relaciona un listado básico de términos técnico-jurídicos que se aplican en el tratamiento de datos personales: (i) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables;  (ii) Fichero; (iii) Tratamiento de datos; (iv) Responsable del fichero o tratamiento;  (v) Afectado o interesado; (vi) Procedimiento de disociación; (vii) Encargado del tratamiento; (viii) Consentimiento del interesado; (ix) Cesión o comunicación de datos; y, (x) Fuentes accesibles al público.

 

En el Título II, concerniente a “Los principios de protección de los datos“, en los artículos 4º a 12º, relaciona los siguientes principios: (i) Calidad de los datos; (ii) Derecho de información en la recogida de datos; (iii) Consentimiento del afectado; (iv) Datos especialmente protegidos; (v) Datos relativos a la salud; (vi) Seguridad de los datos; (v) El deber de secreto; (vi) Comunicación de datos; (vii) Acceso a los datos por cuenta de terceros.

 

En el Título III, referente a “Los Derechos de las personas” en los artículos 13º a 19, menciona los siguientes: (i) Impugnación de las valoraciones; (ii) Derecho de consulta al Registro General de los datos; (iii) Derecho de Acceso; (iv) Derecho de rectificación y cancelación; (v) Procedimiento de oposición, acceso, rectificación o cancelación; (vi) Tutela de derechos; (v) Derecho a indemnización.

 

En el Título IV, relativo a “Las Disposiciones sectoriales”, compuesto de dos capítulos. En el Capítulo Primero dedicado a “Los Ficheros de titularidad pública”, en los artículos 20 a 24, hace mención a lo siguiente: (i) creación, modificación o supresión; (ii) Comunicación de datos entre administraciones Públicas; (iii) Ficheros de las Fuerzas y Cuerpos de Seguridad; (iv) Excepciones a los derechos de acceso, rectificación y cancelación; (v) Otras excepciones a los derechos de los afectados.

 

En el Capítulo Segundo, destinado a “Los Ficheros de titularidad privada” en los artículos 25º a 32º, relaciona lo siguiente: (i) Creación; (ii) Notificación e inscripción registral; (iii) Comunicación de la cesión de datos; (iv) Datos incluidos en las fuentes de acceso público; (v) Prestación de servicios de información sobre solvencia patrimonial y crédito; (vi) Tratamiento con fines de publicidad y prospección comercial; (vii) Censo promocional; y, (viii) Códigos tipo.

 

En el Título V, concerniente al “Movimiento Internacional de Datos” en los artículos 33º a 34º, menciona las normas generales y las excepciones a dicho movimiento.

 

En el Título VI, referente a la “Agencia de Protección de los Datos” en los artículos 35º a 42, se menciona lo siguiente: (i) naturaleza y régimen jurídico; (ii) El director y sus funciones; (iii) El Consejo consultivo; (iv) El Registro General de Protección de Datos; (v) Potestad de Inspección; (vi) Órganos correspondientes de las Comunidades Autónomas; (vii) Ficheros de las comunidades autónomas en materias de su exclusiva competencia.

 

En el Título VII, relativo a las “Infracciones y sanciones” en los artículos 43º a 49º menciona lo siguiente: (i) Responsables; (ii) Tipos de infracciones (relaciona más de una veintena); (iii) Tipos de Sanciones; (iv) Infracciones de las Administraciones Públicas; (v) Prescripción; (vi) Procedimiento Sancionador; y, (vii) Potestad de inmovilización de ficheros.

 

Además establece seis “Disposiciones Adicionales“, relativas a los siguientes aspectos: (i) Sobre ficheros preexistentes; (ii) Ficheros y Registro de Población de las Administraciones Públicas; (iii) Tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social; (iv) Modificación del artículo 112.4 de la Ley General Tributaria; (v) Competencias del Defensor del Pueblo y órganos autonómicos semejantes; (vi) Modificación del artículo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados.

 

Tres “Disposiciones Transitorias“, referentes a lo siguiente: (i) Tratamientos creados por Convenios Internacionales; (ii) Utilización del Censo Promocional; (iii) Subsistencia de normas preexistentes.

 

2.5.3.               Comentarios sucintos a la LOPDP

 

Dada la complejidad y amplitud temática de la LOPDP, a los efectos del presente trabajo tan solo abordamos y comentamos los siguientes temas: a) Las definiciones técnico-jurídicas; b) Los principios fundamentales aplicados a las fases del tratamiento informatizado de datos  personales; y  c) Los órganos de  protección de los datos personales.

 

2.5.3.1.            Definiciones Técnico-jurídicas de la LOPDP

 

Con los antecedentes legislativos de Estados europeos como Alemania, Suiza, Francia, entre otros, y con los antecedentes normativos comunitarios, básicamente de la Recomendación de la OCDE de 1980 y el Convenio de Estrasburgo o Convenio de Europeo de 1981, el Estado Español introdujo en su ordenamiento jurídico, una legislación homogénea, pero no plena en el tratamiento (informatizado o no) de datos de carácter personal de titularidad pública y de titularidad privada, con cierto retraso frente a la legislación estatal europea existente sobre la materia y sobre todo, con los avances tecnológicos del fenómeno TIC e informática [98], que se concretó inicialmente en la L.O. 5/1992, de 29 de Octubre conocida como LORTAD y luego 7 años después se expidió la L.O. de 13 de Diciembre de 1999, o Ley de Protección de Datos de España o LOPDP ajustándola a las Directivas Comunitarias de 1995 y 1997 sobre protección de datos personales, garantía de los derechos y libertades constitucionales y especialmente de la Intimidad personal y familiar y del honor. Transposición normativa comunitaria de la LOPDP que también tuvo retraso de cuatro y dos años respectivamente.

 

Retraso normativo inicial morigerado, según se  ha sostenido porque desde 1984, se conocía “un conjunto de normas heterogéneas que no siempre distinguían entre ficheros automatizados y ficheros convencionales” [99] y porque en nuestro criterio, se aplicaba teóricamente la Ley Orgánica núm. 1 de 5 de Mayo de 1982, relativa a la protección civil de los derechos del honor, la intimidad y el propia imagen, como norma jurídica subsidiaria en todos los asuntos relacionados con las intromisiones ilegítimas derivadas del uso de la informática (Disposición Primera Transitoria).

 

Este antecedente referencial legislativo, condujo a la LORTAD en 1992 y a la LOPDP en 1999, a decantar y  mejorar varias definiciones técnico-jurídicas aplicables al tratamiento informatizado de datos personales y la estructuración de procedimientos técnicos informáticos, a fin de hacerlas más inteligibles al operador jurídico, pero principalmente al juzgador que debe aplicar e interpretar la norma jurídica.

 

___________________________________________

(98)       La LORTAD, “se ha demorado quince años, pero finalmente está ya publicada”, para destacar el epígrafe sobre “riesgos para los derechos de la personalidad que pueden derivar del acopio y tratamiento de datos por medios informáticos”. Cfr. GONZALEZ NAVARRO Francisco. Derecho Administrativo Español. Ed. Eunsa, 1a., ed. de 1987 y 2a., ed.,  Pamplona, 1994, p. 166.  En igual sentido, CASTELLS, quien sostiene:  “La aparición de España de una red de tráfico de datos personales obrantes en registros públicos a comienzos de la década de los 90, reveló lo que una política puramente promocional del fenómeno informático, sin suficientes alertas en el plano cautelar, podía ocasionar, Pérez Luño ha mencionado “la paradoja dramática”, consistente en compensar el retraso en la incorporación al desarrollo tecnológico, con la vanguardia mundial en la piratería del “software”, la delincuencia informática y las agresiones informáticas a la libertad”. Vid.  CASTELLS ARTECHE, José M., Derecho a la privacidad y procesos informáticos: Análisis de la LORTAD. R.V.A.P. Bilbao, 1997,  p. 251.

(99)       El autor cita como ejemplos de dichas normas, entre otras, las siguientes: la LGT (arts. 111 y 112,  modificado en 1985 y 1990), la ley 19 /1988 de 12 de julio, de auditoría de cuentas (arts. 13 y 14), y la ley 30/1984, de 2 de agosto, de Medidas para la reforma de la función pública (que prohibía registrar datos “sensibles” en los expedientes de personal). Refiriéndose ya específicamente a ficheros automatizados cabe citar la legislación electoral y la ley de la Función estadística pública, de 1982. Vid. GONZALEZ NAVARRO, Francisco. Derecho... Ob. cit., p. 168.

____________________________________________

 

En la LORTAD, se incluyeron las siguientes definiciones: (i) Datos de carácter personal, (ii) Fichero automatizado, (iii) Tratamiento de datos, (iv) Responsable del fichero, (v) Afectado, y (vi) Procedimiento de disociación.

 

En la LOPDP de 1999, el listado de términos aumentó porque la doctrina y jurisprudencia ibérica había hecho serios reparos son la terminología pendular empleada por titulares, usuarios, responsables de los ficheros y hasta los mismos órganos de control de los datos, como la Agencia de Protección de datos. Para corregir la ambigüedad en la terminología aplicable al tratamiento de datos personales, la nueva ley definió con precisión los siguientes términos:

 

  1. a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

 

  1. b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

 

  1. c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 

  1. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

 

  1. e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento de datos respectivo.

 

  1. f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

 

  1. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

 

  1. h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

 

  1. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

 

  1. j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

 

A continuación comentaremos a espacio los siguientes términos:

 

Datos de carácter personal o simplemente datos personales, se considera  cualquier información concerniente a personas físicas identificadas o identificables. Esta definición es idéntica a la prevista en el Convenio de 1981, por ello son válidas las observaciones realizadas en aquél aparte. Sin embargo, la LOPDP incluye entre sus definiciones la de “afectado o interesado”, para indicar que se trata de una persona física titular de los datos que sean objeto del tratamiento informatizado, con lo cual abunda sin necesidad sobre el concepto de persona física (identificada o identificable) con el inri de que dicha persona no es en strictu sensu un afectado como lo sostenía la LORTAD, sino también un interesado como adicionó la LOPDP, pues la persona física es el titular de los datos personales o concernido en un tratamiento o procedimiento informatizado que tiene derechos y también deberes, no simplemente obligaciones o cargas como sugería el concepto de solo “afectado”.

 

El titular de datos personales o interesado, contextua la idea de toda persona que tiene derechos subjetivos sobre la información relativa a sí misma, aún cuando tal información haya sido reunida por otras personas. Esta visión no sería posible si le anteponemos el calificativo de afectado para referirnos a esa misma persona.

 

La LOPDP, como lo hiciera en su momento la LORTAD, destaca las definiciones de los conceptos de “tratamiento de datos” informatizado o no  y de “fichero” (que la LORTAD le adicionaba un apellido de “automatizado”, que resultaba innecesario y equívoco, porque excluía a los ficheros manuales, mecánicos o escriturales).

 

Quizá por ello, la LOPDP al eliminar el término automatizado dado a fichero terminó con el equívoco anotado, puesto que en la definición actual quedan involucrados en el término genérico, los ficheros, bases o bancos de datos tanto los manuales o escritos, como los electrónicos o informáticos, al decir, que el  fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

 

La LOPDP al definir el “Tratamiento de datos”  retomo en su integridad el suministrado por la LORTAD. En efecto, se dice que el Tratamiento de datos son aquellas operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, extiende el tratamiento a todo procedimiento técnico no informatizado y estructura el procedimiento de datos personales, a través de un iter compuesto de etapas o fases que encadenadas por un tratamiento informático, vale decir, con soportes y medios informáticos, electrónicos o telemáticos se dirigen a producir un dato informatizado, con el cual los responsables de la gestión, los titulares de los datos o los usuarios puedan desarrollar cualquier acción jurídico-técnica posible. v.gr. grabación, almacenamiento, bloqueo o interconexión. La definición de tratamiento de datos, destaca el iter informático que en su conjunto produce un proceso de igual carácter, es decir, un proceso informatizado de datos compuesto de fases o etapas, tales como las iniciales, de desarrollo y  terminación.  Estas fases, se estructuran con base en los principios fundamentales de la protección de los titulares de los datos personales.

 

En las definiciones anteriores se exaltan las etapas o fases del tratamiento informatizado de datos personales que conforman un procedimiento ibídem. En efecto, se destaca las fases de recolección, almacenamiento, registro, conservación y la comunicación (Emisión/transmisión y cesión) de datos personales. En tanto, que las acciones informáticas de revisión, actualización, rectificación, bloqueo y cancelación son originadas tras el ejercicio del derecho de información y acceso que tiene toda persona concernida con datos personales; vale decir, tras el ejercicio del derecho de habeas data.

 

Por ello, “la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia”, según lo destacaba en su momento la Exposición de Motivos de la LORTDA en el numeral 1º .

 

El Responsable del fichero o tratamiento, se considera a la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad contenido y uso del tratamiento. La LOPDP, al definir  al responsable del fichero o tratamiento, retoma la definición de la LORTAD, pero solo agregándole el término “o tratamiento” que esta no lo tenía.

 

En esencia, esta definición contiene los elementos de la definición inmersos en el concepto de “autoridad controladora del fichero“, previsto en el Convenio Europeo de 1981, con la diferencia que en éste se especifican las funciones decisorias acerca de  cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les aplicarán a los ficheros, en tanto que la LOPDP, engloba y amplia el radio de acción, al expresar que dichas decisiones se extienden a “la finalidad, contenido y uso del tratamiento” y no simplemente a la existencia per se de los ficheros o el tratamiento, en particular.

 

Efectivamente, como lo sostiene el profesor González Navarro [100], aparte de los dos sujetos (titular de los datos y el responsable del fichero), en el tratamiento de datos puede intervenir un tercer sujeto que es “el contratista o comisionista” que presta sus servicios de tratamiento informatizado de datos personales dentro de un procedimiento ibídem. Por su parte, la Ley Federal alemana de  protección de datos personales  (LFADP) extiende los efectos del principio de responsabilidad en el tratamiento de datos de los denominados “responsables del fichero” a las personas físicas o jurídicas, públicas o privadas que actúan como  terceros en el mismo (v.gr. Oficinas de servicios informáticos), tanto de los deberes-derechos que estos tienen, como de las sanciones y la obligación de guardar la confidencialidad de los datos.

 

Por ello, la LOPDP al llenó el vacío existente en la LORTAD, al crear y definir al Encargado del tratamiento, como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

 

De otra parte, la LOPDP recoge la misma definición dada en la LORTAD al “procedimiento de disociación”, definido como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

 

 

__________________________

(100)        Este tercero, según el art. 27 no puede aplicar o utilizar los datos obtenidos con un fin distinto del que figura  en  el contrato de servicios, ni cederlos a otras personas ni siquiera para su conservación. Igualmente, una vez  cumplida la  prestación contractual, los datos personales deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se presten tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un período de cinco años. Ob. ut supra cit., p. 170.

___________________________

 

Este derecho-garantía para el titular de los datos personales y el Estado que debe regular, el tratamiento, uso y utilización de los mismos conforme  a derecho, tiene  aplicación práctica, así: En la distinción de dato anónimo [101], dato reservado[102], comúnmente empleado en las normas jurídico-penales y ius-administrativistas españolas. En efecto, a pesar de ser ambos datos de carácter personal deducibles de una persona física, se diferencian en que éste último se predica única y exclusivamente de una persona identificada o identificable, so pena de desvirtuarse, y más aún, no haber existido, si alguna vez eso ocurrió. Tal es el caso,   en el ámbito penal y más concretamente al referirse a los delitos contra la intimidad en el título X, Libro II del Código Penal Español de 1995. Igualmente, en el ámbito administrativo, al referirse a las infracciones al tratamiento informatizado de datos previsto en la LOPDP (arts. 43 y 49).

 

De igual manera,  tiene la aplicabilidad práctica  el procedimiento de disociación cuando se refiere a los datos anónimos, a los efectos de  hacerles perder la determinabilidad de una persona humana a la que le conciernen  los datos de carácter personales. p.e., en los  datos estadísticos, históricos, científicos, investigativos, publicitarios, etc.

 

2.5.3.2.            Principios fundamentales aplicables a las fases del tratamiento de datos personales

 

La institucionalización de “los principios reguladores de la recogida, registro y uso de datos personales“, según sostenía la Exposición de Motivos de la LORTAD, en su momento y agregamos, como en las demás fases o etapas del tratamiento informatizado o no  de datos personales, tales como el almacenamiento, conservación y comunicación constituyen una garantía para el derecho al honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos y libertades constitucionales en el derecho público ibérico.  Por ello, la existencia de los principios fundamentales del tratamiento informatizado de datos personales  sólo  encuentra  validez, eficacia y presentación en la estructuración de sus fases o etapas, tales como la de recolección,  almacenamiento, registro, conservación y comunicación de datos personales, reguladas por la LOPDP e inmersos en el Título II, en los artículos 4º a 12º. Estos son: (i) Calidad de los datos; (ii) Derecho de información en la recogida de datos; (iii) Consentimiento del afectado; (iv) Datos especialmente protegidos; (v) Datos relativos a la salud; (vi) Seguridad de los datos; (v) El deber de secreto; (vi) Comunicación de datos; (vii) Acceso a los datos por cuenta de terceros.

 

La LOPDP, agregó a la lista de principios que traía la LORTAD, los relativos a “La comunicación de datos” y “el acceso a los datos por cuenta de terceros“, pues estos estaban previstos en las Directivas comunitarias de 1995 y 1997 y se requería su urgente transposición a las normas internas de protección de datos personales a efectos de normalizar u homologar los textos normativos comunitarios con los textos normativos de España.

 

___________________________

(101)       Los datos anónimos, que constituyen información de dominio público o recogen información, con la finalidad, precisamente, de darla a conocer al público en general. v.gr. como pueden ser los registros de  la propiedad o mercantiles. Por ello, al determinar el ámbito de aplicación de la LORTAD, ésta excluía en el artículo 2-a la aplicación del tratamiento informatizado de datos personales, a los ficheros de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

(102)           De la interpretación doctrinal de los arts. 197.2 y 200 del Código Penal Español de 1995, se pueden deducir varios conceptos de  dato reservado, a saber: 1. “Dato reservado es cualquier información concerniente a personas físicas identificadas o identificables cuyo conocimiento esta limitado a los usuarios del archivo, registro o fichero automatizado o convencional de acceso restringido. 2.  Dato reservado es aquel que es indispensable libremente por terceros, requiriéndose para ello autorización de su titular. 3. Dato reservado es aquel que potencialmente puede lesionar el derecho a la intimidad de su titular; en lo que respecta a las personas físicas, y cuyo descubrimiento o revelación debe incidir en la esfera “personal o familiar” de su titular… Vid. BAJO FERNANDEZ, Miguel et all. Compendio de derecho penal (Parte Especial). Vol. II. Ed. Centro de Estudios Ramón Areces, S.A. Madrid, 1998, p. 201-202

_______________________

El artículo 11 de la LOPDP, al regular el principio de comunicación de datos, estipuló lo siguiente:

 

  1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  2. Este consentimiento exigido no será preciso: (i) Cuando la cesión está autorizada en una Ley; (ii) Cuando se trate de datos recogidos de fuentes accesibles al público; (iii) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique; (iv) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas; (v) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos; (v) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

 

  1. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

 

  1. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  2. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la LOPDP de 1999.

 

  1. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

 

Por su parte el artículo 12 de la LOPDP, al reglamentar el principio de Acceso a los datos por cuenta de terceros”, sostuvo:

 

  1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

 

  1. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la LOPDP que el encargado del tratamiento está obligado a implementar.

 

  1. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

  1. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

Ahora veamos brevemente la aplicación de los demás principios en las diferentes fases o etapas del tratamiento de datos.

 

2.5.3.2.1.         Fase Inicial de recolección de datos

 

En  la  fase  inicial de  recolección  de los datos, se aplicarán los principios de la congruencia y racionalidad, según lo sostenía la Exposición de Motivos de la LORTAD.

 

Además es aplicable a esta fase del tratamiento de datos, el principio de calidad. En efecto, según el artículo 4-1 de la LOPDP, los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

 

Concordantemente con lo anterior, el numeral 7º del mencionado artículo “prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos”.

 

Por el principio del consentimiento, o de autodeterminación  (artículo 6 LOPDP), todo tratamiento de datos de carácter personal, y por supuesto, la recolección de los mismos, “requerirá el consentimiento inequívoco” del titular, interesado o persona concernida, pues con él, se “otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento  consciente e informado del titular o interesado para que la recogida de datos  sea lícita”.

 

Sin embargo, según el numeral 2 del artículo 6 de la LOPDP, no será preciso el consentimiento, en los siguientes casos:  (i) cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; (ii) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (iii) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la LOPDP [103]; (iv) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

___________________

(103)     No obstante lo dispuesto en los apartados anteriores podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo (datos especialmente protegidos: “núcleo duro” de la Intimidad), cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

_____________________

 

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

 

Por el principio de información, previo al principio del consentimiento y concomitante con el ejercicio de algunos derechos (v.gr. derecho de acceso a la información) y posterior con el ejercicio de otros, tales como el  de habeas data, el titular de los datos personales puede informarse plenamente y en forma a priori, de qué datos suyos pudieran ser recolectados y sometidos a tratamiento informatizado o no.

 

Este principio fundamental que también es un derecho subjetivo de la persona concernida, porque le permite al titular de los datos “ser previamente informado de modo expreso, preciso e inequívoco” (artículo 5-1 LOPDP), cuando sean solicitados datos a él referentes y vayan a ser objeto de recolección y tratamiento informatizado. Quizá, por esto es uno de los principios de  importancia capital para el pleno ejercicio del derecho de Hábeas data y los demás derechos y libertades fundamentales, y se aplica no sólo a la fase de recogida de datos sino al conjunto de fases o etapas del tratamiento de datos.

 

2.5.3.2.2.         Fase de almacenamiento de datos

 

En la fase de almacenamiento de datos se aplicarán los siguientes: a) El principio de adecuación, pertinencia y no excesibilidad de los datos con relación al ámbito y las finalidades legítimas (artículo 4-1 LOPDP). Este principio que es válido para la recolección de los datos, lo es también para el almacenamiento, por cuanto, éste se requiere para todo dato personal que sea “sometido a tratamiento” informatizado o no , y obviamente el almacenamiento posterior a la recogida de datos es una fase ineludible del tratamiento; b) El principio del consentimiento (artículo 6-1 Ibid), con igual razonamiento al precedente, se aplica este principio a la fase del almacenamiento de los datos, pues el consentimiento del titular se requiere durante todo el tratamiento; c) El principio de veracidad de la información. Los datos personales serán exactos y puestos al día de forma que respondan con veracidad a la situación real del titular (artículo 4-3 Ibid); d) El principio de información (artículos 5º Ibid), que opera en todo el tratamiento informatizado de la información y que le permite al titular de los datos ejercer los derechos de acceso,  habeas data e impugnación contra actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento o personalidad.

 

El principio del consentimiento en esta fase del tratamiento es importante, porque “otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes”, niveles que “se refuerzan singularmente en los denominados ´datos sensibles´, como pueden ser, de una parte, la ideología o creencias religiosas ‑-cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2-‑ y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España”.

 

2.5.3.2.3.         Fase de Registro de Datos

 

En  la etapa del Registro de los datos, se aplica: a) El principio de exactitud y completud de los datos. Si los datos personales registrados resultaren ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados,  sin  perjuicio  de  las  facultades  que los titulares de los mismos devenidas del ejercicio del derecho de Hábeas Data –llamados  por  la  LOPDP  “derechos  de  rectificación   y   cancelación” ,  artículo  16– (artículo 4-4 Ibid) [104]. Así mismo, por aplicación de éste principio, podrán ser cancelados los datos “cuando hayan dejado de ser necesarios o pertinentes para la finalidad para cual hubieren sido recabados o registrados” (artículo 4-5 Ibid).

 

Igualmente se aplicarán los principios del consentimiento, principio de información y el principio de seguridad de datos. Este último, como condición sine qua nom  para el registro de datos, puesto que no se registrarán datos personales en ficheros informatizados o no  que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas (artículo 9-2 Ibid).

 

Por el principio de la confidencialidad de los datos, aplicable a todo el tratamiento informatizado de datos, pero particularmente a las fases de registro,  conservación y comunicación de datos, el responsable del fichero y quienes intervengan en “cualquier fase del tratamiento de los datos” personales están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo (artículo 10 Ibid).

 

2.5.3.2.4.         Fase de conservación de los datos

 

En esta fase del tratamiento informatizado se aplicará:

 

__________________________

(104)      Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

  1. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
  2. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.

Cumplido el citado plazo deberá procederse a la supresión.

  1. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación .
  2. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

__________________________

 

  1. a) El principio de la temporalidad de los datos. Aplicable en dos formas: 1. no se serán conservados en forma que permita la identificación del titular de los datos durante un período superior al necesario para los fines en base a los cuales hubieran, salvo que deban mantenerse en su integridad atendiendo al valor histórico que los datos puedan tener de conformidad con el ordenamiento jurídico vigente (artículo 4-5 Ibid); y 2. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el titular de los mismos.

 

  1. b) Por el principio de seguridad de los datos, el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural (artículo 9-1 Ibid).

 

  1. c) Por el principio de tutela de derechos del titular de los datos, integrado por los anteriores principios y los referentes al derecho de habeas data, el titular podrá ejercer el derecho de acceso, a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes –artículo 15-3—

 

2.5.3.2.5.         Fase de comunicación de datos

 

Esta fase del tratamiento informatizado se estructura en la emisión y transmisión de los datos personales, a través de soportes y medios informáticos, electrónicos o telemáticos idóneos para la comunicación o la cesión de los mismos. Se entiende por cesión de datos, toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero; y sobre todo, la actividad de interconexión con otros ficheros y la comunicación de los datos realizada por una persona distinta del titular de los datos personales.

 

En consecuencia, serán  aplicables  los principios de consentimiento, información, confidencialidad y seguridad de los datos, por tener aplicabilidad en todas las fases del tratamiento informatizado.

 

La LOPDP, en el artículo 11º ut supra transcrito mejoró la redacción y entendimiento que la LORTAD, le daba a la “cesión de datos”, cuando en el fondo se estaba refiriendo a un fenómeno técnico jurídico más genérico como era la “comunicación de los datos”, el cual tiene concordancia con el fenómeno regulado en las Directivas Comunitarias y últimamente en la LOPDP en los artículos 33 y 34, sobre el “Movimiento Internacional de Datos”.

 

El principio de libre circulación de datos, aplicable a las comunicaciones de datos personales denominado por la LOPDP, como “movimiento internacional de datos” (artículo 33). En este punto, la Ley traspone la norma del artículo 12 del Convenio 108 del Consejo de Europa, apuntando así una solución para lo que ha dado en llamarse flujo transfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la Agencia cuando tal sistema no exista pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

 

2.5.3.3.            Órganos de Protección de los datos personales

 

La LOPDP establece como órganos de la protección de los datos personales a los siguientes: a) La Agencia de protección de datos, que como organismos de régimen jurídico sui géneris cuenta con un Director asesorado con un “Consejo Consultivo”; b) El Registro General de protección de datos, como órgano integrado a la Agencia; la Inspección de Datos y la Secretaría General, como órganos jerárquicamente dependientes del Director de la Agencia (artículo 11-3, R.D.núm.428/1993, de 26 de Marzo).; y c) Órganos de protección de datos de las Comunidades autónomas.

 

2.5.3.3.1.         La Agencia de Protección de Datos o APD

 

La Agencia de Protección de Datos Española,  es la entidad pública, con personalidad jurídica propia y plena capacidad pública  y privada, que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones, con un régimen jurídico sui géneris (integrado por la LOPDP y por un Estatuto propio dictado por el Gobierno R.D.núm.428/1993, de 26 de Marzo).

 

La Agencia, tiene como objetivo prioritario velar por el cumplimiento de la legislación en materia de protección de datos personales informatizados en España, pero particularmente, la garantía del cumplimiento y aplicación de las previsiones contenidas en la Ley Orgánica 15/1999, de 13 de Diciembre, sobre la Protección los Datos de Carácter Personal y los derechos y libertades fundamentales e intereses legítimos implicados en ella.

 

La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el  establecimiento  de un mandato fijo que sólo puede ser acortado por un numerus clausus de causas de cese.

 

La Agencia de Protección de datos, según el artículo 37 de la LOPDP tendrá como funciones, las siguientes:

 

  1. a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

 

  1. b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

 

  1. c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.

 

  1. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

 

  1. e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
  2. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

 

  1. g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.

 

  1. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

 

  1. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
  2. j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

 

  1. k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

 

  1. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

 

  1. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46 (“Infracciones de las Administraciones Públicas”.
  2. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

 

2.5.3.3.2.         El Director de la Agencia de Protección de Datos

 

El Director de la Agencia de Protección de Datos,  dirige la Agencia y ostenta su representación. Prioritariamente el Director hará cumplir y cumplirá todo lo atinente a la legislación sobre tratamiento informatizado de datos personales y en su carácter de funcionario ejecutor de las políticas, recomendaciones y sugerencias de la Agencia de Protección de Datos, velará y controlará el ejercicio de los derechos de información,  Hábeas Data (acceso, actualización, rectificación, bloqueo y cancelación de datos) y el pleno de derechos y libertades fundamentales e intereses legítimos.

 

El Director será nombrado, de entre quienes componen el consejo Consultivo, mediante Real Decreto, por un período de cuatro años. Cesará antes de la expiración del  período, por las siguientes causas: 1. A petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo; 2. Por incumplimiento grave de sus obligaciones, 3. Por incapacidad sobrevenida para el ejercicio de su función, y, 4. por incompatibilidad o condena por delito doloso.

 

El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

 

El Director de la Agencia, tiene una gama variopinta de funciones, tales como las de Dirección, de Gestión y designación, que apuntan a determinar que su cargo se desempeña con dedicación absoluta, plena independencia y total objetividad, y por ello no estará sujeto a mandato imperativo, ni recibirá instrucciones de autoridad alguna.

 

2.5.3.3.3.         El Registro de Protección de Datos        

 

El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. Serán objeto de inscripción en el Registro General de Protección de Datos:

  1. a) Los ficheros de que sean titulares las Administraciones Públicas.
  2. b) Los ficheros de titularidad privada.
  3. c) Las autorizaciones a que se refiere la LOPD
  4. d) Los códigos tipo a que se refiere el artículo 32 de la LOPD
  5. e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

 

Según el numeral 3º del artículo 39 de la LOPDP, por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

 

2.6.      LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE

 

Las Directivas comunitarias hacen referencia, la primera de 1995, a los principios, derechos y garantías de los titulares de los datos personales generales y sensibles y las fases del proceso informatizado o no de los datos y a la “circulación de datos”. La segunda de 1997 hace referencia a la fase de comunicación del proceso informatizado de datos y en los principios y garantías de tutela de los titulares de los datos personales.

 

2.6.1.   LA DIRECTIVA 95/46/CE, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

 

La  Directiva 95/46/CE., en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, contiene una estructura normativa  sui géneris muy propia de las normas comunitarias europeas, pertenecientes a las fuentes del llamado Derecho Derivado Comunitario [105]

 

La Directiva está dividida en dos grandes partes: una, de carácter interpretativo o hermenéutico; y otra, de carácter normativo propiamente dicho, y por ende con efectos jurídicos,  dividida  en  capítulos,  secciones y  artículos. La primera parte, contiene un amplísimo número de considerandos, 72 en total, los cuales constituyen la exposición de motivos de la norma jurídica; vale decir, la parte de interpretación hermenéutica plasmada por el propio legislador comunitario a fin de desentrañar y justificar el cuerpo del texto normativo.

_________________________

(105) Este  derecho  escrito  es el creado por los organismos comunitarios (El Parlamento, La Comisión y El Consejo, especialmente). Comprende en primer término, los actos jurídicos expresamente previstos en  los Tratados de creación de la CE (hoy UE, Unión Europea); actos que contienen reglamentaciones obligatorias para los Estados Miembros. Estos son: los Reglamentos, LAS DIRECTIVAS, y las Decisiones dirigidas a particulares y al Estado Respectivo; así como las Recomendaciones o razones que emanan del Tratado de la CECA, y los Acuerdos Internacionales que conciernen a la Comunidad Europea. Mis trabajos: Las fuentes del derecho comunitario europeo. En: Revista FORO UNIVERSITARIO. Ed. UNED, Univ. de Nariño, Núm. 15,  Pasto, 1988, p.65-75; y, Los denominados recursos ante los Tribunales de Justicia de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, p. 11 y ss.

__________________________

La segunda parte, se estructura así: Capítulo I. Disposiciones Generales: Objetivo de la Directiva (art.1), Definiciones (art.2), Ámbito de aplicación (art.3), Derecho nacional aplicable (art.4). Capítulo II. Condiciones generales para la licitud del tratamiento de datos personales: Secc. I. Principios Relativos a la Calidad de datos (art. 6). Secc. II. Principios Relativos a la Legitimación del Tratamiento de datos (art. 7). Secc. III. Categorías Especiales de tratamiento (arts.8 y 9). Secc. IV. Información del interesado (arts.10 y 11). Sec. V. Derecho de Acceso del interesado a los datos (art.12). Secc. VI. Excepciones y limitaciones (art.13). Secc.VII. Derecho de Oposición del interesado (art. 14 y 15). Secc. VIII. Confidencialidad y Seguridad del Tratamiento (arts. 16 y 17). Sec. IX. Notificación (arts. 18 a 21). Capítulo III. Recursos Judiciales, Responsabilidad y Sanciones (arts. 22 a 26). Capítulo IV. Códigos de Conducta (art.27). Capítulo VI. Autoridad de control y grupo de protección de las personas en lo que respecta al tratamiento de datos personales (arts. 28 a 30). Cap. VII. Medidas de ejecución comunitarias (art. 31). Disposiciones Finales (art.32 a 34).

 

Los principios de protección a las personas físicas (identificadas o identificables, no anónimas  [106]) en el tratamiento informatizado o manual (aunque sólo extensible a los denominados ficheros no a las  carpetas de datos) [107] de datos personales, previstos en la Directiva, tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos. Estas obligaciones, se refieren en particular, a la calidad de datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento. De otra parte, estos principios hacen referencia a los derechos otorgados a las personas cuyos datos sean objeto de tratamiento, tales como, el de ser informados acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias [108].

 

2.6.2.   LA DIRECTIVA 97/66/CE, relativa a la protección de los datos personales y de la intimidad en relación con el sector de las telecomunicaciones y, en particular, la red digital de servicios integrados (RDSI) y las redes móviles digitales públicas

 

La fase  informatizada de comunicaciones  (o “telecomunicaciones” como prefiere, la Directiva) de datos personales con el desarrollo constante  y  revolucionario  de  las nuevas tecnologías de la información y comunicación (TIC) [109] , día a día, se va super especializando cara a los intereses, derechos y libertades fundamentales dignos de protección  y garantía  por parte del Estado e incluso de los mismos  particulares; así como el de preservar los principios de la libre circulación de los datos y la confidencialidad de las comunicaciones [110] que transiten entre los Estados de la UE, conjuntamente con los cada vez, paradójicamente por el mismo avance, espectros de riesgo y vulnerabilidad que crecen geométricamente y se concretan; entre otras actividades,  en el acceso, la transformación o la interceptación no autorizada de datos personales y continentes en bases de datos públicas o privadas, a través de medios muy sofisticados de tipo informático, electrónico o telemático. Acciones humanas  indebidas, abusivas o ilegales  que generan  reproche social y normativo que  en España van, desde las sanciones administrativas por infracciones (o contravenciones) al régimen del tratamiento informatizado o no de datos personales, previsto en la LOPDP,  hasta las sanciones penales por estar incursos en formas delictuales contra los derechos y libertades fundamentales (entre ellos, la intimidad, la imagen y el honor, la información, etc.)  [111].

 

_____________________

(106)     En similar sentido, los considerandos 25, 26, 68 y 72 de la Directiva.

(107)     Según el considerando 27 de la Directiva  sostiene que “La protección de las personas debe aplicarse tanto al tratamiento automático de  datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva”.

(108)        Para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. Por tanto, los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado. Los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado (Considerando 26).

(109)          En efecto, son los Estados de la UE, quienes mediante sus disposiciones normativas, garanticen, la confidencialidad de las comunicaciones realizadas a través de las redes públicas de telecomunicaciones y  de  los servicios públicos de telecomunicaciones. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando esté autorizada legalmente (Considerando 5).

(110)       El Parlamento Europeo y el Consejo de la Unión Europea (UE), consciente de dichos avances y de que la  Directiva 95/46/CE, constituye un buen instrumento, pero jamás suficiente,  de defensa de los derechos y  libertades fundamentales de la persona humana, ha venido trabajando una propuesta común que se concrete en una Directiva Comunitaria que refuerce y especialice la protección de esos intereses y derechos, ya que “en la actualidad están apareciendo en la UE nuevas redes digitales públicas avanzadas de telecomunicación que crean necesidades específicas en materia de protección de datos personales y de la intimidad de los usuarios; que el desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios de telecomunicaciones; que el desarrollo transfronterizo de estos servicios, como el vídeo por pedido o la televisión interactiva, depende en parte de la confianza de los usuarios en que no se pondrá en peligro su intimidad” (C. 2). Texto Completo de la Proposición Común (CE) nº 57/96, relativa a la protección de los datos personales y de la intimidad en relación con el sector de las telecomunicaciones y, en particular, la red digital de servicios integrados (RDSI) y las redes móviles digitales.  En: www.cc.cec Database CELEX.

(111)        RIASCOS GOMEZ, Libardo Orlando. El delito informático contra la Intimidad de las personas: Una visión constitucional y penal.  En: Revista FORO UNIVERSITARIO nº 22 de Noviembre de 2004, ISSN 1692-7923, Universidad de Nariño, Pasto, p. 9 a 40.

____________________________

La Directiva 97/66/CE, constituye una norma jurídica comunitaria  que refuerza, amplía y concreta  el régimen previsto en la Directiva 95/46/CE, sobre protección a los derechos y libertades fundamentales (particularmente, el derecho a la intimidad) de las personas humanas, cuando sus datos han sido tratados con medios informáticos, electrónicos o telemáticos, haciendo énfasis en la fase de transmisión (emisión/recepción) de datos. En tal virtud las normas de la Directiva 95/46/CE, se aplicarán por extensión, en cuanto a  los recursos judiciales, régimen de responsabilidad y sanciones (art. 14-2); así mismo se podrá limitar el alcance de las obligaciones y derechos previstos en los denominados por la Directiva 95, “Principios relativos a la calidad de datos” (art.5 y 6), y los datos de “categorías especiales de tratamiento” (art. 8-1 a 8-4), cuando dichas limitaciones constituyan una medida necesaria para proteger la seguridad nacional, la defensa, la seguridad pública, la prevención, la investigación, la detección y la persecución de delitos o la utilización no autorizada del sistema de telecomunicaciones (art. 14-1).

 

La Directiva consta de una parte interpretativa y hermenéutica (26 considerandos) y un cuerpo normativo, con los siguientes temas: Objetivo y ámbito de aplicación (art. 1), Definiciones (art. 2), Servicios regulados (art.3), Seguridad (art.4), Confidencialidad de las comunicaciones (art. 5), Tráfico y facturación (art.6), Facturación desglosada (art. 7), Presentación y limitación de la identificación de la línea llamante y conectada (art. 8), Excepciones (art. 9), Desvío automático de llamadas (art.10), Guías (11), llamada no solicitada (art. 12), Características técnicas y normalización (art. 13), Extensión del ámbito de aplicación de determinadas disposiciones de la Directiva 95/46/CE (art. 14), Aplicación de la Directiva (art.15), y Destinatarios (art. 16).

 

 

 

BIBLIOGRAFIA GENERAL

 

(1)         AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

(2)        AA.VV. Microsoft® Encarta® 2007. © 1993-2006 Microsoft Corporation. Reservados todos los derechos.

(3)        AA.VV. Documentación informática. Serie Amarilla. Tratados Inter. núm.2.

(4)        BAJO FERNANDEZ, Miguel et all. Compendio de derecho penal (Parte Especial). Vol. II. Ed. Centro de Estudios Ramón Areces, S.A. Madrid, 1998

(5)        BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

(6)        CASTELLS ARTECHE, José M., Derecho a la privacidad y procesos informáticos: Análisis de la LORTAD. R.V.A.P. Bilbao, 1997,

(7)        DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997, pág. 56-61.

(8)        DE LEON BATISTA, Hernán. Amparo de garantías: ¿un recurso muy especial?. En: http://mensual.prensa.com/

(9)         DAPKEVICIUS, Rubén Flórez. Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

(10)      FAIREN GUILLEN, Víctor. El Hábeas Data  y su protección actual sugerida en la Ley Española de Informática de 29 de Octubre de 1992. En: Revista de Derecho Procesal. Núm.3, Madrid, 1996.

(11)      GONZALEZ NAVARRO, Francisco. Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994, Pamplona.

(12)      MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

(13 )     HEREDERO HIGUERAS, Manuel. Legislación Informática. Ed. Tecnos, Madrid, 1994.

(14)      MIRABELLI, “Banche dati e contemperamento degli interessi”, Bance dati telematica e diritti della persona, Cedam, Padova, 1984.

(15)      ORTI VALLEJO, Antonio. Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y tratamiento informáticos de datos personales. Particular atención a los ficheros de titularidad privada). Ed. Comares, Peligros (Granada), 1994.

(16)       PORCELL D., Kenia I. El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I y II) Abogada Asistente Secretaría de Asuntos Legales, Procuraduría General de la Nación. En: http://www.ministeriopublico.gob.pa/

(17)      PEREZ JARAMILLO, Rafael. El Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

(18)      RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España).

(19)      ————————. Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

(20)        ———————–. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España).

(21)      ————————-. Los denominados recursos ante los tribunales de Justicia de la UE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995.

(22)      ————————–. Las fuentes del derecho comunitario europeo. En: Revista FORO UNIVERSITARIO. Ed. UNED, Univ. de Nariño, Núm. 15,  Pasto, 1988, p.65-75; y, Los denominados recursos ante los Tribunales de Justicia de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia).

(23)      SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen..

(24)      SOUVIRON, José M. En torno a la juridificación del poder informático del Estado. R.V.A.P. Núm. 40, Sep-Dic., Bilbao, 1994, cita núm. 67.

(25 )     TANUS, Gustavo D. Protección de datos personales: principios, derechos, deberes y obligaciones.  En: http://www.protecciondedatos.com.ar

 

Sitios de WEB:

http://www.defensoriadelpueblo.gob.pa/

http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

http://www.pcm.gob.pe/Transparencia/

http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

 

 

 

03Abr/16

La visión constitucional del habeas data

La visión constitucional del habeas data
de D. Libardo Orlando Riascos Gómez

 

CONTENIDO

 

CAPITULO PRIMERO

  1. EL HABEAS DATA EN LAS CONSTITUCIONES LATINOAMERICANAS

 

  1. CONSTITUCION DE LA REPUBLICA ARGENTINA
  2. CONSTITUCION DE LA REPUBLICA DE BOLIVIA
  3. CONSTITUCION DEL ESTADO FEDERATIVO DEL BRASIL
  4. CONSTITUCION DE LA REPUBLICA DE COLOMBIA
  5. CONSTITUCION DE LA REPUBLICA DEL ECUADOR
  6. CONSTITUCION DE LA REPUBLICA DE HONDURAS
  7. CONSTITUCION DE LA REPUBLICA PANAMA
  8. CONSTITUCION DE LA REPUBLICA DEL PARAGUAY
  9. CONSTITUCION DE LA REPUBLICA DEL PERU
  10. CONSTITUCION DE LA REPUBLICA BOLIVARIANA DE VENEZUELA
  11. Colofón: Una Constitución transfronteriza para Latinoamérica

 

CAPITULO SEGUNDO

  1. EL HABEAS EN LAS CONSTITUCIONES EUROPEAS

 

2.1       En la Constitución del Reino de  España

2.2.      En la Constitución de Portugal

2.3.       EN LA CONSTITUCION EUROPEA DE 2004

2.3.1.   Directrices de la Organización para la Cooperación y Desarrollo Económico (OCDE), sobre los Datos de carácter personal.

2.3.2.   El Convenio de Estrasburgo o Convenio europeo de 1981, sobre los Datos personales informatizados.

2.3.3.   Las Directivas 95/46/CE y 97/66/CE, sobre Datos de carácter personal                         informatizados.

9.4.      Colofón: Cualificación de la etapa de comunicación  o “flujo transfronterizo” de datos entre Estados de la UE y del mundo

 

 

____________________
(*) Doctor en Derecho de la Universidad de Navarra (1986) y la Universidad de Lleida (1999). Docente de la Universidad de Nariño (Pasto-Colombia).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

LA VISION CONSTITUCIONAL DEL HABEAS DATA

 

 

 

CAPITULO PRIMERO

 

III.           EL HABEAS DATA EN LAS CONSTITUCIONES LATINOAMERICANAS

 

 

  1. CONSTITUCION DE LA REPUBLICA ARGENTINA

 

1.1.      La acción de amparo específico: El Hábeas Data

 

En la Constitución de la República de Argentina de 1994, en el inciso 1º y 3º  del artículo 43, se regula la “acción” de habeas Data  de la siguiente forma:

 

Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial mas idóneo, contra todo acto u omisión de autoridades publicas o de particulares, que en forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva.

 

Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística”.

 

En el derecho argentino ha tenido una inusitada evolución la “acción de habeas data“, pese a que con ese nombre no se conoce en la Constitución de 1994. Su dimensionamiento legislativo en el ámbito federal, como en cada una de sus provincias e incluso en la misma ciudad autónoma de Buenos Aires, así se percibe en el contexto suramericano, donde sin ser el Estado que primero elevara a rango constitucional el derecho y garantía constitucional de Hábeas Data, hoy por hoy, contiene una experiencia en el tema, varias leyes, decretos y disposiciones que  regulan el Hábeas Data en los ámbitos federal (Ley 25326 de Octubre 4 de 2000 Ley de Protección de Datos Personales Argentina –LPDPA- y Decreto Ejecutivo 995 de 4 de Octubre de 2000; Disposición nº 11 de 2006, sobre “Medidas de seguridad para el tratamiento y conservación de los datos personales contenidos en archivos, Bancos y Bases de datos públicos no estatales y privados”), provincial (Tanto en sus Constituciones Federales, como las de la ciudad Autónoma de Buenos Aires, la Provincia de Córdoba, Chaco, Chubut, Jujuy, La Rioja, Río Negrom San Juan, Santa Fe; entre otras, como en leyes específicas de protección de datos personales como de acceso a la información, v.gr. La Ley nº 104/98 de Acceso a la Información Pública  de la Ciudad de Buenos Aires; Ley de Santa Fe de 2006, sobre “centros de llamadas o Call centers” y especial de la ciudad de Buenos Aires [1]  ); así como, dictámenes jurídico-administrativos y constitucionales de la “Dirección Nacional de Protección de Datos personales –DNPDP— [2]  y pronunciamientos jurisdiccionales de los jueces individuales y colegiados de la República Argentina, y por su puesto de la Honorable Corte Suprema de Justicia de la Nación (V.gr. Caso Di Nunzio, Daniel F., c/ The first Natio-nal Bank of Boston

_____________________

 

(1)        La ley regula la protección para los usuarios de servicios telefónicos contra los abusos en los procedimientos de contacto, promoción, publicidad y venta de bienes o servicios a través del servicio telefónico o telemarketing. En: http://www.habeasdata.org/  Presentan proyecto para un registro “no llame” en Santa Fe.

(2)        Entre las numerosas consultas que absuelve la DNPNP Argentina, se cita por su importancia, la contenida en el Dictamen 143 de 2005, de 6 de Junio, relativa a la interpretación del inciso 3º  del artículo 38 de la Ley 25326, sobre los “requisitos de la demanda” en “la acción de protección de datos personales” y en particular lo relativo a “3. El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial”. La entidad consultada, luego de analizar los artículos 4 de la Ley citada sobre  la calidad de los datos, el Decreto 1558 de 2001, artículo 4, sobre la lealtad y buena fe en la obtención de datos; el artículo 26 de la Ley citada, sobre prestación de servicios de información crediticia y el propio artículo 38, consultado, concluye que para solicitar el asiento  de la información cuestionada, al estar sometida a un proceso judicial es una facultad  exclusiva del juez.

 

et all, Noviembre 11 de 2006 [3]; Caso Monner Sanz, Ricardo, vs. Fuerza Aérea Argentina, Septiembre 26 de 2006 [4]; Caso Diez María Elvira c/ Banco Central de la República Argentina –BCRA–, Banco de datos (CITIBANK); entre muchos otros [5]).

 

La Constitución Federal Argentina reguló normativamente en el artículo 43 la acción de amparo, como un mecanismo jurisdiccional especial y de trámite expedito para la defensa y garantías de los derechos y libertades de la persona humana, reconocidos en la Constitución, en las leyes e incluso en los tratados públicos reconocidos por el Estado argentino, siempre y cuando se deba a una acción u omisión de autoridades públicas o de carácter particular “que en forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta”.

 

Esta acción constitucional de amparo se extiende también hasta la declaratoria de  “la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva”, con lo cual se observa que la acción de amparo, prevista en el inciso primero del artículo 43, es una acción de naturaleza jurídica mixta, pues por un lado es una acción garantista y protectora de derechos y libertades constitucionales; y por otra, es una acción declarativa de inconstitucionalidad de actos u omisiones lesivas de aquellos derechos y libertades. En tal virtud, es una acción general y amplia en sus fines y objetivos.

 

El inciso 3º del artículo 43, regula la acción de amparo con fines y objetivos específicos, los cuales apuntan en principio, a proteger los datos o informaciones personales que consten en registros o bancos de datos públicos o privados y siempre que éstos o aquellas sirvan para “proveer informes”; y  a posteriori, “y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos”.  En este inciso se

 

_____________

 

(3)        Referente a la acción judicial de Hábeas Data iniciada por Di Anunzio, Daniel, contra el First National Bank of Boston et all, sobre acceso y actualización de la información financiera del concernido. Derechos y deberes de éste y de los del registrador y administrador de la información. En: http://www.habeasdata.org/. Nuevo fallo de la Corte Suprema sobre Hábeas Data.

(4)        Relativo a la acción de amparo informático o informativo o acción de Hábeas Data ejercida por el Dr. Ricardo Monner, contra la Dirección Nacional de Aeronavegabilidad de la Fuerza aérea Argentina, para acceder y consultar la información contenida en las conclusiones de dicho organismo sobre el estado de los aviones de las distintas empresas aéreas y su documentación fundante. En: http://www.habeasdata.org/  Corte Suprema de Argentina confirma fallo sobre acceso a la información pública.

(5)        Referente al acceso, exhibición y rectificación de la información sobre la concernida María E. Diez, obrante en el banco de datos de la “Central de Deudores del Sistema financiero del BCRA”. Así mismo hace mención al “derecho de olvido” de los datos negativos por el transcurso del tiempo (5 años) establecido en el artículo 26 de la Ley 25326 de 2000. En: http://www.habeasdata.org/  Nuevo fallo sobre derecho al olvido del fuero contencioso administrativo federal

regula sin nominar los derechos o facultades que conforman el Hábeas Data: En la primera parte, los derechos de acceso y conocimiento de la información por parte del concernido; y en la segunda parte, los derechos de información, rectificación, actualización y la comunicación de los datos; así como las restricciones, confidencialidad y secreto de algunas informaciones especiales.

 

No cabe duda alguna desde el punto de vista orgánico del artículo 43, constitucional, que el constituyente  argentino de 1994, encuadró en la misma norma y aunque en incisos diferentes la protección y garantías jurisdiccionales de la acción de amparo genérica de derechos y libertades constitucionales y la acción que protege y garantiza los datos o informaciones personales (por medios electrónicos y mecánicos, pues la norma no los distingue),  su acceso y posterior tratamiento, así como también a las facultades que tiene el concernido de su propia información y de igual forma a  los derechos y deberes de quienes almacenan, registran, administran o comunican información personal pública y privada.

 

Ahora bien, podría decirse que el inciso 3º del artículo 43, crea un nuevo derecho y garantía constitucional autónomo denominado Hábeas Data público y privado, el cual tiene un trámite expedito jurisdiccional de acción de amparo; o por el contrario, que no se crea ningún derecho constitucional nuevo, al referirse a la garantía de derechos y facultades constitutivas del Hábeas Data público y privado como una especie de acción de amparo genérica previsto en el inciso 1º del artículo 43 y en consecuencia denominado amparo informativo o informático (término utilizado por la doctrina argentina, especialmente Puccinelli). El cuestionamiento no es ocioso, como lo demuestran varios estudios al respecto.

 

Para los autores como Baigorri, Juárez Ferrer y López Achával  [6], conviene dilucidar la naturaleza jurídica del Hábeas Data Argentino,  porque está en “juego la procedencia de la acción, y por ende, el eficaz ejercicio de ésta garantía constitucional“. Para conseguir este propósito los tratadistas del derecho sistematizan las diversas posturas devenidas de la doctrina jurídica, así como de la jurisprudencia. Estas posturas o tendencias son:

 

  1. a) Tendencias Restrictivas. Estas reconocen que el Hábeas Data es una especie del amparo, pues los requisitos de admisibilidad son los mismos que para la acción de amparo

____________________

 

(6) BAIGORRI, Mauricio Javier et all. La Naturaleza jurídica del Hábeas Data. En: http://www.salvador.edu.ar

 

genérica (plazo de caducidad, necesidad de arbitrariedad o ilegalidad manifiesta y agotamiento de la vía gubernativa) [7].

 

  1. b) Tendencias Garantístas. Se sostiene que si bien la acción de Hábeas Datas es una especie de amparo, los requisitos de admisibilidad de éste no deben aplicarse irrestrictamente.

 

De ésta última tendencia, surge el siguiente interrogante: ¿Es el Hábeas Data es un remedio excepcional?.  La respuesta negativa se impone, pues como sostiene Bazán [8], “peca de excesivo reduccionismo la tendencia a resaltar que el habeas data es un remedio excepcional“.

 

Así las cosas, sostienen los autores ut supra citados que el Habeas Data Argentino es una acción autónoma [9], porque goza de particularidades  que la distinguen de la garantía de amparo y por eso se plasma en los incisos 1º y 3º  del artículo 43, conceptos e instituciones jurídicas diferentes: en el primero la acción de amparo genérica y en el segundo la garantía del Hábeas data, que el Constituyente del 94, en principio no había previsto y luego la incluyo en éste inciso, pues al principio sólo se preveía el Amparo y el Habeas Corpus.

 

Quizá una forma de terminar con las tendencias restrictivas de la naturaleza del Hábeas Data y de potenciar la autonomía de la misma se encuentre en el argumento traído por Puccenelli [10], al explicarse como el mismo legislador bajo la tensión de las discusiones surgidas a raíz de la inclusión del inciso 3º en el artículo 43 y la amplitud de interpretación y alcance que la Corte Suprema de Justicia de la Nación le había prodigado a dicha parte de

_____________________

 

(7)        En el ámbito jurisdiccional argentino, según cita de Baigorri et all, esta tesis se expresa así: ” El art.43 C.N., luego de regular el amparo en general en sus párrafos 1º y 2º , le dedica el 3º  a esta suerte de amparo específico denominado de Hábeas Data… De todo el plexo normativo que rige la especie interpretando a la luz de la doctrina y jurisprudencia imperantes, surgen los requisitos de admisibilidad y procedencia de la acción de amparo que deben darse de consuno, en el caso concreto, para la viabilidad de la misma…”

(8)        BAZAN, Víctor. El Hábeas Data ante una visión jurisdiccional restrictiva. En LL 1999-A-208, citado por la obra ut supra cit.

(9)        En ámbito jurisdiccional defiende esta tesis, según cita de Baigorri et all, en los siguientes términos: “El Hábeas Data puntualmente con el amparo y el Habeas Corpus, integran las tres garantías constitucionales por excelencia que aseguran a cualquier habitante el cese de la violación o amenaza del derecho constitucional conculcado…El instituto del Hábeas Data se explica en virtud del desarrollo del llamado ´poder informático´…de ahí la necesidad de contar con una herramienta procesal adecuada para hacer efectivo el ejercicio del derecho a la autodeterminación informativa o protección de los datos personales. Esto último constituye una tercera generación de derechos humanos que el legislador ha sentido la necesidad de tutelar y que el órgano jurisdiccional esta compelido a remediar en caso de violación de los mismos…”.

(10)       PUCCENELLI, Oscar. Tipos y subtipos de Habeas Data en América Latina. En: www.editorialastrea.ar

la norma constitucional desde 1994. En efecto, el Congreso Nacional en el año 2000 “dictó una ley de protección de datos de carácter personal (25326) que incluye entre sus disposiciones un sector en el que se reglamenta la acción de hábeas data que se ventilan ante la justicia federal“.

 

De lo anterior se puede observar que hasta antes de la expedición de la Ley de Protección de Datos personales de 2000, tanto la doctrina como la jurisprudencia de la Corte, apuntalaban sus argumentaciones de dependencia  o de autonomía plena de la acción de Hábeas Data respecto de la acción de amparo, en el cumplimiento u observancia total o parcial de los requisitos de admisibilidad y procedibilidad de cada una de las acciones ante los organismos jurisdiccionales y la normatividad principal y subsidiaria aplicable a dicha acción, pues no se contaba con regulación legislativa específica del Hábeas Data constitucional.

 

En 1997, Sagüés [11], consideraba que el Hábeas Data era una especie de acción de amparo que no necesitaba de una regulación específica y bastaba con la normatividad general de la acción de amparo y subsidiariamente la aplicación de la Ley 16986, relativa a las relaciones jurídicas entre particulares y el Estado, y el Código procesal civil y comercial de la nación (artículos 321 y 498), cuando surgían conflictos entre los particulares. Para Palazzi, en1998, el cual realizó un estudio de impacto del Hábeas Data en el derecho argentino y sin entrar en la naturaleza jurídica del mismo, lo calificaba de “acción judicial” viable para “acceder a registros o bancos de datos, conocer los datos almacenados y en caso de existir falsedad o discriminación corregir dicha información o pedir su confidencialidad[12]; y a la vez, aprovechó la oportunidad para sostener que la Ley 24745 de 1996 vetada por el ejecutivo excedía las facultades constitucionales del inciso 3º del artículo 43 [13], al expedir “normas limitativas de estas operaciones (en especial de la creación de bancos de datos y de la difusión de información públicas) y una autoridad de

 

____________________

 

 

(11)       SAGUES, Pedro Néstor. El Hábeas Data en Argentina (Orden Nacional). Ius et Praxis, Año 3, Número 1º, Facultad de ciencias jurídicas y Sociales, Universidad de Talca, Talca (Chile), p.137-150.

(12)       Según Livellara,  La norma fue vetada “porque era muy estricta en materia de exigencia del consentimiento para la recolección y tratamiento de datos a terceros, lo que motivó la reacción de las corporaciones bancarias, financieras, y publicitarias, porque hubiese implicado la supresión del empleo de registros automatizados para proveer informes sobre la solvencia y la publicidad por marketing directo”. En: Habeas Data e información crediticia. La eventual responsabilidad de las entidades financieras y del banco Central de la República Argentina por cesión y publicidad de datos inexactos. Vía Internet.

(13)       MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencia del Hábeas Data. Revista de Derecho Informático. ISSN 1681-5726. Edita: Alfa-Redi, nº 046 de Mayo 2002.

 

aplicación encargada de velar por el cumplimiento de dicha norma”.  Agregaba: “somos de la idea que una futura regulación del Hábeas Data debería limitarse a establecer solamente los aspectos procesales, tal como  lo ha hecho recientemente las provincias de Mendoza, Chaco y Chubut“.

 

Tras la expedición de la Ley 25326 de 2000 y el Decreto Reglamentario número 1558 de 3 de diciembre de 2001, que introduce las normas de aplicación de la Ley, completa lo dispuesto en ella y clarifica aspectos de la Ley que podrían interpretarse de manera divergente, se completó el cuadro normativo que desarrolló y reglamento el Hábeas Data Argentino.

 

A partir de éste marco normativo, la doctrina y la jurisprudencia argentina, afianzaron los argumentos del Hábeas data como un derecho fundamental y como una acción jurisdiccional autónoma y con propósitos y fines específicos. Esta nueva tesis sobre la naturaleza jurídica del Hábeas data que conjugaba la circunstancia de concebir en el mismo inciso 3º del artículo 43, constitucional, la existencia de un derecho nuevo y autónomo para todas las personas denominado de Hábeas Data, y a la vez, una “herramienta procesal destinada a proteger los datos personales, fundándose en los carriles constitucionales expresos del art.43 y en los implícitos del art. 18, como reglas para un debido proceso[14], fue una realidad no sin ciertas resistencias doctrinales y jurisprudenciales.

 

Aunque dicho sea de paso existe una corriente doctrinal argentina mayoritaria que enfatiza más en la naturaleza jurídica procesal del Hábeas Data que en la naturaleza de derecho constitucional autónomo como lo observamos en la Constitución de 1994 y ratificada en la norma de desarrollo legal  y reglamentario ut supra relacionadas. Este derecho indistintamente ha sido denominado: “Derecho a la autodeterminación informática” o  la  “Libertad Informática” según Moeykens [15], tal cual lo nominará el artículo 18-4 de la Constitución Española de 1978. Nosotros preferimos seguirlo llamando Hábeas Data, bien lo consideremos como un derecho fundamental o bien como una garantía, instrumento o herramienta procesal para la defensa y garantía de los datos personales o de otros derechos constitucionales, tales como la Intimidad, la Información, la imagen, la honra, etc.,

_____________________

 

 

(14)       GOZANI, Osvaldo Alfredo. El particular, el Estado y las empresas de venta de información crediticia frente al Hábeas Data. Revista la Ley, Tomo 2000 D, Sección Doctrina, p. 1297. Citado por Livellara en la obra ut supra cit.

(15)       MOEYKENS, Federico Rafael. Derecho a la libertad informática… Ob. ut supra cit.

derecho de Hábeas Data, tal y como a partir del 2000, la doctrina y jurisprudencia española y europea en general, comienza a homologar su nominación.

 

Gozani [16], citando a Slavin niega la naturaleza jurídica del Hábeas Data como derecho fundamental stricto sensu, pues sostiene que “nos hallamos frente a un instrumento procesal destinado a garantizar la defensa de la libertad personal en la era informática”, y por ello, debe considerarse más como un “proceso constitucional específico de protección de la persona agredida o amenazada por los bancos de datos que aprovechan la información personal que le concierne“.

 

La tendencia doctrinal que hunde sus raíces en la naturaleza procesal de la acción, lo hace como lo comenta Livellara, a opinar “que no se trataría de una modalidad del amparo, sino una vía con carriles propios; de carácter autónomo y que no recibe los presupuestos y condiciones del amparo tradicional[17].

 

La constitucionalización y la legislación específica actual del Hábeas Data ha trascendido las fronteras, al punto que hoy, el derecho Argentino ha homologado su normatividad con la de los países europeos en lo atinente a leyes protectoras de datos personales y los derechos fundamentales y legales garantizados por éstas, tal como lo viene exigiendo la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, para todos los Estados que convengan en tratar o comunicar (ceder, transferir o circular datos) y así garantizar niveles adecuados técnica y jurídicamente para dicha comunicación entre Estados.

 

En efecto, mediante documento comunitario, suscrito en Bruselas el 30 de Junio de 2003, Decisión 2003/490/CE, reconoce a la Argentina como Estado que garantiza los niveles adecuados de comunicación de datos con los Estados integrantes de la Comunidad Europea. Este reconocimiento internacional hace de la Argentina uno de los primeros países latinoamericanos que entra en el ámbito de los países que generan confiabilidad, seguridad y cooperación en su legislación sobre el Hábeas Data y por ende, mayor desarrollo tecnológico, social, científico, político y económico en la era del ciberderecho.

 

 

___________________

 

(16) GOZANI, Osvaldo Alfredo. El proceso de Hábeas Data en la nueva ley. Vía Internet.

(17) LIVELLARA, Silvina., Ob. Ut supra cit. Vía Internet.

 

  1. CONSTITUCION DE LA REPUBLICA DE BOLIVIA

 

2.1.      El Recurso de Hábeas Data

 

En la Constitución de la República de Bolivia de 1995, se regula el “Recurso de Hábeas Data” en el artículo 23, el cual a su vez, fue modificado por la Ley Nº 2410 de 2002, de 8 de Agosto.

 

La mencionada norma sostiene:

 

I. Toda persona que creyere estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético, informático en archivos o bancos de datos públicos o privados que afecten su derecho fundamental a la intimidad y privacidad personal y familiar, a su imagen, honra y reputación reconocidos en esta Constitución, podrá interponer el recurso de Habeas Data ante la Corte Superior del Distrito o ante cualquier Juez de Partido a elección suya.

  1. Si el tribunal o juez competente declara procedente el recurso, ordenará la revelación, eliminación o rectificación de los datos personales cuyo registro fue impugnado.

III. La decisión que se pronuncie se elevará en revisión, de oficio ante el Tribunal Constitucional, en el plazo de veinticuatro horas, sin que por ello se suspenda la ejecución del fallo.

  1. El recurso de Habeas Data no procederá para levantar el secreto en materia de prensa.
  2. El recurso de Habeas Data se tramitará conforme al procedimiento establecido para el Recurso de Amparo Constitucional previsto en el Artículo 19º de esta Constitución”

 

En el ámbito jurídico boliviano se reconoce expresamente el “Recurso de Hábeas Data”, solo a partir de la reforma constitucional de 2002, con unas características, objetivos, fines, competencia y jurisdicción especiales y con un procedimiento breve y sumario seguido para el recurso de amparo constitucional.

 

El derecho boliviano siguiendo parámetros y pautas iberoamericanas sobre el recurso de Hábeas data estilo argentino, el recurso de amparo tipo español, la acción de tutela al estilo colombiano, edifica constitucionalmente su propio recurso de hábeas data con un ámbito limitado de protección y defensa de derechos fundamentales, los cuales los enuncia taxativamente así: “la intimidad y privacidad personal y familiar, a su imagen, honra y reputación reconocidos en esta Constitución”; sin embargo, es amplia la legitimación por activa para incoar dicho recurso ante la “Corte Superior del Distrito” o  ante cualquier “Juez de partido”, a elección de “Toda persona que creyere estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos…”

 

A diferencia del recurso de Hábeas Data Argentino que además de reconocer constitucionalmente el derecho de acceso y conocimiento de los datos o informaciones de la persona humana o de sus bienes y el derecho de solicitar la supresión, rectificación, confidencialidad o actualización de los mismos, siempre que se presente una “falsedad o discriminación” por quienes manejen, almacenen, administren, registren o utilicen “registros o bancos de datos públicos o privados destinados a proveer informes”,  el recurso de Hábeas boliviano amplia el marco de posibilidades para ejercer las facultades del derecho de Hábeas Data, no solo para el acceso y conocimiento de la información, sino para la eliminación, rectificación y actualización de los datos personales. En efecto, éste recurso constitucional se justifica ejercerlo por toda persona cuando “creyere estar indebida o ilegalmente impedida” para ejercer las facultades o derechos constitutivos del  Hábeas data: acceso, rectificación, eliminación y actualización de la información de la persona concernida.

 

Si bien este compás más amplio de legitimación del recurso pudiera parecer un tanto ambiguo, por lo menos en el término “indebido“, ya este tiene diferentes significados, pues se entiende indebido aquello que “no es obligatorio ni exigible”, también lo que es “ilícito, injusto o falto de equidad”, según el diccionario. Esto traería problemas de interpretación y aplicación de la norma constitucional en forma directa por parte de los jueces de la República Boliviana, así como de la jurisdicción constitucional en el obligado recurso de revisión que tiene que realizar en todos los casos en los que el conflicto jurídico sea la vulneración o quebrantamiento del Hábeas Data. Quizá el término pueda “cerrárselo”, sin violar la constitución, por parte del legislador boliviano cuando desarrolle y reglamente legislativamente el artículo 23, constitucional. Entiéndase “cerrar” a los efectos de una mejor interpretación jurídica unívoca del término “indebido” con parámetros conceptuales que precisen  que sería lo indebido para los destinatarios de la norma y como esos conceptos relacionados en eventualidades concretas puede vulnerar, quebrantar o violar el Hábeas Data. Esa labor interpretación de la norma constitucional  no sólo debe dejarse a la jurisprudencia del Tribunal Constitucional, cuando revisa los recursos de hábeas data avocados, tramitados y decididos por los “jueces de partido”, sino que la debe hacer el legislador que es el “intérprete auténtico” y primario de la Constitución.

 

El recurso constitucional de Hábeas Data en Bolivia, respecto de la determinación del objeto de protección y garantía, hace una descripción amplia de los medios electrónicos (“magnéticos”, “archivos o bancos de datos”) o manuales y mecánicos (“físicos”, “información en archivos”), por los cuales se puede atentar, amenazar o desconocer las facultades o derechos del titular o concernido de los datos personales. La relación pormenorizada de los medios por los que se puede vulnerar el Hábeas Data, si bien parece exagerado para el texto constitucional, no así el texto normativo que se dicte en virtud de aquél, no debe soslayarse, pues algunos textos constitucionales que regulan el Hábeas Data creen sólo suficiente con mencionar a los medios electrónicos, telemáticos o informáticos para identificar los objetos con los cuales se puede vulnerar el Hábeas Data y se echan de menos los medios mecánicos, manuales, escriturarios o tradicionales por los que se ha creado, almacenado, registrado o actualizado información de las personas o de sus bienes, los cuales siguen ocupando un amplio sector de la información tanto pública como privada en cualquier Estado del mundo.

 

Los archivos de información escriturarios son tan antiguos como la historia misma del ser humano. En cambio, los archivos de información electrónica, son relativamente nuevos, pues sólo éstos sobrevinieron con la entrada en escena de los computadores, faxes, equipos de transmisión de datos o bits de información, etc., es decir, con el llamado “poder informático“: la informática, la telegestión y la teletransmisión de datos, en manos públicas y privadas [18]. Bien es cierto, que el Hábeas Data nace en la mayoría de países europeos, americanos, asiáticos y australianos como una manifestación del “poder informático“, no deberá desconocerse que la información como un bien jurídico tutelado en todas las constituciones mundiales no sólo se recolecta, almacena, registra y actualiza en archivos, registros o bancos de datos electrónicos, sino desde tiempos inmemoriales en medios escriturarios, mecánicos o manuales. Con una u otra forma de recolección o almacenamiento de información personal o datos se puede vulnerar el Hábeas Data, si se realiza contrariando el ordenamiento jurídico vigente [19].

 

La norma constitucional que instituye el recurso de Hábeas Data Boliviano, resulta igualmente parecida a una norma legislativa con ese fin, cuando relaciona la jurisdicción y competencia del “recurso”, así como en trámite procedimental de iniciación, terminación y revisión oficiosa del mismo. En efecto, estos aspectos que deberían ser objeto de la norma legislativa reglamentaria del recurso, la Constitución Boliviana lo reglamenta pormenorizadamente, creemos para que el legislador sigas estos parámetros constitucionales sin tratar de deformar o vaciar de contenido la norma. Esta serie de prevenciones constitucionales es casi una regla en el constitucionalismo latinoamericano y

____________

 

(18)       RIASCOS GOMEZ, Libardo O. La Constitución de 1991 y la Informática jurídica. Ed. UNED, Universidad de Nariño, Pasto, 1997, p. 10 y ss.

(19)      Ob., ut supra cit.

 

por eso nuestras constituciones antes que otra cosa, parecen verdaderos códigos reglamentarios de la vida institucional, política, jurídica, económica y social de los Estados.

Si bien, el artículo 23 de la  Constitución Boliviana, en el inciso V, aclara que el recurso de Hábeas Data se tramitará conforme al procedimiento establecido para el recurso de Amparo constitucional, en los incisos I a III, se establecen reglas y parámetros constitucionales específicos para el recurso de Hábeas Data. Así, se dice que el Tribunal o Juez competente, que lo será la “Corte Superior de Distrito” o cualquier “Juez de Partido” a libre escogencia de la persona concernida o titular de los datos personales a quien se le impide ejercer las facultades de acceso, conocimiento, rectificación, eliminación o actualización de datos, si “declara procedente el recurso, ordenará la revelación, eliminación o rectificación de los datos personales cuyo registro fue impugnado“.

 

Por su parte, el Tribunal Constitucional Boliviano conocerá de “oficio” las decisiones en las que se pronuncien los Jueces de partido o la Corte Superior de Distrito sobre el Hábeas Data, en el plazo improrrogable y limitado de “veinticuatro horas”. La revisión del Tribunal sin constituirse en una segunda instancia de éste recurso, tiene la virtualidad de no suspender los efectos jurídicos y materiales del “fallo” producido por los jueces y/o la Corte Superior de Distrito, vale decir, que el fallo se cumple o ejecuta pese a la revisión del Tribunal Constitucional.

 

El recurso de Hábeas data boliviano tiene identidad propia y se puede considerar como un recurso autónomo y una garantía constitucional para proteger y defender los datos o informaciones de una persona o ciertos derechos fundamentales (Intimidad, imagen, honra y reputación). Sin embargo, en cuanto al trámite procedimental, salvo las pautas constitucionales previstas en el artículo 23 y a las que nos hemos referido ut supra, se rige por el trámite previsto para el recurso de amparo constitucional previsto en el artículo 19 de la Constitución, con lo cual el recurso de Hábeas Data, procedimentalmente se convierte en una especie de recurso de amparo constitucional. En tal virtud, su naturaleza jurídica es mixta, pues en lo sustantivo el recurso de Habeas Data es un derecho y garantía fundamental autónoma y desde el ámbito adjetivo es un instrumento procesal de defensa de derechos constitucionales al estilo de un “amparo informativo” del derecho constitucional argentino.

 

Finalmente, el inciso V del artículo 23, sostiene que “el recurso de Hábeas Data no procederá para levantar el secreto en materia de prensa“. Creemos que esta excepción a la procedencia del Hábeas Data en Bolivia quedó expresamente normada en atención a la alta sensibilidad  y vulnerabilidad que despertaba en aquél país el derecho a la información y opinión públicas y la libertad de expresión o de prensa, y en particular a la libertad periodística, no solo por la poco estabilidad de los regímenes democráticos y políticos sino por los casi insolutas dificultades sociales, económicos y legislativos en los que vive el país.

 

El profesional de las comunicaciones boliviano Camacho Azurdy [20], al comentar el complejo proceso social, político, jurídico y legislativo referido a la “discusión del derecho de acceso a la información” pública y privada en su país, hace un análisis de los instrumentos constitucionales, legislativos e internacionales sobre el derecho de la información consagrado en la Constitución Boliviana desde 1967, así mismo analiza los mecanismos sociales y jurídicos nacionales e internacionales implementados por su país contra los diferentes y sofisticados medios de corrupción empleados en el sector público (“soborno, malversación o peculado, tráfico de influencias, abuso de funciones o del cargo, enriquecimiento ilícito, blanqueo del producto del delito, encubrimiento, obstrucción de la justicia”) y privado.

 

Relata el autor citado, como solo hasta finales de Abril de 2002, el proyecto de la primera ley anticorrupción que tuvo pleno consenso entre los partidos oficialismo y la oposición, “La Ley de Transparencia de la Administración Pública” –más conocida como Ley de Transparencia o de acceso a la información pública— fue sancionada el 4 de septiembre de ese año y “cuatro días después, este proyecto fue vetado por el entonces Presidente de la República, Gonzalo Sánchez de Lozada por fallas procedimentales…“. Así Bolivia se volvió a quedar sin una normatividad específica que salvaguardara derechos y libertades constitucionales de sus habitantes.

 

Como sostuviera en 1997, el profesor universitario Benjamín Miguel H., en el ámbito del Seminario Internacional sobre el Hábeas Data realizado en la Universidad chilena de Talca[21],  su país para la fecha no tenía mayores informaciones sobre el Hábeas Data y por ello en la reforma constitucional de 1994, nada quedó plasmado en la Constitución sobre el tema, pero sí algunos derechos y libertades constitucionales correlativos a éste como el derecho de amparo, el Habeas Corpus, la libertad de conciencia, la intimidad y la prohibición a la interceptación de las comunicaciones. Por si fuera poco, aún conociendo del tema, tampoco lo hubieran podido incorporar en forma expedita a la Constitución por que en Bolivia los procesos de reforma constitucional son “muy estrictos”, pues en “una

________________

 

(20)       CAMACHO AZURDUY, Carlos A. El proceso de discusión del derecho de acceso a la información en Bolivia. Vía Internet.

(21)      H., Benjamín Miguel. Acción de amparo relacionada con la protección de datos personales en el orden jurídico boliviano. Revista Ius et Praxis, Año 3, Número 1º, Facultad de Ciencias jurídicos y sociales, Universidad de Talca, Talca (Chile), p. 161 a 164

legislatura hay que declarar la necesidad de la reforma, transcribiendo textualmente el proyecto; luego hay que esperar la renovación de éste Poder del Estado, para luego por 2/3 entrar a discutir la reforma. Pero en esta segunda fase solo puede aprobarse o rechazarse el proyecto  primitivo. Esto ha permitido que las constituciones no se reformen a medida de los gobiernos, los cuales son siempre transitorios[22].

 

En la Reunión la “Sociedad Interamericana de Prensa (SIP) en el año de 2002, el pleno evidenció que “no se halla plenamente garantizado el derecho de acceso a la información pública en ningún país de América Latina, a pesar de estar contemplado en la mayoría de las Constituciones como una garantía constitucional…” Por su parte y en aquella época, en Bolivia, se presenta y discute “el anteproyecto de Ley de Necesidad de reforma constitucional elaborado por el Consejo ciudadano para la reforma de  Carta Magna que se debatió en el Congreso Nacional, se considera que el recurso de Hábeas Data viola la libertad de prensa y el derecho del secreto de imprenta porque obliga a los periodistas a dar a conocer la fuente de una información que puede ser considerada como violatoria de los derechos y garantías indicadas en la CPE…El 31 de Julio de 2002, el Congreso aprobó la esperada y polémica Ley de Necesidad de Reformas de la Constitución, en la que lamentablemente no se contempla el derecho de acceso a la información pública… En esta dirección, la Carta Magna pone en vigencia, por primera vez en la historia del país, el recurso jurídico de Hábeas Data que, según ésta, deberá ser tratada por las cortes de justicia conforme y bajo la misma modalidad del Hábeas corpus y el amparo constitucional…[23].

 

En el 2003, en la ciudad boliviana de Santa Cruz de la Sierra en la XIII Cumbre Iberoamericana de los Jefes de Estado y de Gobierno, se suscribió una Declaración que lleva el nombre de la ciudad, en la cual se reafirmó la voluntad de todos los países asistentes para “combatir la corrupción en los sectores públicos y privados y la impunidad, que constituyen una de las mayores amenazas a la gobernabilidad democrática“; además agregaban, “que, conforme con los respectivos ordenamientos jurídicos, el acceso a la información en poder del Estado promueve transparencia y constituye un elemento esencial para la lucha contra la corrupción y es condición indispensable para la participación ciudadana y el pleno goce de los derechos humanos“.

 

En la Declaración de Santa Cruz de la Sierra, concordantemente con lo anterior, en el “punto 45 se hace referencia a la protección de los datos personales como un derecho

___________________

 

(22)      Ob., ut supra cit.

(23)       CAMACHO AZURDUY, Carlos A. El proceso de…  Ob., Ut supra cit.

 

fundamental y se destaca la iniciativa de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los ciudadanos contenida en la Declaración de La Antigua, por la que se crea la Red Iberoamericana de Protección de Datos…” [24]

 

  1. CONSTITUCION DEL ESTADO FEDERATIVO DEL BRASIL

 

3.1.      La Acción de Hábeas Data

El Estado Federal del Brasil en la Constitución de 1988, en el artículo 5, incisos primero, tercero, cuarto (LXXII) y quinto (LXXVII), regula la “garantía” constitucional del “habeas Data”, en los siguientes términos: “Todos son iguales ante la ley, sin distinción de cualquier naturaleza. Se garantiza a los brasileños y a los extranjeros residentes en el país a la inviolabilidad del derecho a la vida, a la libertad, a la igualdad, a la seguridad y a la propiedad, en los términos siguientes:

XXXIII. Todos tendrán derecho a recibir de los órganos públicos informaciones de interés particular, o de interés colectivo o general, que serán entregadas en los  términos que establezca la ley, bajo pena de responsabilidad, excepto aquellas cuyo secreto fuere imprescindible para la seguridad de la sociedad y del Estado  […].

LXXII. Se concederá hábeas data: a) para asegurar el conocimiento de informaciones relativas a la persona del impetrante, que consten en registros o bancos de datos de entidades gubernamentales o de carácter público;  b) para rectificar datos, cuando no se prefiriera hacerlo por procedimiento secreto, judicial o administrativo. 

LXXVII: Son gratuitas las acciones de hábeas corpus y hábeas data en la medida que la ley disponga los actos necesarios para el ejercicio de la ciudadanía. 1. Serán de aplicación inmediata las normas definidoras de los derechos y garantías fundamentales. 2. Los derechos y garantías indicados en esta Constitución no excluyen otras que deriven del régimen y principios adoptados por ella o de los tratados internacionales en que la República Federativa de Brasil sea parte[25].

_________________

(24)       CAMACHO A., Carlos A. El proceso de…  Ob., ut supra cit.

(25 )     El Texto original del artículo sostiene: “Art. 5 Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e a propriedade, nos termos seguintes:

LXIX – conceder-se-á mandado de segurança para proteger direito líquido e certo, não amparado por habeas-corpus ou habeas-data, quando o responsável pela ilegalidade ou abuso de poder for autoridade pública ou agente de pessoa jurídica no exercício de atribuições do poder público;

LXXII – conceder-se-á habeas-data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;

LXXVII -são gratuitas as ações de habeas-corpus e habeas-data, e, na forma da lei, os atos necessários ao exercício da cidadania.

El Hábeas Data en la Constitución Brasileña tiene rango de derecho y garantía constitucional, junto a otras instituciones jurídicas que protegen y defienden derechos y libertades constitucionales de las personas desde hace más de un siglo atrás, como es el Hábeas Corpus. Esa equivalencia de rango denota la importancia capital que los constituyentes brasileños le dieron a la Institución que protege el acceso a la información que le concierne a las personas o a sus bienes, como la autonomía personal de los datos personales, sea cual fuere la fuente de producción: mecánica o manual y/o automatizada o informatizada, pues la norma no hace distinción alguna.

 

Aunque la redacción del texto constitucional pudiera parecer exagerada en la concesión de derechos a la información pública  de interés particular, general o colectivo a  “todos” los brasileños, De Abreu Dallari [26], manifiesta que dicha atribución es explicable por que el Brasil estaba “saliendo de una dictadura, en que todo era secreto”. Sin embargo, la parte in fine del inciso 33 del artículo 5º, establece una excepción a esa información al decir: “excepto aquellas cuyo secreto fuere imprescindible para la seguridad de la sociedad y del Estado”.  El autor citado, aclara que ahora “en el Hábeas Data es una regla general el derecho de obtener informaciones, ya sea de carácter personal o de interés general, pero exceptuada la hipótesis del sigilo necesario para la seguridad“.

 

En el inciso 72 del artículo 5, la Constitución Brasileña se pronuncia expresamente sobre el Hábeas Data, y manifiesta los objetivos y facultades que de esta acción constitucional se derivan. En primer término, se sostiene que el Hábeas data se concede para asegurar el conocimiento de las informaciones relativas a la persona concernida, ya sean recabados en registros o bancos de datos de entidades gubernamentales o de carácter público. Aunque parecería que se excluyen las informaciones o datos personales de carácter privado, creemos que al mencionar la información recabada en bases de datos de entidades gubernamentales o de carácter público se hallan subsumidas las informaciones particulares que hacen parte de esos bancos o registros públicos, pues de lo contrario no se entendería que el Hábeas data como derecho del concernido o titular de los datos, solicite conocer una información pública o privada que no sea la suya.

 

Concordantemente con lo expuesto, la doctrina brasilera reconoce el entendido a la información de carácter privado, cuando en términos de Pinto Ferreira [27], sostiene: “el Hábeas data es otro remedio que busca asegurar el acceso a la información sobre la pro-

________________

 

(26)       Citado por PUCCINELLI, Oscar. El Hábeas Data en el Brasil.  En: www.astrea.com

(27)       PINTO FERREIRA, Luiz. Os instrumentos processuals protetores dos dereitos no Brasil. En la obra colectiva: Jurisdicción constitucional en Iberoamérica. Citado en Ob., ut supra cit.

pia persona, evitando daños morales que violan valores sagrados para los ciudadanos probos con informaciones incorrectas por parte de los bancos de datos, que hoy se constituyen como formidables fuentes de información, sean gubernamentales o de carácter privado…Hay dos acciones de Hábeas data, el Hábeas data preventivo, en el sentido que previene, acautela y evita (que es el previsto en el numeral 1º del Inciso 72 del artículo 5, comentado). El otro es el Hábeas data correctivo, y tiene por finalidad la rectificación de informaciones incorrectas o falsas (que corresponde al numeral 2º del inciso 72, del artículo 5, al que no referimos ut infra) –Paréntesis nuestros–.

 

En segundo término, el concernido con la información pública o privada, una vez la conoce  y observa que ésta puede ser inexacta, falsa, incompleta o no conforme al ordenamiento jurídico vigente, según el numeral 2º del inciso 72, podrá solicitar la rectificación de los datos o informaciones que le conciernen. Rectificación que lleva implícita las facultades por parte del concernido de solicitar su corrección, modificación, actualización, eliminación, supresión y hasta bloqueo de la información falsa, inexacta o incorrecta. Estas facultades expresas e implícitas serán ejercidas por la persona titular de los datos “cuando no se prefiriera hacerlo por procedimiento secreto, judicial o administrativo”. Estas excepciones al Hábeas Data correctivo  —tal como lo denomina la doctrina brasilera: Othon Sidou, Lopez Meilles y el propio Pinto Ferreira–, pudieran parecer que el Hábeas data jurisdiccional, si se nos permite el término, sólo sobrevendría cuando se han agotado los remedios, recursos o instrumentos de carácter administrativo (derecho de petición, recursos administrativos ordinarios o extraordinarios, tal como existe en Colombia y se encuentran reglados en el C.C.A.), que bien podríamos llamarlo Hábeas Data administrativo, por provocarse, desarrollarse y terminarse en una “vía administrativa”, mal llamada “gubernativa”.

 

Sin embargo, la norma constitucional brasilera al respecto es interpretada en sentido más restringido al que planteamos, pues sólo se justifica el Hábeas data correctivo, “si es necesario y debidamente comprobada la necesidad, sean las mismas (se refiere a las informaciones conocidas) rectificadas, salvo que el impetrante ya tuviese conocimiento de los datos y registros, cuando será posible la utilización de ese remedio constitucional, solamente para corregirlas o actualizarlas[28]

 

Pese a lo sostenido, Puccinelli [29]   citando  al Constitucionalista Brasileño Da Silva, a quien se le atribuye la paternidad del Hábeas Data, manifiesta, sobre las normas transcritas

 

__________________

 

(28)       PUCCINELLI, Oscar. El Hábeas Data en el Brasil.  En: www.astrea.com

(29)      Ob., ut supra cit.

de la Constitución Brasileña de 1988no traza un dispositivo autónomo que contemple el derecho de conocer y de rectificar datos personales. Por el contrario, utilizó el mismo proceso que en las Constituciones anteriores, cuando se reconocía la Libertad de locomoción: por medio de la previsión de su garantía. El derecho de conocimiento de datos personales y de rectificarlos es otorgado en el mismo dispositivo que instituye el remedio de tutela“. Lo cual significa que en la misma norma constitucional se instituye el derecho constitucional y el mecanismo jurídico para garantizar o protegerlo.

 

Algunas de las características más relevantes de la acción de Hábeas Data brasileña se encuentran previstas en el inciso 77 del artículo 5º , de la siguiente forma: (i) La Acción es gratuita en la medida que la ley disponga los mecanismos idóneos y necesario para que sea ejercida por todos los ciudadanos, pues si todas las personas tienen derecho a recibir informaciones de interés particular, o de interés colectivo, según lo previene el inciso 33 del mentado artículo, con mayor razón, si esa información les concierne y contiene datos inexactos, falsos o incorrectos, aquél por medio de Hábeas Data correctivo ejercido en forma gratuita podrá solicitar la tutela efectiva de sus derechos al Estado, sin mayores trabas ni costas y con las solas excepciones de que la información sea constitutiva de secreto imprescindible para la seguridad de la sociedad y el Estado; (ii) La acción de Hábeas data preventiva o correctiva es de aplicación inmediata, porque constituye una garantía constitucional que sirve para proteger y garantizar otros derechos y libertades públicas, además de la propia información del concernido; (iii) La acción de Hábeas Data como remedio constitucional, no excluye otros previstos en la Constitución que pudieran ser más idóneos, expeditos y oportunos según la naturaleza y contenido de los derechos encaminados a tutelar, bien sean de ámbito nacional, federal o internacional y en éste último caso, siempre que el Brasil haya suscrito un Convenio o Tratado público en el que sea parte o miembro bilateral o multilateral.

 

Pero además de establecer los lineamientos esenciales del Hábeas Data en el artículo 5 ut supra transcrito, la Constitución Brasileña establece con precisión los lineamientos de jurisdicción y competencia de las autoridades jurisdiccionales que deberán procesar y juzgar los actos y eventualidades de los determinados funcionarios del Estado que vulneren o transgredan el Hábeas Data.

 

En efecto, en el artículo 102 de la Constitución Brasileña, señala la Competencia del Tribunal Supremo Federal, para conocer entre otras garantías constitucionales, como el Hábeas Corpus y el “Mandado de Segurança“, el Hábeas Data pero contra actos del Presidente de la República, de las Mesas de la Cámara de Diputados y del Senado Federal, del Tribunal de Cuentas de la Unión, del Procurador General de la República y de los miembros del propio Tribunal Supremo. Así mismo, el Tribunal Federal, juzgará en “recurso ordinario”, el Hábeas Data decidido  en única instancia por los Tribunales Superiores, sí la decisión fuere denegatoria.

 

De otra parte, el Tribunal Superior de justicia, procesa y juzga ordinariamente, el Hábeas Data contra los actos de los Ministros de Estado o de los miembros del propio Tribunal (artículo 105 Ibid). Los Tribunales Regionales Federales, procesarán y juzgarán, el Hábeas Data contra los actos del propio Tribunal y los jueces federales (artículo 108 Ibid). A los jueces federales compete procesar y juzgar, el Hábeas Data contra los actos de una autoridad federal, excepto los casos de competencia de los Tribunales federales (artículo 109 Ibid).

 

La Constitución Brasileña de 1988, incorporó en su texto el derecho y garantía constitucional de Hábeas Data, el cual inicialmente sólo se atribuía al derecho que tenía toda persona para acceder a la información que le concernía al considerarse “una modalidad de acción exhibitoria análoga a la del habeas corpus[30]. Sin embargo, con el paso del tiempo, la estructuración y ampliación del contenido de aquél derecho ha extendido estas facultades primeras a otras más, tales como  los de actualización (o la puesta al día –el “up date” anglosajón– de los datos), la rectificación y la cancelación de los datos personales que le conciernen a una persona, sí los datos fueren inexactos, incompletos o ilegales.

 

El ciudadano brasileño, con base en el texto constitucional, puede válidamente tener derecho no sólo al simple acceso a la información o datos personales que le concierne, cualquiera sea el soporte en el que se encuentre (documento escrito, fílmico, audio-visual, de sonido, o la mezcla de los anteriores: documento electrónico y/o informático o telemático), sea público o privado; sino –y es lo más importante– a poder solicitar su revisión, actualización, rectificación, bloqueo o cancelación de la información si estos datos no se ajustarán a los suministrados personalmente o hayan sido recolectados oficiosamente por el Estado, con autorización expresa y escrita del titular. En efecto, el derecho de habeas data, según la Constitución Brasileña, es complejo, porque abarca las  diferentes etapas de procesamiento de la información o datos personales que van desde la recolección y acceso hasta la rectificación, actualización y cancelación de la misma.

 

____________________

 

(30)      Así lo confirman los profesores González Navarro y González Pérez, siguiendo a Heredero Higueras, En: Comentarios a la Ley de régimen jurídico de las administraciones públicas y procedimiento administrativo común. Ed. Civitas, 1ª ed., Madrid, 1997, p.711.

Esta ampliación, extensión e integralidad del derecho de Hábeas Data Brasileño sobrevino legislativamente casi después de diez años después de la Constitución de 1988, no sin resistencia por parte del Congreso para expedir la Ley 9507 del 12 de noviembre de 1997 que reguló el “derecho de acceso a informaciones” y el “rito procesal del hábeas data“, pues como lo reconoce Puccinelli y De breu Dallari [31] y adicionado a lo anterior, “el hecho de que una excesiva facilidad de obtención de informaciones  conllevaría la progresiva quiebra de todos los secretos (entre ellos, v.gr., el bancario, lo cual obviamente no le agrada a los grupos empresariales)”.

 

 

  1. CONSTITUCION DE LA REPUBLICA DE COLOMBIA

 

4.1.      La acción de tutela específica o Hábeas Data

 

4.1.1.   Las normas constitucionales que estructuran el Hábeas Data

 

 

En la Constitución de la República de Colombia de 1991, en el inciso 1º  y 2º  del artículo 15, se regula el derecho fundamental y garantía constitucional del habeas data, sin estar expresamente el nomen iuris de Hábeas Data, tal como  sucede con otras Constitucionales latinoamericanas, y en especial con la Constitución del Estado de Honduras y del Perú, en las cuales expresamente  se regula la acción de “Hábeas data“. Sin embargo, que aparezca o no el inri de Hábeas Data en la Constitución es hasta cierto punto intrascendente, si del contenido se infiere inequívocamente que se está refiriendo a aquélla institución jurídica constitucional, que algunos han dado en llamar recurso o acción de amparo, garantía constitucional de otros derechos constitucionales, o como podría denominarse en Colombia, acción de tutela específica informativa o Hábeas Data.

 

En nuestra Constitución se regula el derecho de Hábeas Data, como un  derecho fundamental autónomo, pese a estar inmerso en la redacción normativa del derecho a la intimidad personal y familiar del artículo 15 en concordancia con los artículos 20 y 74 relativos al derecho de la información y al derecho de acceso a la información pública, respectivamente.

 

 

___________________

 

 

(31)     DE ABREU DALLARI, Dalmo. Disertación pronunciada en el Seminario Iberoamericano sobre la Acción de “Hábeas Data”. Citado por Puccineli en la Obra ut supra cit.

 

 

En efecto, y como profundizaremos ut infra en este ensayo jurídico, el Constituyente colombiano de 1990, incurrió en una falta de técnica legislativa de coherencia temática, cuando menos en la institucionalización del derecho de Hábeas Data. A pesar de ésta la calificación de derecho autónomo atribuida al Hábeas Data no sufre desmedro, pues como se ha reconocido universalmente de la redacción de un texto constitucional bien pueden surgir dos o mas derechos, si el operador o interprete jurídico sabe escindir los elementos integrantes de uno o más derechos inmersos en una norma constitucional, o integrar un derecho con dos o más normas de tipo constitucional. Precisamente las dos técnicas se presentan al estructurar el derecho de Hábeas Data en Colombia. Veamos las razones jurídicas:

 

El artículo 15 constitucional sostiene: “Todas las personas tiene derecho a su intimidad personal y familiar y a su buen nombre… De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”.

 

Agrega el inciso segundo, “En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución“.

 

El artículo 20, a su turno reza: “Se garantiza a toda persona la libertad… (de) informar y recibir información veraz e imparcial…

 

Por su parte el artículo 74, sostiene: “Todas las personas tienen derecho a acceder a los documentos públicos…

 

En tal virtud en Colombia, se ha constitucionalizado  el derecho fundamental de habeas data en forma tal, que surge de la integración normativa, aunque hay quienes ven su configuración plena como derecho  en los incisos 1º y 2º del artículo 15.

 

Para que surja  el derecho de toda persona a conocer, actualizar y rectificar una información, sea cual fuere el medio (mecánico o electrónico) por el cual se recolecte, almacena, registre o comunique, debe primero existir como tal la información o datos de esa persona, no solo como concepto abstracto sino como un hecho, acto, circunstancia o evento real. Por ello, la existencia previa de la información para el ejercicio de las facultades subsecuentes, es apenas obvio.

 

En la Constitución Colombiana, como en las normas, tratados y Convenios Internacionales, la información se ha elevado a rango constitucional y universal [32], respectivamente, al considerarse un bien jurídico susceptible, vulnerable y de alta sensibilidad, tanto para el titular de la misma, para quien la usa, utiliza o procesa por medios manuales o informáticos, como para el Estado que debe garantizarla dentro de mínimos parámetros de dignidad, libertad, oportunidad, viabilidad, confiabilidad, veracidad y completud. El artículo 20, constitucional garantiza como derecho de toda persona “La libertad… de informar y recibir información veraz e imparcial…“. En tal virtud, el derecho a la información va íntimamente ligado al derecho de habeas data, sin perder uno y otro su autonomía y estructuración jurídico-constitucional propia. Por ello, no podría edificarse una teoría del hábeas data sin teorizar sobre la información referida a los datos de la persona humana o de sus bienes, como tampoco podría conceptualizarse sobre las fases del procesamiento de datos personales públicos o privados (información genéricamente hablando), sin que nos refiramos a la información como insumo necesario, infaltable e inevitable del complejo derecho o garantía constitucional del hábeas data. La existencia de uno y otro es recíproca, pero aún no dejan de ser autónomos.

 

Ahora bien, la Constitución de 1991 siguiendo la vieja nominación de origen francés de distinguir entre derechos y libertades, llama al derecho a la información como libertad de información, la cual la tiene toda habitante residente o transeúnte, nacional o extranjero, niño o viejo, hombre o mujer por el hecho de ser persona física o natural y por extensión conceptual también a las personas jurídicas o morales. Este derecho a la información en un plano reduccionista abarca las facultades de recibir o transmitir información que sea veraz e imparcial, lo cual supone entregar toda clase de información sobre sí mismo o sobre su patrimonio, salvo la que atente contra el derecho de los demás, se abuse de los propios o se vulnere los derechos de la intimidad, el honor, el buen nombre, la imagen, el libre desarrollo de la personalidad, entre otros.

 

Si la información de una persona es relevante, clara, inteligible, completa, oportuna y confiable tanto para ella misma como para terceros (personas físicas o entidades públicas

_____________________

 

(32)       Igualmente para interpretar el ámbito, alcance  y  limitaciones  del  derecho  de acceso a la información se deberá estudiar las vertientes que tiene el derecho a la información (artículo 20) como derecho  fundamental  de toda persona en los términos que la legislación universal lo ha instituido  (Art. 19 de la Declaración universal de Derechos Humanos de 1948). De igual forma en la “Convención Americana de Derechos Humanos” de San José de Costa Rica y el “Pacto Internacional de Derechos Civiles  y Políticos” o Pacto de New York, pues uno y otro han sido reconocidos y ratificados por el derecho interno colombiano, como leyes 16 de 1972 y Ley 74 de 1968, respectivamente. Vid. RIASCOS GOMEZ, Libardo O. La Constitución de 1991 y la Informática Jurídica. Ed. UNED-Universidad de Nariño, Pasto, 1997, p. 7

 

o privadas) y produce efectos jurídicos, conforma primariamente un dato personal objeto de entregarse con su consentimiento para que haga parte de un archivo manual o mecánico o un banco (base, banco, fichero o registro) de datos electrónico, telemático o informático [33].

 

El acceso a la información, no sólo pública sino de carácter privado deviene de las facultades de entregar y recibir información previstas en el artículo 20 y 74, constitucionales, aunque nuestra Constitución privilegia la facultad de acceso a la información pública (que sólo la hace recaer en “documentos”) por las múltiples implicaciones que tiene y salvo la que se considera reservada según la ley, eso no significa en manera alguna que no se pueda acceder a la información que le concierne a la persona misma sí ésta es de carácter privado, pues bien en éste punto se podría traer el aforismo latino, por el cual quien puede lo más puede lo menos: sí se puede acceder a la información pública con algunas excepciones legales, podrá accederse con mayor razón a la información privada.

 

El legislador colombiano desde la aún vigente Ley 4 de 1913, Código de Régimen Político y Municipal y más recientemente con las Leyes 57 de 1985, conocido como el Estatuto de la información pública; la 79 de 1993 sobre información estadística; la 594 de 2000, Ley General de Archivos; la 716 de 2001 y 901 de 2004, sobre información contable manual y electrónica; la 692 de 2006 o “Estatuto Anti-trámites” y el Código Contencioso Administrativo, C.C.A; entre otras, se ha reglamentado y desarrollado pre y post-constitucionalmente el derecho de acceso a la información pública, previsto en el artículo 74, constitucional.

 

En relación al acceso a la información particular, se puede citar a título de ejemplo: Las Leyes 23 de 1982 y 44 de 1993 reformadas por la Ley 719 de 2001, sobre propiedad intelectual; Ley 510 de 1999, reformada por las leyes 454 de 1998 y 964 de 2005, sobre el sistema y la información financiera; la 527 de 1999, sobre acceso y uso de la información electrónica, comercio electrónico y firmas digitales; y por supuesto, el C.C.A., el cual sirve de fundamento para el acceso de la información pública como privada.

 

Una vez se ha recolectado, almacenado y registrado información pública o privada, con o sin consentimiento del titular de la misma, puede éste acceder por los diferentes medios establecidos por la entidad (pública o privada) recolectora, administradora o quien maneje la compilación de la información (manual, mecánica o electrónica). Es en este momento, donde surgen las facultades o derechos del titular del dato la información personal, para

_________________

 

(33)      Ob., ut supra cit. p. 20 y ss.

conocer el uso y las finalidades que le están dando a la información que le concierne. Conocidos éstos, podrá saber si la información recolectada y almacenada es exacta, veraz, legal, pues a tenor del inciso 2º del artículo 15 de la Constitución, “en la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”,  es decir, el pleno de derechos constitucionales, incluidos el derecho a la intimidad, el honor, la honra, la buena imagen, el libre desarrollo de la personalidad, entre otros.

 

Si bien en este aparte de la Constitución no sólo se refiere a la garantía constitucional de la fase de recolección o recogida de información o datos personales, que es la primera etapa del procedimiento de informatización (manual o electrónica), sino también a las subsiguientes etapas de “tratamiento y circulación” (mejor comunicación o “flujo” de datos) iguales de sensibles a la primera, por cuanto se deberá evaluar; entre otros aspectos, hasta dónde se extienden excepciones al consentimiento del concernido con la información, cómo puede éste manifestarse (por escrito, verbal, vía electrónica, etc.,) y cuándo no se requiere  (v.gr., en datos disociados o estadísticos que no determinen a la persona; algunos piensan que no se requiere en la información financiera o bancaria y su subespecie: la crediticia [34] ).

 

Por eso con gran razón, se sostiene que la Constitución Colombiana no sólo ha constitucionalizado las facultades o derechos inherentes al Hábeas Data: rectificación, actualización, eliminación y comunicación de los datos, sino que también lo hace del procedimiento utilizado en el tratamiento de los datos: (i) Fase inicial o Input: recolección, selección y organización específica de datos; (ii) Fase de tratamiento informatizado propiamente dicho o fase In de datos. En especial, el almacenamiento, el registro y la conservación de datos personales; (iii) Fase Output general de datos: Comunicación, “Cesión”, “transferencia” o “circulación de datos” [35].

 

Sólo tras aprehender y conocer la información o datos personales que le conciernen a una persona, ésta puede acceder a ella, conocer el uso y finalidades que le están dando los recolectores, almacenadores, registradores o administradores de la información, sean personas o entidades públicas o privadas. Si la información no es veraz, clara, inteligible,

 

___________________

 

 

(34)       VILLAVECES HOLLMAN, Juan M. Reflexiones en torno a la necesidad de un marco regulatorio sobre el Hábeas Data. Foro Universidad de los Andes, Noviembre 18 de 2003, Bogotá, p. 2.

(35)      Vid. RIASCOS GOMEZ, Libardo O. Los Datos personales informatizados en el derecho foráneo y colombiano. Universidad de Nariño, Pasto, 2000, p. 80-139.

oportuna, completa o legal, nace para el concernido las facultades archiconocidas del Hábeas Data de poder solicitar la actualización (puesta al día –el Up date anglosajón–, tanto de la información positiva o negativa), como la rectificación (que incluye la modificación, corrección, supresión, eliminación, bloqueo de la información) de “las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”, según el inciso 1º del artículo 15, constitucional.

 

En los términos “banco de datos” y “Archivos” se entiende tanto la  información electrónica, telemática o informática (“Electronic Data Interchange” o EDI, documentos electrónicos; los correos electrónicos, “E-mail“; páginas WEB o HTML, conferencias en tiempo real o “Chat romos”; Tablones electrónicos de anuncios o “Electronic Bulletin Board System“; periódicos, formularios, facturas, etc., electrónicos o informáticos [36]), como la información manual, escrita, mecánica o inmersa en el documento tradicional.

 

La información electrónica por regla general se procesa con medios computacionales [37] y de telecomunicaciones, telegestión o telemáticos. Esta información hoy por hoy se transfiere a cualquier sitio de la tierra o fuera de ella, y de ahí que es en la fase de comunicación o “circulación” de los datos donde los Estados con mayor potencial tecnológico de los medios TIC más han enfatizado tanto en las medidas de carácter preventivo, correctivo o sancionatorio contra aquellas personas o entidades públicas o privadas, nacionales o extranjeras que no observen los mínimos niveles de seguridad tecnológica o jurídica en  los flujos de transferencia de información, sea cual fuere su naturaleza o clase y mucho más si se trata de información altamente sensible y vulnerable. Los Estados Europeos, por ejemplo exigen niveles de seguridad en las comunicaciones tanto tecnológicas como jurídicas máximos. En este último aspecto requieren que el Estado que requiera flujos de transferencia de datos públicos o privados debe previamente homologar su normatividad con la existente en la Unión Europea (Directivas 95/46/CE y 97/66/CE, principalmente) y suscribir un convenio normativo.

 

Quizá por todo lo sostenido, se dice que el hábeas data, orgánicamente debería haberse

 

_____________________

 

 

(36)      Vid. RIASCOS GOMEZ, Libardo O. El derecho a la intimidad, la visión iusinformativa y el delito de los datos personales. Tesis Doctoral, Universidad de Lleida (España), Lleida, 1999, p. 336-371.

(37)      Nos referimos a la información obtenida o procesada a través de procedimientos automatizados por equipos computacionales, informáticos o telemáticos y se ha almacenado en dispositivos electromagnéticos (discos fijos, removibles, CD-ROM y RAM o DVD o Disco Digital de Vídeo), en bancos de datos de carácter público o privado.  Vid. Mi trabajo, La Constitución de 1991 y la Informática Jurídica. Ed. UNED-Universidad de Nariño, Pasto, 1997, p. 15

redactado en norma constitucional independiente dentro del título II de la Constitución, como un derecho fundamental continente y no como parte de éste, tal como sucede al hábeas data dentro de la construcción normativa del derecho a la intimidad personal y familiar del   artículo 15, constitucional. Existen en la Constitución de 1991, varios ejemplos de derecho continentes, como lo son: el debido proceso, el derecho de petición, el libre desarrollo de la personalidad, la intimidad, la honra, etc., los cuales por hermenéutica y trabajo jurisprudencial, y en no pocas veces, tarea doctrinal, desentrañan derechos contenidos dentro de estos derechos continente. Es el caso colombiano, que tras varios pronunciamientos desde 1995 hasta la actualidad han identificado y dado plena autonomía a derechos contenidos en la redacción de otros derechos continentes, como el de hábeas data dentro del derecho a la intimidad personal y familiar. La escisión de estos dos derechos autónomos, no hubiese sido necesaria si se hubiese estructurado por parte del Constituyente de 1990-1991, la norma jurídica autónoma para uno y otro derecho de igual rango constitucional, que a pesar de tener íntimas relaciones jurídicas o facultades de garantía constitucional mutuas o prevalentes, no dejan su raigambre de autonomía.

 

Sobre éste último tópico ahondamos al tratar las características del derecho de hábeas data y las facultades de éste como garantía o mecanismo constitucional para la defensa y eficacia de otros derechos constitucionales, como el derecho a la intimidad, la honra, el honor, el buen nombre, el libre desarrollo de la personalidad, la imagen, el derecho de petición y la información.

 

 

4.1.2.   Anotaciones sobre la técnica del constituyente para edificar el Hábeas Data

 

 

El Hábeas Data colombiano, se estructura constitucionalmente como hemos sostenido tras la interpretación sistemática de varias normas contenidas en la Constitución de 1991 y no simplemente con la lectura de los incisos 1º y 2º del artículo 15, constitucional. El Hábeas data es una garantía constitucional que permea varios derechos y libertades constitucionales, tales como el derecho de petición, la libertad a la información y expresión, el libre desarrollo de la personalidad, y los derechos que a la vez, son garantizados por aquella, como el derecho a la intimidad, el honor, la honra, el buen nombre, la imagen; entre otros. Por ello, anotemos brevemente lo siguiente:

 

El derecho de petición en interés general, en interés particular, de informaciones y de consulta tiene una amplísima reglamentación en el Libro Primero del C.C.A., a tal punto que sobre la temática existen varios tratados jurídicos y pronunciamientos de tutela principalmente de la Corte Constitucional desde 1992 hasta la actualidad, sobre el cumplimiento indebido, incompleto, evasivo, falso, errado, omisivo o negligente del derecho de petición o sobre el origen, el núcleo esencial del derecho de petición (“pronta y cumplida respuesta”), requisitos de forma y de fondo, procedimientos breves y sumarios o ausencia de los mismos en casos especiales, régimen de pruebas o exención de éstas, así como sobre el término para decidir y la forma en que se concretan las decisiones expresas o escritas, tácitas o fictas (o por “silencio administrativo” o por actos mal llamados “presuntos”) que se producen con ocasión del ejercicio del derecho de petición.

 

La Constitución colombiana en 1991, al igual que lo hiciera la Brasileña de 1988 y mucho antes la Portuguesa de 1976, constitucionalizaron el llamado “Habeas Data“, con diferente técnica y efectos, pero las tres elevan a rango constitucional lo que se ha conocido como el derecho de acceso a la información pública y privada y necesidad imperiosa de limitar el “poder informático”  frente al nacimiento, desarrollo y evolución altamente sensible  de las tecnologías de la información y la comunicación (TIC), por medios electrónicos, telemáticos o informáticos, puesto que si bien el acceso a la información pública puede presentarse también por medios manuales o mecánicos tradicionales (escritos, impresos, formularios, peticiones, etc.), la tensión que provocó los medios TIC, posteriores a la Segunda Guerra mundial dispararon las alarmas constitucionales en todo el mundo, al punto que las Constituciones democráticas de los diferentes continentes comenzaron a institucionalizar el derecho de hábeas data y regular expresamente con este nomen iuris, o con el genérico de derecho de acceso a la información, o “autodeterminación informática” o “libertad informática”, el derecho o garantía constitucional idónea para garantizar una pléyade de derechos constitucionales que pudieran verse amenazados por el poder informático, tales como el derecho a la intimidad, el buen nombre, la honra, el honor, el de imagen, el mismo derecho a la información y el derecho de petición; entre otros.

 

El Hábeas Data como garantía constitucional es el instrumento constitucional que garantiza el acceso, procesamiento y comunicación (“circulación o cesión”) de datos de la persona humana o de sus bienes, tanto de los datos tratados o procesados en forma manual o mecánica, como en forma “automatizada” o por medios electrónicos o informáticos.  Sólo que fue esto último lo que predominó a la hora de elevar este derecho y garantía constitucional a rango de norma constitucional en todas las constituciones de Latinoamérica, Europa, Norteamérica, Asia y Australia, y por su puesto, tan inmediatamente a reglamentar o desarrollarlo en las normas legislativas internas.

 

Colombia por diferentes razones que se analizarán en el aparte correspondiente de este ensayo jurídico, no ha sido capaz de producir una Ley integral o Estatutaria de Habeas Data desde hace dos décadas y tras haber presentado varios proyectos de diferentes orígenes (Parlamentario, Gubernamental, de la Defensoría del Pueblo, entre otros) [38]. Como consecuencia de lo anterior, la característica de la esencia del Hábeas Data de ser un garantía constitucional autónoma para proteger otros derechos fundamentales, no se ha podido desarrollar en el derecho colombiano, pues al no existir una norma legal que reglamente la acción constitucional de hábeas data, como sí se hizo recientemente con la acción de Hábeas Corpus [39], la garantía constitucional  de Hábeas Data, paradójicamente está siendo protegida o garantizada por un derecho fundamental e igualmente instituto o garantía constitucional cual es, la “acción de tutela“. De allí que en los últimos años y desde 1992, la tutela acapare la importancia de los ciudadanos colombianos para defender y garantizar mayoritariamente los derechos de la salud, educación, de petición, debido proceso y quien lo diría el propio, derecho del Hábeas Data.

 

Esto quizá haya ocurrido en nuestro país, por la poco confiable y altamente criticable técnica legislativa que el Constituyente de 1990-1991, tuvo al redactar el artículo 15, constitucional y plasmarlo como ahora lo tenemos: Un derecho fundamental a la intimidad

______________________

 

(38)      Los proyectos presentados al Congreso de la República son varios, algunos de ellos son: a) Con carácter preconstitucional a 1991, se presentó el proyecto nº 73 de 1986, el cual perseguía proteger el derecho a la intimidad de las personas frente a los sistemas de información y bancos de datos. Se archivo por el Congreso; b) Postconstitucionalmente se presentó el proyecto 083 de 1991, que regulaba algunas fases del procesamiento informático, tales como la recolección, manejo y divulgación de información comercial. Archivo por tránsito erróneo; c) El Proyecto 172 de 1992, que regulaba las fases del procesamiento de datos y especialmente sobre los principios de “licitud del tratamiento” de datos y la responsabilidad de los administradores de bancos de datos y las fuentes de información; d) El Proyecto 12 de 1993, que recogió lo previsto en el anterior proyecto, hizo tránsito en el Congreso y recibió una sentencia de inexequibilidad por vicios de forma por parte de la Corte Constitucional, en base al control constitucional previo (C-008-1995); e) El Proyecto 070 de 1997, que insistía en la protección del derecho a la intimidad y al buen nombre frente a los sistemas de información y los bancos de datos. Creaba la Comisión Protectora de Bancos de Datos; f) Los proyectos de ley estatutaria nº 115 de 1997, Cámara; 52 de 2000, Senado; y 124 de 2001, Cámara, todos dirigidos a desarrollar el artículo 15, constitucional y a reglamentar el procesamiento de los datos personales y los administradores de los bancos de datos; f) El Ministerio de Hacienda presentó el proyecto de ley estatutaria nº 071 de 2002, Senado, el cual fue acumulado al proyecto 075 de 2002, Senado. Reglamentarios de las fases del procesamiento de datos. Archivados; g) El Proyecto nº 143 de 2003, Senado, presentado por iniciativa de la Defensoría del Pueblo. Archivado; h) El Proyecto nº 139 de 2004, tuvo origen en la Cámara de Representantes. Se archivó. Es quizá la reiterada presentación de proyectos de ley que no han fructificado y terminado como ley estatutaria de Colombia, la excusa válida para realizar este ensayo jurídico integral, pues en otras oportunidades nos hemos pronunciado sobre uno de éstos. En: “Los datos personales de carácter económico o financiero en el proyecto de habeas data de 2002“. En: www.udenar.edu.co/derechopúblico

(39)      La Ley 1095 de 2006, Noviembre 2, reglamenta el derecho y acción constitucional para “tutelar la libertad personal cuando alguien es privado de la libertad con violación de las garantías constitucionales o legales, o esta se prolongue ilegalmente. Esta acción únicamente podrá invocarse o incoarse por una sola vez y para su decisión se aplicará el principio pro homine”. Son competentes para avocar y decidir esta acción todos los jueces y tribunales de la rama judicial de Colombia, a través de un procedimiento breve y sumario.

con características de derecho continente, y un derecho igualmente fundamental y autónomo de hábeas data, contenido en aquél. Si hubiese querido el constituyente subsumir el Hábeas Data con otro derecho, mucho más coherente hubiese sido con el derecho a la información previsto en el artículo 20 constitucional, pues como hemos dicho anteriormente el insumo fundamental del Hábeas data es la información en términos generales, y los datos de la persona humana y sus bienes, como información del concernido en particular.

 

Lo mejor hubiese sido establecer el Hábeas data como una garantía constitucional autónoma que sirva de mecanismo o instrumento de defensa y protección de otros derechos y libertades constitucionales, como lo es ahora, la acción de tutela que es una garantía de garantías constitucionales.

 

Sin embargo, ha sido la doctrina [40]  y sobre todo la jurisprudencia colombiana quienes han escindido de un mismo texto constitucional más de dos derechos fundamentales, como ha pasado con el artículo 15, en principio sólo constitutivo del derecho de la intimidad personal y familiar de las personas y que tras reiterados pronunciamientos judiciales ha derivado los derechos al “buen nombre”, el derecho a “la imagen” y  finalmente el derecho y garantía constitucional de Hábeas Data.

 

Igual técnica y con mucho más solera jurisdiccional que nuestra Corte, el Tribunal Constitucional de Español, siguiendo las pautas doctrinales de los tratadistas del derecho público Español (Pérez Luño, García de Enterría, González Pérez, González Navarro, Martín Mateo, Entrena Cuesta, entre otros), ha aplicado finamente el bisturí jurídico para separar de un mismo texto constitucional más de dos derechos fundamentales previstos en la Constitución Ibérica de 1978. Así sucedió, con el llamado derecho a la “Libertad informática” teorizado y defendido por el  iusfilósofo Pérez Luño  [41], cuando del análisis jurídico del artículo 18 constitucional, derecho continente (en cuatro numerales) de otros derechos, sostuvo que el numeral 4, que se refiere a que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el

 

_________________________

 

(40)       Desde 1997 hasta la actualidad hemos tratado el tema, en nuestros trabajos: La Constitución de 1991 y la Informática  Jurídica. Ob. ut supra cit., p.   ; así como en nuestra tesis doctoral, El derecho a la intimidad, su visión iusinformática del derecho y los delitos relativos a los datos de carácter personal. Publicada virtualmente en www.udl.es; Los datos personales de carácter económico y financiero en el proyecto de habeas data de 2002. Publicado virtualmente en www.udenar.edu.co/derechopublico

(41)       PEREZ LUÑO, Enrique. Derechos Humanos, Estado de Derecho y Constitución. Ed. Tecnos, S.A., Madrid, 1984, p. 359 y ss.

 

 

pleno ejercicio de sus derechos”, constituía un “nuevo derecho” [42]  constitucional diferente al honor y a la intimidad que serviría de protección jurídica no solo a éstos dos derechos constitucionales sino otros más que quedaban cobijados en el término “y el pleno ejercicio de sus derechos”, los de las personas en general, se refiere la norma.

 

La jurisprudencia fructífera y evolutiva de la Corte Constitucional Colombiana, ante la ausencia de una ley que desarrolle integralmente el derecho y garantía constitucional del Hábeas Data previsto en el artículo 15 incisos 1º y 2º, 20 y 74, tal como lo expusimos en la Parte Primera de esta Obra jurídica,  estructuró a nuestro juicio en tres etapas la institución jurídico constitucional del Hábeas Data que hoy tenemos. Las etapas de escisión de normas constitucionales, la de la transposición del derecho jurisprudencial alemán denominado  de la “autodeterminación informática” y la etapa de la autonomía del derecho constitucional del Hábeas Data, han marcado positivamente la evolución de la institución, al punto que para muchos, ni siquiera se ha notado los 16 años de falta de legislación específica ni siquiera sectorial del Hábeas Data. Algunos otros, incluida la Corte Constitucional en varios pronunciamientos judiciales (vgr. T-729-2002), solicitan que el Congreso de la República asuma su labor legislativa integral sobre el Hábeas Data, para que tengamos en nuestro país, como todo Estado democrático moderno una legislación acorde que proteja los datos o informaciones de toda persona natural o jurídica y todos los derechos constitucionales conexos con aquellas, tales como el derecho a la intimidad, el honor, la buena imagen, el de información y el de petición, entre otros.

 

 

  1. CONSTITUCION DE LA REPUBLICA DEL ECUADOR

 

5.1.      Acción de amparo específico o Hábeas Data

 

En la Constitución de la  República del Ecuador de 1998, en el artículo 94, se reglamenta el derecho constitucional de acceso a la información pública y privada y la garantía constitucional de habeas data, en la siguiente forma: “Toda persona tendrá derecho a  ac-

___________________________

 

(42)      Nosotros criticamos la terminología de “nuevo derecho”, basado en su momento que el numeral 4 del artículo 18, no creaba derechos nuevos sino que al escindirlos del mismo contexto le estaba dando autonomía, pero que seguiría ligado a servir de mecanismo o garantía constitucional de otros derechos, incluidos el de la intimidad y el honor. Por eso dijimos que la libertad informática que se pregonaba en la norma constituía más bien una visión ius informática de la intimidad, era la faceta tecnológica del derecho a la intimidad. Vid. La Visión iusinformática de la intimidad, no es un nuevo derecho constitucional. En: www.udenar.edu.co/derechopublico

 

ceder a los documentos, bancos de datos e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, así como a conocer el uso que se haga de ellos y su propósito.

Podrá solicitar ante el funcionario respectivo, la actualización de los datos o su rectificación, eliminación o anulación, si fueren erróneos o afectaren ilegítimamente sus derechos.

Si la falta de atención causare perjuicio, el afectado podrá demandar indemnización.

La ley establecerá un procedimiento especial para acceder a los datos personales que consten en los archivos relacionados con la defensa nacional“.

 

En el derecho ecuatoriano, se regula en la misma norma constitucional dos derechos fundamentales, a saber: a) El derecho de acceso a la información pública y privada; y b) El derecho fundamental de Hábeas Data [43].

 

Si bien uno y otro, en un momento determinado pueden ser complementarios, no excluyentes, en el régimen constitucional ecuatoriano se han diferenciado tanto en los fines, el procedimiento a seguir como en la reglamentación normativa realizada por el legislador, aunque cierta doctrina los refunde y confunde cuando sostiene: “el habeas data es una acción para recuperar o acceder información constante en archivos públicos, pero que mantiene importantes diferencias con el derecho de acceso a la información, por lo menos en la interpretación restrictiva que le ha atribuido en los últimos meses el Tribunal Constitucional [44]. En cambio otros enfocan al Hábeas Data como una garantía constitucional dirigida a proteger otros derechos fundamentales, además de la información, tales como la Intimidad, la honra y la buena reputación [45].

 

En relación al derecho de acceso a la información pública y privada previsto en el inciso 1º y 4º del artículo 94, constitucional, tiene como finalidad esencial el acceso y conocimiento de los documentos, archivos, registros o “informes” que se encuentren en bancos de datos

__________________

 

 

(43)      Así lo confirman algunos tratadistas ecuatorianos al sostener que: “El derecho de acceso a la información en archivos públicos mantiene importantes diferencias con el hábeas data, especialmente en el tema de la legitimación activa, donde solamente está legitimada la persona para obtener información “sobre sí misma, o sobre sus bienes”; y también que el habeas data permite obtener y modificar información constante en archivos privados. A diferencia del derecho de acceso a la información, el hábeas data también permite la “rectificación, eliminación o anulación” de los datos erróneos, así como obtener y demandar una indemnización, “si la falta de atención causare perjuicio” Vid. PEREZ, Efraín y MAKOWIAK, Jéssica. El derecho de acceso a la información en Europa y América Latina: un enfoque constitucional. En: http://www.cica.es

(44)      Ob., ut supra citada.

(45)       GARCIA BERNI, Aída. La acción de Hábeas Data. Asesora del Tribunal Constitucional. En: http://www.dlh.lahora.com.ec

manejados o administrados entidades públicas y privadas y que se refieran “así misma, o sobre sus bienes” (En esto último, que duda cabe, que se sigue los parámetros conceptuales de la Constitución Hondureña de 1982, como ut infra veremos).

 

Este derecho fundamental de acceso a la información pública y privada le otorga a “toda persona” las facultades de solicitud ante cualquier entidad del Estado o de carácter privado que cumpla funciones públicas para aprehender cualquier información que le concierna, bien sea de tipo personal o relativa a sus bienes (muebles o inmuebles); así mismo le concede la facultad de entrar en su conocimiento total o parcial y analizar si la información que sobre aquella ha accedido y conocido es relevante, veraz, oportuna, o por el contrario es inexacta, errónea, ilegal o no es conforme al ordenamiento jurídico. Para ejercer este conjunto de facultades del derecho de acceso a la información bastaría con el derecho de petición de informaciones o documentos ante las entidades que recolectan, almacenan o administran dichas informaciones, documentos o “informes”.

 

En cumplimiento del Inciso 4º del artículo 94, constitucional, el 4 de Mayo de 2004, mediante Ley Orgánica denominada de “Transparencia y acceso a la información pública“, el legislador ecuatoriano, desarrollo y reglamentó parcialmente el derecho de acceso a la información previsto en el inciso 1º del artículo 94, constitucional, siguiendo para ello, a no dudarlo, las pautas internacionales que acordaron los Jefes de Estado latinoamericanos en la “Declaración de la ciudad de Santa Cruz de la Sierra” de 2003, sobre el derecho a la información pública, la transparencia de las gestiones y acciones gubernamentales, la eliminación de todo tipo de actividad que genere corrupción en la administración pública y en el Estado mismo y la reglamentación del Hábeas Data, camino a la homologación normativa de América del Sur.

 

La Ley de Transparencia y acceso a la información pública ecuatoriana desliga totalmente cualquier entronque con el derecho del Hábeas Data que en otros Estados como en el Mexicano, por ejemplo, dentro de su Ley de Transparencia y acceso a la información hacen parte o son la consecuencia ineludible del mismo, como veremos más adelante.

 

La Ley Ecuatoriana de 2004 –que no será objeto de estudio pormenorizado por ahora, pero sí tiene por fin mostrar el alcance como derecho autónomo y el desligamiento del Hábeas Data–, contiene un Título Primero, relativo a los principios generales, el objeto de la ley, el ámbito de aplicación, principios de aplicación de la ley; Titulo Segundo, relativo a la Información pública y su difusión: información confidencial, Difusión de la información pública, promoción del derecho de acceso a la información, responsabilidad sobre la entrega de la información pública, custodia de la información, vigilancia y promoción de la ley, presentación de informes, falta de claridad en la información, Del Congreso Nacional, Del Tribunal Supremo Electoral, información pública de los partidos; Titulo Tercero, relativa a la Información Reservada y confidencial:  De la Información reservada, protección de la información reservada; Titulo Cuarto, relativa al procedimiento administrativo para acceder a la información pública: De la solicitud y sus requisitos, límites de la publicidad de la información, denegación de la información; Titulo Quinto, relativo a los recursos de acceso a la información: Del recurso de acceso a la información; Titulo Sexto, relativo a las Sanciones; y Disposiciones transitorias [46].

 

El derecho fundamental de Hábeas Data en el derecho ecuatoriano ha sido categorizado unánimemente por la doctrina, como una acción especial de tipo constitucional [47]. Sin embargo, tal como está redactado el artículo 94, se llega a la conclusión que el Hábeas Data previsto en los Incisos 1º, 2º y 3º, es a la vez, un derecho fundamental autónomo y una garantía constitucional que sirve para proteger o defender además del derecho a la información, los derechos a la Intimidad personal, la honra, la buena reputación (artículo 23 numerales 8 y 21)  y “el derecho a guardar reserva sobre sus convicciones políticas y religiosas…” [48].

 

Como derecho fundamental autónomo el Hábeas Data es aquél derecho que tiene toda persona para acceder y conocer la información que a ella le concierne, y en tal virtud, si encuentra que dicha información es errónea, inexacta, falsa o ilegal, podrá solicitar su actualización, rectificación o eliminación, bien se halle en bancos de datos públicos o privados, o bien se haya recolectado, almacenado por medios mecánicos, escriturarios o manuales (archivos, documentos o “informes”).

 

El trámite procedimental del Hábeas Data ecuatoriano se ha relegado al trámite que se le imprime al recurso de amparo, por interpretación que se le da al artículo 95 constitucional, pues ni el artículo 94 de la Constitución ni una ley que desarrolle y reglamente el Hábeas Data expresa qué trámite procedimental autónomo e independiente de la acción de amparo deberá seguirse para ejercitar la denominada “acción de Hábeas Data” en el derecho ecuatoriano. Recuérdese, como se sostuvo ut supra, que el legislador sí reglamentó mediante ley orgánica específica el derecho constitucional de acceso a la información pública.

 

________________

 

(46)      Ley transcrita y comentada por SANCHEZ MONTENEGRO, Diego. El Derecho de acceso a la información pública y su vinculación con las nuevas tecnologías de la información y la comunicación. En: IV Congreso mundial de Derecho Informático. AEDIT, Junio, 2004.

(47)       GARCIA BERNI, Aída. La acción de Hábeas Data… Ob. ut supra cit.

(48)      Ob. ut supra cit.

La acción constitucional de amparo se utiliza por “cualquier persona (natural o jurídica), por sus propios derechos… ante el órgano de la función judicial designado por la ley. Mediante esta acción, que se tramitará en forma preferente  y sumaria, se requerirá la adopción de medidas urgentes destinadas a cesar, evitar la comisión o remediar inmediatamente las consecuencias de un acto u omisión ilegítimas de una autoridad pública, que viole o pueda violar cualquier derecho consagrado en la Constitución o en un tratado o convenio internacional vigente, y que, de modo inminente, amenace con causar un daño grave” (subrayas y paréntesis nuestros).

 

En tal virtud, siendo la acción de amparo la acción idónea para proteger cualquier derecho previsto en la Constitución Ecuatoriana, salvo que éste tenga su propio desarrollo legislativo como pasa con la acción de acceso a la información pública, las facultades componentes del derecho de Hábeas Data, como son: el conocimiento, rectificación, actualización y eliminación de los datos de la persona o de sus bienes, quedan inmersas y dentro de la posibilidad de ser protegidas o garantizadas mediante la acción de amparo. En este aspecto procedimental o adjetivo, el Hábeas Data es un subtipo de amparo porque sigue el ritual y trámite expedito y sumario del amparo genérico del artículo 95 de la Constitución.

 

En el futuro próximo, a no dudarlo, el legislador ecuatoriano deberá asumir la labor reglamentaria de la Constitución y particularmente sobre el desarrollo y regulación del Hábeas Data y será ahí donde se establezca, entre otros aspectos, el trámite jurisdiccional breve y sumario especial diferente al de amparo, las características y facultades propias del Hábeas Data, sus principios y ámbito de aplicabilidad y defensabilidad de otros derechos constitucionales tal como lo viene reconociendo paulatinamente el Tribunal Constitucional Ecuatoriano, cada vez que se pronuncia sobre el acceso a la información pública y privada de las personas o de sus bienes, o sobre el ejercicio de las facultades inherentes al Hábeas Data, previstos en el artículo 94, constitucional.

 

El año pasado, La Asociación Ecuatoriana de Derecho Informático y Telecomunicaciones, AEDIT [49], preparaba un anteproyecto de ley de Protección de datos para ser presentado al

________________________

 

 

(49)       El documento se basa en normas internacionales y en la poca normativa que tenemos en el Ecuador sobre el tema, por lo que será valioso contar con su experiencia práctica en la aplicación de la norma en sus respectivos países. Pese a que estamos concientes (sic) de la dificultad de sacar una Ley de este tipo, es un desafío que nos hemos propuesto y esperamos reducir los dos años y medio que nos tomó lograr la aprobación de la Ley de Comercio electrónico. Gracias por su colaboración. José Luis Barzallo.  Presidente AEDIT. Blog del Foro de Hábeas Data. En: Ecuador: Ley de Protección de Datos. Enviado por Pablo Palazzi, Mayo 30 de 2006.

 

Congreso Nacional, tal como lo había hecho en otra oportunidad, con el proyecto de “Ley de Comercio electrónico” que surtido el trámite legislativo pertinente efectivamente llegó a ser ley de la República. En dicho anteproyecto como lo comentaremos más adelante, se propone como objetivo general: “garantizar y proteger los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, tanto públicos como privados, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en la Constitución Política de la República del Ecuador”.

 

El anteproyecto como lo reconocen los autores de la AEDIT está basado en normas comunitarias europeas (Directivas comunitarias sobre datos personales y la transferencia o comunicación internacional de los mismos) y  especialmente en la Ley de Protección de datos de carácter particular española de 1999, por lo que a partir de la expedición de la nueva norma sobre datos personales ecuatoriano (LDPE), por parte del Congreso de la República, la diferencia que hemos planteado entre la acción de acceso a la información pública y privada y la acción o recurso de Hábeas Data, se ahondará más y tendrá el Tribunal Constitucional del Ecuador, como la doctrina de aquél país pronunciarse sobre cada una de ellas y caracterizarlas en su  justo alcance, contenido, procedimiento legal a seguir  y sobre su aplicabilidad endilgada a defender y garantizar los correspondientes derechos fundamentales previstos en la Constitución y la ley.

 

  1. CONSTITUCION DE LA REPUBLICA DE HONDURAS

 

6.1.      La garantía constitucional de Hábeas Data

 

En la Constitución del Estado Centroamericano de Honduras de 1982, en el artículo 182 (Reformado por Decreto 243/2003), inciso primero, numeral 2º, el derecho fundamental de acceso a la información pública y privada y la garantía constitucional de habeas data, de la siguiente forma: El Estado reconoce la garantía de Hábeas Corpus o Exhibición Personal, y de Hábeas Data. En consecuencia en el Hábeas Corpus o Exhibición Personal, toda persona agraviada o cualquier otra en nombre de ésta tiene derecho a promoverla; y en el Hábeas Data únicamente puede promoverla la persona cuyos datos personales o familiares consten en los archivos, registros públicos o privados de la manera siguiente:

(…)

  1. El Hábeas Data: Toda persona tiene el derecho a acceder a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en caso de que fuere necesario, actualizarla, rectificarla y-o enmendarla.

Las acciones de Hábeas Corpus y Hábeas Data se ejercerán sin necesidad de poder ni de formalidad alguna, verbalmente o por escrito, utilizando cualquier medio de comunicación, en horas o días hábiles o inhábiles y libre de costas. Únicamente conocerá de la garantía del Hábeas Data la Sala de lo Constitucional de la Corte Suprema de Justicia, quien tendrá la obligación ineludible de proceder de inmediato para hacer cesar cualquier violación a los derechos del honor, intimidad personal o familiar y la propia imagen.

Los titulares de los órganos jurisdiccionales no podrán desechar la acción de Hábeas Corpus o Exhibición Personal e igualmente tienen la obligación ineludible de proceder de inmediato para hacer cesar la violación a la libertad y a la seguridad personal.

En ambos casos, los titulares de los órganos jurisdiccionales que dejaren de admitir estas acciones constitucionales, incurrirán en responsabilidad penal y administrativa.

Las autoridades que ordenaren y los agentes que ejecutaren el ocultamiento del detenido o que en cualquier forma quebranten esta garantía incurrirán en el delito de detención ilegal”.

Según el artículo 183, el recurso de amparo es el instrumento jurídico que se utiliza, para mantener o restituir “el goce o disfrute de los derechos o garantías que la constitución establece”,  incluidos los previstos en el artículo 182“.

 

La acción constitucional de Hábeas Data, al igual que la acción de Hábeas Corpus, en el Derecho público hondureño tiene una singular regulación en la Constitución de 1982, por varias razones:

 

  1. a) Se eleva a rango constitucional el Hábeas Data conjuntamente con el Hábeas Corpus, como garantías constitucionales exhibitorias de datos de la persona humana y de sus bienes, la primera; y como garantía exhibitoria de la persona física o natural, la segunda. En este proceder, a no dudarlo, sigue los pasos de la Constitución Portuguesa de 1976 y la Constitución Brasileña de 1988. Sin embargo, se diferencia la acción de Hábeas Data del Hábeas Corpus en que la primera “únicamente puede promoverla la persona cuyos datos personales o familiares consten en los archivos, registros públicos o privados”;  en cambio, la acción de Hábeas Corpus, podrá impetrarla “toda persona agraviada o cualquier otra en nombre de ésta”.

 

  1. b) Regula el derecho de acceso a la información pública y privada que tiene “toda persona“, como complementario del derecho de Hábeas data, en el entendido que caracteriza a éste último con las facultades sobre la información personal, si “fuere necesario, actualizarla, rectificarla y-o enmendarla”. Aunque en forma expresa no determina la faculta de acceso y conocimiento de la información a derecho constitucional autónomo, como si se hace en la Constitución Ecuatoriana de 1994, se entiende que esta parte volitiva del Hábeas Data de acceso y conocimiento de la información que las entidades privadas o autoridades del Estado han recolectado, administran o almacenan datos de la personas o sus bienes, constituyen una verdadera facultad exhibitoria de datos o de información personal, en tanto que, las facultades de actualización, rectificación y “enmienda” de la información, hacen parte de los atributos coactivos del Hábeas Data, tras el ejercicio mismo de la acción de amparo en el derecho hondureño.

 

  1. c) El Hábeas Data, al igual que el Hábeas Corpus tienen una regulación procedimental sui generis, cuando menos, en los siguientes aspectos: (i) Son acciones constitucionales de trámite expedito “y no oneroso”; (ii) Se ejerce por toda persona, y en el caso del Hábeas Data, por toda persona concernida con los datos que se hallen recolectados, almacenados o administrados en bancos de datos o en registros públicos y privados, sin necesidad de abogado, “procurador” (en el término ibérico, como abogado de oficio) o representante judicial (al interpretarse el término utilizado por la Constitución de “sin necesidad de poder”); (iii) Se ejerce sin demasiadas formalidades. En tal virtud, se podrá presentar peticiones de Hábeas Data, tanto en forma verbal como en forma escrita; (iv) Se podrá utilizar “cualquier medio de comunicación”; entendiendo por tales, en nuestro concepto, los medios electrónicos, informáticos o telemáticos: correo electrónico, fax, teléfono, etc., o medios mecánicos, escriturarios o manuales, como memoriales escritos o mecanografiados, documentos enviados por correo ordinario; o medios verbales personales (voz) o medios verbales por medio de aparatos: teléfonos fijos y móviles, o radioteléfonos; (v) Las acciones antes las autoridades judiciales competentes podrá ser presentada “en horas o días hábiles o inhábiles”; (vi) “libre de costas”, se entiende para quien resulte vencido en el procedimiento constitucional especialísimo; (vii) Establece un régimen de responsabilidad severo a los “titulares de los órganos jurisdiccionales que dejaren de admitir estas acciones constitucionales”, a tal punto que deriva responsabilidades de tipo penal y administrativo contra aquellos, es decir, iniciarles procedimientos penales por acción, omisión o extralimitación de funciones respecto de la acción de Hábeas Data, así como también, acciones sancionatorias disciplinarias, por parte de los órganos competentes, en procesos pertinentes que pudieran terminar con destitución, suspensión, multa o amonestación, según el régimen jurídico disciplinario existe en Honduras; y, (viii) Paradójicamente en este bello panorama altamente participativo, gratuito y sin casi formalidades judiciales, la Constitución de Hondureña, centraliza el conocimiento de la acción de Habeas Data en la “Sala Constitucional de la Corte Suprema de Justicia”; entendemos que esa exclusividad de competencia sea a los efectos de revisión de ultima ratio competencial, luego de ser conocida la acción en una primera o segunda instancia, por todo los jueces de la República en cada centro urbano y en la ciudad capital de la República, para que la acción sea efectivamente un mecanismo popular, participativo y exhibitorio
  2. d) La acción de Hábeas Data es un mecanismo procedimental de aplicación inmediata por las autoridades jurisdiccionales endilgada a “hacer cesar cualquier violación a los derechos del honor, intimidad personal o familiar y la propia imagen”.  En tal virtud, la Constitución Hondureña al hacer un listado cerrado numerus clausus, descarta la posibilidad que en otra clase de derechos y libertades constitucionales pueda ser posible utilizar este mecanismo procesal, tal como lo posibilitan otros textos constitucionales iberoamericanos, cuando expresan que la garantía constitucional del Hábeas data podrá utilizarse para proteger y garantizar los derechos previstos en la Constitución, estableciendo de ésta forma una  cláusula general y abierta de defensabilidad y protección de derechos, “numerus apertus“.

 

  1. e) Las acciones constitucionales de Hábeas Data y Hábeas Corpus, en el constitucionalismo hondureño resultan meramente nominales, pues la acción constitucional que efectivamente posibilita la exhibición de los datos de la persona o sus bienes o la exhibición de la persona, según fuere el caso y acción respectiva, es la acción de amparo, como “instrumento jurídico que se utiliza, para mantener o restituir ´el goce o disfrute de los derechos o garantías que la constitución establece´”, incluidas la acciones de Hábeas Data y Hábeas Corpus. Con lo cual se establece que el Hábeas Data y Hábeas corpus desde el punto de vista procesal constituyen una especie de amparo específico dentro del régimen jurídico de amparo genérico hondureño.

 

Sin embargo, como hemos sostenido ut supra en el numeral 3º, son tantas y variopintas las reglas especiales que la Constitución de 1982, reglamentó para el Hábeas Data que nos resulta un tanto difícil incorporar las reglas generales de la acción de amparo genérico por estar vaciadas de contenido al aplicar las reglas especiales del amparo específico “informativo” o de Hábeas Data.  

 

  1. CONSTITUCION DE LA REPUBLICA PANAMA

 

7.1.      Acción de Hábeas Data

 

En la Constitución de la República de Panamá de conformidad con la última reforma introducida mediante Acto Legislativo 1 de 27 de Julio de 2004, se reglamenta la “acción de habeas data” en el artículo 44 y el derecho fundamental de acceso a la información pública y privada, individual o colectiva en los artículos 42 y 43 respectivamente.

 

Sobre la acción de habeas Data se manifiesta que: “Toda persona podrá promover acción de hábeas data con  miras a garantizar el derecho de acceso a su información personal recabada en  bancos de datos o registros oficiales o particulares, cuando estos últimos traten  de empresas que prestan un servicio al público o se dediquen a suministrar  información.

Esta acción se podrá interponer, de igual forma, para hacer valer el  derecho de acceso a la información pública o de acceso libre, de conformidad  con lo establecido en esta Constitución.

Mediante la acción de hábeas data se podrá solicitar que se corrija,  actualice, rectifique, suprima o se mantenga en confidencialidad la información o  datos que tengan carácter personal.

La Ley reglamentará lo referente a los tribunales competentes para  conocer del hábeas data, que se sustanciará mediante proceso sumario y sin  necesidad de apoderado judicial”.

 

En el derecho público Panameño, la acción de Hábeas data es un mecanismo constitucional procedimental que garantiza y protege tanto las facultades de acceso y conocimiento de la información pública y privada del concernido, como las facultades de corrección, actualización, rectificación, supresión y de confidencialidad de los datos de carácter personal. Es en consecuencia, una acción dúplex si se observa como instrumento de defensa de otros derechos constitucionales, pues si se observa como derechos sustantivos la situación es otra. En efecto, la reforma constitucional de 2004, previó un tratamiento constitucional autónomo e individualizado a la facultad integrante del derecho de Hábeas Data: de acceso y conocimiento de la información, como un derecho fundamental previsto en los artículos 42 y 43, según se trate de informaciones de carácter personal o de informaciones de acceso público o de interés colectivo, respectivamente, bien sean recolectadas, almacenadas o procesadas mediante medios electrónicos o manuales.

 

La acción de Hábeas Data en la Constitución de Panamá, tiene las siguientes características relevantes:

 

  1. a) Es acción popular que puede ser interpuesta por “toda persona“, natural o jurídica, tendiente a garantizar la fase volitiva del Hábeas Data de acceso y conocimiento de la información así: (i) De la de carácter personal, cuando sea recolectada, almacenada, registrada o administrada por bancos o registros oficiales o particulares, “cuando estos últimos traten (sic) de empresas que prestan un servicio al público o se dediquen a suministrar información”. Según el artículo 42 de la Constitución esta información “sólo podrá ser recogida para fines específicos, mediante  consentimiento de su titular o por disposición de autoridad competente con fundamento en lo previsto en la Ley”; (ii) De la de carácter público o “de acceso libre, de conformidad  con lo establecido en esta Constitución”.  A tenor del artículo 43 de la Constitución, se considera información de carácter público o de interés colectivo aquella que reposa en bases de datos o registros a cargo  de servidores públicos o de personas privadas que presten servicios públicos y   siempre que el acceso a dicha información no haya sido limitado por disposición escrita y por  mandato de la Ley.

 

La Asamblea Legislativa Panameña, para reglamentar estas dos normas constitucionales emitió el 22 de Enero de 2002, la  Ley nº 6 de 22 de Enero de 2002, relativa a las “normas para la transparencia en la gestión pública, establece la acción de Habeas Data y otras disposiciones[50] y en virtud de ella el órgano ejecutivo reglamentó la Ley mediante el Decreto nº 124 de 2002. Normas que ut infra comentaremos a espacio. Por ahora digamos que la acción de Hábeas Data es el instrumento jurisdiccional para proteger y garantizar el acceso y conocimiento de la información particular, la de interés público o colectivo, así como también de las facultades de corrección, actualización, eliminación, supresión y de sostenibilidad de la confidencialidad de los datos personales, con lo cual la acción de Hábeas Data se convierte en una acción de funcionalidad y defensabilidad de derechos constitucionales en forma triplex.

 

  1. b) La acción de Hábeas Data también será viable cuando se trata de proteger y garantizar las facultades coactivas del Hábeas Data, vale decir, las atribuciones que tiene toda persona para solicitar la corrección, actualización, rectificación, supresión y de confidencialidad de los datos de carácter personal que le conciernen, según se hallen  en los bancos de datos, registros, “ficheros” electrónicos (según la denominación del derecho español y sobre todo del derecho informático francés), o bien en archivos manuales, escritos o mecánicos.

 

  1. c) En la acción de Hábeas Data panameño, cuando ésta persigue el acceso y conocimiento de información de carácter personal del concernido, están legitimados por activa “toda persona”, pero por pasiva están legitimadas todas aquellas entidades del Es-

________________

 

(50)      En uno de los apartes de la Exposición de Motivos de la Ley nº 6 de 2002, se sostiene: La Ley se expidió por “…La necesidad que nuestro país tiene de una legislación clara y precisa sobre el tema del acceso público a la información, como herramienta idónea y eficaz que nos permita a los ciudadanos estar mejor informados sobre las decisiones que nos afectan en forma directa o indirecta y que a su vez provienen de funcionarios gubernamentales que ejecutan una función pública, es vital y urgente para el mejor desarrollo de nuestra sociedad democrática“. (…)

Es un hecho incontrovertible que la información que manejan los funcionarios del Estado pertenece a toda la comunidad, por ello, es y debe ser pública. La transparencia informativa respecto de los actos de las autoridades, además de ser un elemental derecho ciudadano, es la manera más eficaz para prevenir la corrupción. En: www.defensoriadelpueblo.gob.pa

tado y las personas naturales y jurídicas de carácter privado, pero en el evento que estas últimas se consagren a “prestan un servicio al público o se dediquen a suministrar  información”; vale interpretar, que las personas particulares presten un servicio público o cumplan una función pública, por excepción, ya sea título de delegación, desconcentración o descentralización en “colaboración” de funciones con personas particulares, o a título convencional o contractual permanente con entidades o personas privadas. Si bien es valedera la aclaración que hace la Constitución panameña sobre esta clase de particulares con funciones públicas, se entiende en este caso, que las personas particulares que no tengan tales funciones o servicios públicos por excepción no estarán legitimadas por pasiva.

 

En recientes casos en los cuales es competente la Corte Suprema de Justicia, Sala Constitucional, ésta ha negado “recursos” de Hábeas Data, por ejemplo contra las entidades reguladoras de servicios públicos, porque la “información requerida no tiene carácter público y sólo puede concernir a la empresa Cable & Wireless” (10/12/2002).

 

En particular, en una relación de casos de Hábeas Data “admitidos” y “rechazados”, por la Corte [51], respecto a la legitimación de la acción por activa, que según el artículo 11 [52]  de la Ley de Transparencia (Ley 6 de 2002), utiliza el término “personas interesadas” y en el mismo sentido el artículo 8º  del Decreto 124 de 2002, “persona interesada” (términos que según Pérez Jaramillo, son bastante cuestionados o “alegados” cuando aparecen en un “fallo” de la Corte), se han rechazado por la Corte de un total de 68 “recursos de Hábeas Data” desde el año 2002 hasta el 2003, 11 han sido rechazados por “no demostrar el interés legítimo, es decir, no ser persona interesada”; 7 se rechazaron por que el “peticionario no demostró interés legítimo interesado”; 1 se rechazó porque el “peticionario no acreditó interés legítimo de acuerdo con el artículo 66 de la Ley 38 de 2000“, es decir, la nueva ley de procedimiento administrativo panameño; 1 se rechaza porque el “peticionario debió utilizar la vía contencioso-administrativa”.

 

Pese al rechazo de la Corte, es gratificante citar como lo hace la mencionada relación de Pérez Jaramillo,  que  existen  “salvamentos de voto dignos de citar” que  respecto  de la

 

_________________

 

(51)       PEREZ JARAMILLO, Rafael. Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet

(52)      Ley nº 6 de 22 de Enero de 2002, “Que dicta normas para la transparencia en la gestión pública, establece la acción de Habeas Data y otras disposiciones“, establece en el “Artículo 11. Será de carácter público y de libre acceso a las personas interesadas, la información relativa a la contratación y designación de funcionarios, planillas, gastos de representación, costos de viajes, emolumentos o pagos en concepto de viáticos y otros, de los funcionarios del nivel que sea y/o de otras personas que desempeñen funciones públicas”.

 

legitimación por activa del titular de una acción de Hábeas Data en el derecho panameño, no debieron rechazarse si se hubiese mejor interpretado el espíritu del artículo 8º del Decreto 124 de 2002, a favor del acceso de la información del peticionario en manos de entidades del Estado. En efecto, un aparte del fallo del 6 de Septiembre de 2002, sobre el particular sostuvo: “En lo que atañe al requisito del interés que debe reunir el peticionario de la información, considero que el artículo 8º…,  contiene una acepción  que no se compadece con la tesitura de las normas que en la Ley 6 procuran facilitar el acceso al ciudadano a la información pública. Si el artículo 8º…, concibe una visión restringida del interés, y esta concepción contradice las normas de la Ley 6, conceptúo que bien puede inaplicarse dicho Decreto…, en la medida que prima facie se aparta de la letra y espíritu de la Ley que busca reglamentar. La inaplicación de un Decreto aparentemente contrario a la Ley vendría justificada por la preocupación de no sacrificar o menoscabar los principios o postulados que inspiraron la adopción de la ley…” [53].

 

En el mismo sentido y con igual contundencia de rechazo al fallo que rechazó la acción de Hábeas Data, por no demostrarse el “interés legítimo” del interesado, en el Fallo de 14 de Marzo de 2003, la Corte sostuvo: ” De inmediato debo manifestar que no comparto lo afirmado en el párrafo transcrito, respecto de la carencia de legitimidad fundamentada en el artículo 11 de la Ley 6 de 2002, ya que en nuestro concepto la acreditación de un interés legítimo respecto de la información requerida, es un razonamiento que entra en evidente contradicción con el objetivo primordial para lo cual fue creada la Ley 6ª de 2002, la cual es el de garantizar el derecho de que los asociados tengan la oportunidad de accesar, sin necesidad de sustentar justificación o motivación alguna, ni acreditar legitimidad, a las informaciones o datos de acceso público en poder o en conocimiento de las instituciones indicadas en la presente ley[54] .

 

Respecto a la legitimación por pasiva durante este mismo período, se rechazaron 3,  por que la “autoridad a la que se hace (la) petición no es funcionario público, aunque labore en una empresa mixta“;  1 se rechaza porque la “Institución a la que se pide la información no es del Estado, porque recibe fondos estatales pero no principal ni habitualmente“; 1 se rechaza por que se “solicita saber cuando un Ministerio cumplirá con un pago de acuerdo a (un) contrato y esta solicitud se deniega porque en la acción de Hábeas Data no aporta el contrato“.

 

_______________

 

 

(53)       PEREZ JARAMILLO, Rafael. Hábeas… Ob., ut supra cit.

(54)      Ob., ut supra cit.

  1. d) La acción de Hábeas Data prevista en la Constitución de Panamá, se constituye en una garantía constitucional de tipo jurisdiccional para defender y garantizar prioritariamente el derecho a la información privada y sobre todo pública de interés particular y de interés general o colectivo, pues se establece como principio general, en el derecho panameño, el libre acceso ciudadano a la información oficial, salvo la “información (que) conviene a la sociedad guardar en reserva“; así como también, para “salvaguardar el derecho a la intimidad de los particulares” según lo dispone la exposición de motivos de la Ley nº 6 de 2002 y  el artículo 1º numeral 5º  de la mencionada ley, cuando conceptualiza lo que debe entenderse por “información confidencial“. En un sentido más amplio, la “Opinión del Colegio Nacional de Abogados” de Panamá [55] , se manifiesta que la acción de Hábeas Data servirá para proteger y garantizar además del derecho a la información y la intimidad, los derechos a la buena imagen, el honor y el derecho a la autodeterminación de la información de las personas.

 

  1. e) En el derecho público panameño, constitucionalismo se regula en normas diferentes el derecho de Hábeas Data (artículo 44) y el derecho de acceso a la información pública y privada (artículos 42 y 43), ambos como garantías constitucionales endilgadas a la defensa y protección del derecho de acceso y conocimiento de la información pública; así como a la protección de las facultades componentes del Hábeas data de corrección, actualización, eliminación, supresión y confidencialidad de los datos personales. Sin embargo, la Asamblea Nacional Legislativa, al expedir la Ley nº 6 de 2002, refundió estas garantías constitucionales y desarrollo y reglamentó en forma unificada la acción de Hábeas Data para la defensa y protección de algunos derechos constitucionales, tales como la intimidad, el honor, imagen y principalmente el derecho a la información personal y de carácter público y colectivo.

 

Este proceder del poder legislativo, no fue seguido por el legislador ecuatoriano aunque a nivel constitucional procedió de idéntica manera tal como pasó en el derecho público panameño. En efecto, en el Ecuador se expidió una “Ley orgánica de Transparencia y acceso a la información pública” (Mayo 4 de 2004), que regula en su integridad el derecho de acceso a la información pública y establece unos mecanismos administrativos y jurisdiccionales diferentes al Hábeas Data con el propósito de proteger y garantizar el derecho fundamental a la información. Por otro, lado el legislador estudia diversos  proyectos de ley para la protección de los datos personales (v.gr. El anteproyecto de ley en ese sentido presentada por AEDIT), para regular la acción de Hábeas Data que en su trámite o ritualidad procesal actualmente se hace conforme a los procedimientos breves y

__________________

(55)        En: www.defensoriadelpueblo.gob.pa

sumario de la acción de amparo constitucional.

 

Esta diferente actuación legislativa del pueblo ecuatoriano y panameño es significativa, más si se tiene en cuenta que el primero privilegia los derechos fundamentales de la intimidad, la imagen y el honor frente al derecho de la información pública o privada; en tanto, en el constitucionalismo panameño, como hemos comentado se privilegia el derecho constitucional de la información privada como la pública de interés general o colectivo [56].

 

  1. f) La acción de Hábeas Data, según el inciso in fine del artículo 44 de la Constitución de Panamá, tendrá un procedimiento “sumario y sin necesidad de apoderado judicial” que estará regulado por la ley. Esta reserva legal que propicia la Constitución hace que sea el legislador quien regule los principios, autoridades competentes y su jurisdicción y ritualidades que deben seguir los legitimados por activa y por pasiva para garantizar los derechos fundamentales cubiertos por el ámbito del Hábeas Data. La norma constitucional instituye con carácter de norma suprema sólo que el procedimiento que genera esta acción especial es sumario y que puede acudir ante las autoridades judiciales el interesado o peticionario o, el titular de los datos o concernido directamente sin necesidad de abogado o procurador que lo represente.

 

La Ley nº 6 de 2002, es la norma que reglamentó lo pertinente a la acción de Hábeas Data. Ut infra se comentará ampliamente. Digamos aquí, sólo que las autoridades competentes para conocer de dicha acción son los “Tribunales Superiores que conocen de la acción de Amparo de Garantías Constitucionales, cuando el funcionario titular o responsable de registro, archivo o banco de datos, tenga mando y jurisdicción a nivel municipal o provincial”. Y agrega el inciso 2º del artículo 18, que “Cuando el titular o responsable del registro, archivo o banco de datos tenga mando y jurisdicción en dos o más provincias o en toda la República, será de competencia del Pleno de la Corte Suprema de Justicia”.

_____________________

 

(56)      El artículo 1º, numerales 4º  a 6º   exponen el abanico conceptual de la información objeto de la Ley nº 6 de 2002, así: “4. Información. Todo tipo de datos contenidos en cualquier medio, documento o registro impreso, óptico, electrónico, químico, físico o biológico. 5. Información Confidencial. Todo tipo de información en manos de agentes del Estado o de cualquier institución pública que tenga relevancia con respecto a los datos médico y psicológicos de las personas, la vida íntima de los particulares, incluyendo sus asuntos familiares, actividades maritales u orientación sexual, su historial penal y policivo, su correspondencia y conversaciones telefónicas o aquellas mantenidas por cualquier otro medio audiovisual o electrónico, así como la información pertinente a los menores de edad. Para efectos de esta Ley, también se considera como confidencial la información contenida en los registros individuales o expedientes de personal o de recursos humanos de los funcionarios. 6. Información de acceso libre. Todo tipo de información en manos de agentes del Estado o de cualquier institución pública que no tenga restricción”. En: www.defensoriadelpueblo.gob.pa

Visto así, las autoridades jurisdiccionales competentes son colegiadas, lo cual constituye una limitante para el real y efectivo ejercicio del derecho de Hábeas Data, frente a  si se estableciera que la autoridad competente para conocer sobre aquella, fueran los Jueces de la República en general, tal como existe en Colombia o en otros países latinoamericanos, donde la llamada “jurisdicción constitucional”  que está compuesta por todos los Jueces de la República independientemente de su especialidad (civil, penal, laboral, administrativa, etc.) y de su composición (individual o colegiados: Tribunales o Cortes), conocen de la acción de Hábeas data, a través del mecanismo jurisdiccional de la acción de tutela (en Colombia), o de la acción de amparo (en Ecuador, Perú, Argentina, México, etc.).

 

En cuanto al procedimiento sumario seguido para la acción de Hábeas Data, el artículo 19 de la Ley citada, sostiene que “respecta a la sustanciación, impedimentos, notificaciones y apelaciones, se aplicarán las normas que para estas materias se regulan en el ejercicio de la acción de Amparo de Garantías Constitucionales”.  Con lo cual se puede sostener que en el derecho panameño, la acción de Hábeas Data es de carácter nominal con algunas pautas constitucionales (forma del proceso y sin necesidad de abogado), pero en cuanto al desarrollo procedimental y demás pormenores procesales, sigue las pautas de la acción de amparo constitucional, por lo que se puede concluir que procesalmente la acción de Hábeas Data es una especie de acción de amparo genérico, y por tanto, en estos aspectos se someterá a su trámite y efectos jurídicos en forma ineludible.

 

 

  1. CONSTITUCION DE LA REPUBLICA DEL PARAGUAY

 

8.1.      Garantía Constitucional de Hábeas Data

 

En el Estado del Paraguay en la Constitución de 1992, se reglamenta la “garantía constitucional” (artículo 131) y, el derecho constitucional de acceso y tratamiento a la información pública y privada en el artículo 135, de la siguiente forma: “Toda persona puede acceder a la información y a los datos que sobre si misma, o sobre sus bienes, obren en registros oficiales o privados de carácter público, así como conocer el uso que se haga de los mismos y de su finalidad. Podrá solicitar ante el magistrado competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectaran ilegítimamente sus derechos“.

 

La Constitución paraguaya, siguiendo los parámetros normativos de la Constitución Brasileña y Argentina, estipula que la acción de Hábeas Data constituye una especie de acción de amparo constitucional, cuando menos en el plano procesal o adjetivo.

Son  características principales de la acción de Hábeas Data en el Paraguay las siguientes:

 

  1. a) La acción es una garantía constitucional específica que propende por la protección  o la defensa de algunos derechos constitucionales y básicamente por el derecho de acceso a la información y a los datos de la persona concernida o a sus bienes. Por su parte, la “garantía de garantías” o acción de amparo constitucional genérico, “tutela todos los derechos, inclusive el Hábeas Data“, con lo cual se puede concluir que la acción de Hábeas data es una especie de amparo constitucional informativo (información y datos personales), pero que en tratándose de hacerlo efectivo en el ámbito procedimental la acción de Hábeas Data resulta ser simplemente de carácter nominal, pues el rito y efectos jurídico-materiales que debe seguirse hasta su terminación es el del amparo genérico.

 

La acción de Hábeas Data con estas peculiaridades se instituyó en la Constitución de 1992, “más bien por razones históricas para poder acceder a documentos, instrumentos, etc., de la época anterior[57]  y quizá como sucedió en el Hábeas Data Brasileño, más por razones políticas y por la necesidad de develar documentos de todo tipo que en la épocas de Gobiernos no democráticos anteriores a 1992 eran de difícil o imposible acceso.

 

  1. b) Los derechos de acceso y conocimiento  a la información o a los datos de la persona, podrán hacerse efectivos para “toda persona” natural o jurídica, siempre que “obren en registros oficiales o privados de carácter público, así como conocer el uso que se haga de los mismos y de su finalidad”.

 

Estos derechos a la  información y a los datos personales se extienden no sólo al conocimiento y aprehensión de los mismos, sino como también lo estableció la Constitución Argentina, a conocer el uso, utilización y finalidad que se irrogue a los mismos por quienes recolectan, almacenan, administran o los comunican (ceden o transfieren)

 

  1. c) La acción de Hábeas data, también puede incoarse por la persona cuando tenga interés general, colectivo o particular sobre la información o sea la concernida con los datos personales “si fuesen erróneos o afectaran ilegítimamente sus derechos“. En tal virtud, “podrá solicitar ante el magistrado competente la actualización, la rectificación o la destrucción de aquellos”.

 

___________________

 

 

(57)      BENITEZ, Luis María. Análisis comparativo entre Hábeas Data y acción de amparo en Paraguay. Revista Ius et Praxis, nº 3º , Número 1, Facultad de Ciencias Jurídicas y Sociales, Universidad de Talca, Talca (Chile), p. 175-178.

  1. d) Si bien el artículo 135 de la Constitución del Paraguay, al referirse a la acción de Hábeas Data, enfatiza en la defensa y protección del derecho a la información pública o privada con este instrumento o garantía constitucional, se puede leer en la Constitución que existen otros derechos fundamentales como el derecho a la intimidad personal y familiar (artículos 30 y 33) y “la dignidad y de la imagen privada de las personas” (artículo 33), que también quedan cubiertos por la protección del amparo informativo paraguayo.

 

  1. CONSTITUCION DE LA REPUBLICA DEL PERU

 

9.1.      Garantía Constitucional: La acción de Hábeas Data

 

En la Constitución del Perú de 31 de Diciembre de 1993, se reglamenta como “garantía constitucional” la acción de habeas data en el artículo 200 numeral 3º de la siguiente forma: “Son garantías constitucionales: … 3º  La Acción de Hábeas Data, que procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2o, incisos 5, 6, y 7 de la Constitución”.

 

Por su parte el artículo 2º  en los incisos 5º al 7º  del mencionado artículo 200, sostiene: “toda persona tiene derecho a: (…)

“5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

El secreto bancario y la reserva tributaria pueden levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado.

  1. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
  2. Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias.

Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley”.

Son garantías constitucionales, las acciones de hábeas Corpus, amparo, hábeas data, cumplimiento, inconstitucionalidad y popular”.

 

En el derecho constitucional peruano, la acción de Hábeas Data tiene una regulación especial, amplia, pormenorizada y con desarrollos legislativos importantes y sectorizados tanto en el ámbito administrativo como en el jurisdiccional, según se trate del derecho de acceso y conocimiento de la información pública o privada, o bien se refiera a las facultades componentes del derecho de Hábeas Data: corrección, actualización, eliminación y comunicación de datos o informaciones personales.

 

En tal virtud, veremos a continuación algunas caracterizaciones de esta especie de amparo constitucional que es la acción de Hábeas Data.

 

  1. a) La acción de Hábeas Data peruano es una garantía constitucional específica, con un desarrollo y concreción procedimental de una acción de amparo,  como expresamente lo sostiene el artículo 200 de la Constitución.

 

Sin embargo, el profesor García Belaunde [58], académicamente se pregunta: ¿Qué es “garantía constitucional” actualmente?.  Haciendo un breve recuento histórico y en estudios constitucionales de Fix Zamudio, responde: garantía es sinónimo de derecho, también de acción procesal, o finalmente de proceso. La garantía como derecho en el concepto francés se entendía tanto las libertades de la persona como las facultades sustantivas que conferían al titular y derecho; como instrumento procesal, la garantía era el mecanismo apto para la defensa de derechos constitucionales. En este sentido la garantía es una acción, acepción ésta  de dominio latinoamericano en la actualidad, de ahí que se concluya que hoy existen “acciones de garantía” (tal como lo preceptúa la Constitución Peruana de 1993 y lo ratifican tratadistas como Eguigurem y el propio García Belaunde) que protegen y defienden otros derechos y libertades  fundamentales [59].

 

Finalmente, la garantía constitucional como proceso deviene de aquél nuevo mito del siglo XX que rodea el mundo iberoamericano, cual es el mito a la Constitución (y ya no al legislador). Nosotros agregamos, en donde todo ha pasado  a  constitucionalizarse  como

_____________________

 

(58)       GARCIA BELAUNDE, Domingo. Diferencias entre el Hábeas Data y la Acción de amparo o tutela constitucional en Perú.  Revista Ius et Práxis, Año 3, Número 1, Facultad de ciencias jurídicas y sociales de Talca, Talca (Chile), p. 179-188.

(59)      En la Ob., ut supra cit., el profesor García B., estima que no se justifica haber constitucionalizado un garantía constitucional o “acción de garantía” de Hábeas Data en el texto constitucional peruano de 1993, para proteger “cinco (derechos constitucionales) con nombre propio“, tal como es una regla en el ámbito latinoamericano. Sin embargo, olvidad nuestro colega docente que las garantías o acciones constitucionales no se valoran cuantitativa sino cualitativamente y según sus impactos sociales, jurídicos, políticos, económicos y culturales en un momento histórico, ámbito geográfico y nacimiento de nuevas tecnologías de la información y la comunicación (TIC); que hoy por hoy, son una realidad con más poder de intrusión en la sociedad y el Estado que nunca, como lo hemos demostrado en nuestra obra El derecho a la intimidad, su visión iusinformática  y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida (España), Lleida, 1999, p. 15 y ss.

un mecanismo de solución a casi insolubles problemas sociales, políticos, económicos y jurídicos sólo tras la normativización de éstos así sea de forma constitucional (En el corredor latinoamericano la Asamblea Constituyente colombiana de 1990, para reformar la Constitución, se convirtió en un ejemplo a seguir); entre muchos otros, que tiene nuestra sociedad. Las normas constitucionales de “mejor valer” se dice, conceden superioridad prima facie en todo el ordenamiento jurídico y así todo lo que se eleva a rango constitucional adquiere prevalencia normativa, preferencia procedimental e inminencia en la aplicación de derechos considerados fundamentales.

 

En tal virtud, hoy hablamos de procesos constitucionales generados a raíz de acciones elevadas a ese rango constitucional. El caso peruano es el más evidente en este sentido, pese a no reconocerlo el profesor García Belaunde. El artículo 200, hace una relación numerus clausus de las garantías constitucionales que generan cada una un procedimiento constitucional breve, sumario, especial, pero en todo caso proceso. Así relaciona: la acción de Hábeas Corpus, Acción de Amparo, Acción de Hábeas Data, Acción de Inconstitucionalidad, Acción Popular y Acción de Cumplimiento; y por si fuera poco, la Constitución del 1993, establece las acciones y procesos internacionales, cuando se ha “agotado la jurisdicción interna, quien se considere lesionado en los derechos que la Constitución reconoce puede recurrir a los Tribunales u organismos internacionales constituidos según tratados o convenios de los que el Perú sea Parte“.

 

En principio, el derecho público peruano había regulado legislativamente por separado cada una de las mencionadas acciones: unas por legislación preconstitucional a 1993, antiguas, como sucedía con la acción de Hábeas Corpus; otras, con legislación igualmente preconstitucional pero más reciente como la de Hábeas Corpus y Amparo (nº 23506 de 1982); y otras tantas, como la acción de Hábeas data con carácter post-constitucional a 1993 (Ley nº 26301de Mayo 3 de 1994), bajo la regulaciones normativas de las leyes de Transparencia y acceso de la información pública (v.gr. 27806 de 2001 y 27927 de 2003).

 

Sin embargo, y auto-reconociendo una doctrina autorizada del Perú que el sistema normativo peruano es el prototipo en esta clase de actividades procesales modernas, emite uno de los primeros “Códigos Procesales Constitucionales” [60], que concentran en un solo

________________________

 

(60)  En la Ob., ut supra cit., el profesor García B., estima que no se justifica haber constitucionalizado un garantía constitucional o “acción de garantía” de Hábeas Data en el texto constitucional peruano de 1993, para proteger “cinco (derechos constitucionales) con nombre propio“, tal como es una regla en el ámbito latinoamericano. Sin embargo, olvidad nuestro colega docente que las garantías o acciones constitucionales no se valoran cuantitativa sino cualitativamente y según sus impactos sociales, jurídicos, políticos, económicos y culturales en un momento histórico, ámbito geográfico y nacimiento de nuevas tecnologías de la información y la comunicación (TIC); que hoy por hoy, son una realidad con más poder de intrusión en la sociedad y el Estado que nunca, como lo hemos demostrado en nuestra obra El derecho a la intimidad, su visión iusinformática  y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida (España), Lleida, 1999, p. 15 y ss.

texto, Códex o compilación normativa,  la regulación integral de normas, reglas, principios, características y procedimientos de tipo constitucional aplicables a todas las llamadas “acciones constitucionales” o “acciones de garantía” previstas en el artículo 200 y que pasa a denominarse como “Código procesal constitucional” (Ley nº 28.237 de 31 de Mayo de 2004), con 121 artículos y muchas normas finales y transitorias. Lo que sí queda claro con este loable proceder legislativo, es que la acción de Hábeas data per se no es un proceso, así sea de rango constitucional, sino que engendra un procedimiento especial y con reglas procesales aplicables a su especie como al género de las acciones constitucionales de garantía.

 

  1. b) La acción de garantía de Hábeas data, en el régimen constitucional peruano se instauró como un mecanismo procedimental idóneo, para la protección y defensa de los siguientes derechos: (i) Solicitar y recibir información de una entidad pública. Se exceptúan las que afectan al derecho a la intimidad y a la seguridad nacional; así mismo las que se refieren al secreto bancario y la reserva tributaria. Sin embargo, en éste dos últimos casos, podrá “levantarse” dicho secreto y reserva a instancias de una autoridad jurisdiccional o legislativo, según su ámbito de competencia y evento específico; (ii) “A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”; (iii)  “Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias”; y (iv) A la rectificación en forma gratuita, inmediata y proporcional, cuando la persona afecta reciba “afirmaciones inexactas o agraviada en cualquier medio de comunicación social… sin perjuicio de las responsabilidades de ley”.  En síntesis, la acción de Hábeas Data garantiza y protege el derecho acceso, conocimiento y rectificación de la información pública y privada, el derecho a la intimidad, el honor, la buena reputación, la voz y la imagen.

 

En  términos doctrinales de Eguigurem  [61], pues  la  norma  constitucional  no  lo expresa

______________________

 

(61) Como lo reconoce Eguigurem, el término fue ácidamente criticado por García Belaunde, desde su instauración en la Constitución de 1993, pues a su juicio desnaturalizaba el Hábeas Data al extenderse hasta la rectificación de la información, a “la par de una peligrosa proclividad hacia la eventual censura de los medios de comunicación“. Sin embargo, el derecho a la información que tiene toda persona no sólo es aquel que entregan los medios de comunicación en sus diferentes formas y expresiones (hablada, escrita, televideo, etc.), sino  al género de la información que se encuentren en bancos de datos, ficheros, registros manuales o informatizados, documentos, informes, etc., sobre diversos tópicos y materias, salvo las reservas previstas en el ordenamiento jurídico vigente de cada Estado. En tal virtud, informaciones o datos personales,  no sólo periodísticas, que le conciernan a la persona. Cierto es que la información periodística es una aquellas de más alta sensibilidad y por tanto de igual peligro de vulnerabilidad, pero no debe tomarse la excepción por la regla con una clara visión reduccionista del mundo extenso de la información (veraz, oportuna, eficaz y completa) a que tiene derecho toda persona. Vid. EQUIGUREN, Francisco. El Hábeas Data y su desarrollo en el Perú. Revista Ius et Práxis, Año 3, Número 1º, Facultad de ciencias jurídicas y sociales, Universidad de Talca, Talca (Chile), p.119.

exactamente así, el Hábeas Data como “proceso constitucional” debe otorgar a la persona afectada protección y mecanismo para obtener: “ a) acceso a la información de su interés o a conocer datos sobre su persona que se encuentren en archivos o registros (agregamos: informatizados o no); b) Actualización de informaciones o datos personales contenidos en archivos o registros (agregamos nuevamente: informatizados o no); c) Rectificación  [62]  de informaciones o datos inexactos (agregamos: informatizados o no); d) Exclusión o supresión de “datos sensibles” que, por su carácter personal o privado, no deben ser objeto de almacenamiento o registro a fin de salvaguardar la intimidad personal o la eventual no discriminación; e) Confidencialidad de informaciones o datos personales que, por su carácter reservado, no debe permitirse su difusión a terceros (secreto tributario, bancario o médico)“.

 

En esta relación de derechos con sus correspondientes excepciones, se destacan los derechos de acceso a la información y las facultades componentes del Hábeas Data de corrección, almacenamiento, actualización, eliminación y sostenimiento de la confidencialidad.

 

  1. c) La acción de Hábeas Data en el Perú, al igual que su homónima argentina, procede “contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza” el derecho de acceso, conocimiento y rectificación de la información pública y privada, el derecho a la intimidad, el honor, la buena reputación, la voz y la imagen; y además, cuando toda persona resulte afectada por “afirmaciones inexactas o agraviada en cualquier medio de comunicación social”.

 

En este sentido se puede afirmar que el Hábeas Data es una garantía constitucional específica, “pues en verdad es una suerte de amparo, especializado para la protección de ciertos derechos, sobre todo ante los riesgos excesivos provenientes del poder informático[63], electrónico, telemático e incluso manual o mecánico, pues el poder informativo, hoy como nunca, es más poder y aunque la novedad de los medios TIC, parece permearlo todo, la información sea cual fuere el medio utilizado (informático o mecánico) genera derechos, deberes y ámbitos de responsabilidad, para quienes la solicita, reciben, recolectan, almacenan, administran, registran o más aún la comunican, transfieren o ceden.

_____________________

 

(62)      Ob., ut supra cit.

(63)       Desarrollamos la institución jurídico constitucional de la Autonomía y sus impactos e implicaciones en las Universidades públicas colombianas. Vid. RIASCOS GOMEZ, Libardo O. El procedimiento sancionador disciplinario de los docentes universitarios en Colombia. Ed. UNED, Universidad de Nariño, Pasto, 2007, p. 1 y ss.

La norma constitucional peruana al iniciar la redacción de la acción de Hábeas Data parece más una norma legislativa, pues precisa que ésta sólo procede cuando existe un “hecho u omisión”, es decir, una actividad, gestión, acción o administración positiva, negativa o de no hacer por parte de una autoridad, funcionario o persona que efectivamente vulnere o amenace un derecho o libertad constitucional preestablecido en la Constitución. Si bien los términos “autoridad”, “funcionario” y “persona”, son genéricos y amplios en cada Estado latinoamericano, sin mayores dificultades se pueden determinar o ser determinables, pues siempre se ha utilizado la palabra autoridad como sinónimo de entidad pertenecientes a una cualquiera de las tres ramas del poder público (ejecutivo, legislativo o judicial), a los organismos de control fiscal, conductual o electoral (Contralorías, Procuradurías, autoridades electorales); y a los organismos que gozan de autonomía en su constitución, aplicación normativa y acciones o gestiones públicas (v.gr., en Colombia, el Banco de la República –BRC–, las universidades [64] ). El término funcionario, hace referencia al servidor público de carrera, de libre elección y remoción, de elección popular y de contratación estatal, perteneciente a cualquier instancia o nivel administrativo, legislativo o judicial de “autoridad”; y finalmente, el concepto de “persona” (natural o jurídica) en derecho, como todo sujeto apto para adquirir derechos y contraer obligaciones.

 

Vale decir, que tanto las autoridades, funcionarios como personas, están legitimados por pasiva en el desenvolvimiento de un proceso constitucional originado en una acción de Hábeas Data. Por el contrario, está legitimado por activa en esta clase de procesos, “toda persona” que tiene interés jurídico en que no le sean vulnerados o desconocidos los derechos relacionados en el artículo 2º, incisos 5º a 7º de la Constitución Peruana, ut supra analizados.

 

  1. d) El procedimiento constitucional generado en la acción de Hábeas Data, antes de la expedición del Código Procesal Constitucional de 2004 (Ley nº 28.237 de 31 de Mayo), tal como lo avizoraba Eguigurem  en 1997, al no contar con una norma procesal específica ni tampoco una norma remisoria a un proceso existente, “generaron algunas dudas y confusiones en este campo[65].

 

Fue necesario por aquella época, emitir una ley con vocación transitoria, pero incompleta y con vacios procesales evidentes: La Ley nº 26301 de 3 de Mayo 1994. Dicha ley disponía la competencia para conocer el Hábeas Data, al Juez de primera instancia, en lo Civil, y así sucesivamente ante otras instancias judiciales, si se trataba de informaciones en archivos

____________________

 

(64)       EQUIGUREN, Francisco. El Hábeas Data… Ob., ut supra cit.

(65)      Ob., ut supra cit.

judiciales, o cuando se trataba del ejercicio del derecho de rectificación o de acciones contra medios de comunicación social; entre otras posibilidades.

 

Uno de los vacíos de la ley citada se refería al agotamiento de las vías previas vigentes para el amparo, pero posiblemente no para la acción de Hábeas Data. Así en “los casos de solicitud de información pública o de oposición al suministro de información por servicios informáticos,… el afectado debe previamente haber formulado un requerimiento, por conducto notarial, con una antelación no menor de quince días calendario[66]. El autor citado, reconoce que al menos conceptualmente era inapropiada dicha equiparación y exigencia para la acción de Hábeas Data (posición que avalaban también Abad Yupanqui y Borea Odría Alberto). A partir del 2004, estos argumentos recobrarían actualidad, al entregarles la razón a estos doctrinantes, pues en la Exposición de Motivos del Código Procesal Constitucional, al referirse a las vías previas a la acción, sostiene que “el proyecto sustituye la exigencia de una carta remitida por conducto notarial, para limitar a requerir un documento de fecha cierta…además considera que no se trata de una vía previa, sino un requisito especial de la demanda…” [67].

 

Tras la expedición del Código Procesal Constitucional de 2004, que ut infra comentaremos más a espacio, el procedimiento de Hábeas Data, según el artículo 65 del Codex Constitucional peruano, “será el mismo que el previsto por el presente Código para el proceso de amparo, salvo la exigencia del patrocinio de abogado que será facultativa en este proceso. El Juez podrá adaptar dicho procedimiento a las circunstancias del caso”.

 

Dicho procedimiento constitucional [68], seguirá unas disposiciones generales establecidas para las acciones de Hábeas Corpus, Amparo y cumplimiento, referidas al campo de aplicabilidad normativo, las normas de hermenéutica e interpretación, medidas cautelares, efectos jurídicos y materiales de las providencias y la institucionalización de la cosa juzgada; entre otros aspectos procesales comunes a aquéllas acciones, incluida la de Hábeas Data (Titulo I de la Ley nº 28237 de 2004, artículos 1 a 24).

 

En tal virtud, siendo el procedimiento del Hábeas Data una especie de procedimiento de amparo que rige  el  rito  procesal,  salvo  los  trámites  y  especialidades previstos en los

______________________

 

(66)       TORRES CASTRO, Carlos A. Código Procesal Constitucional. Estudio preliminar, 1ª ed., Sociedad de Estudios para una cultura de paz, Lima (Perú), Noviembre 30 de 2004, p.48-49

(67)       Proceso constitucional de Hábeas Data como también prefiere llamarlo el docente Lama More, pues  tiene como “objetivo principal… contener ciertos excesos del llamado ´poder informático´. Vid. LAMA MORE, Héctor Enrique. El Hábeas Data en el Perú. El Estado de cosas inconstitucional en el caso Arellano Serquen contra el CNM. Vía Internet.

(68)      Ob., ut supra cit.

artículos 61 a 64, para el Hábeas Data, se puede afirmar que en el Perú sigue existiendo un procedimiento de amparo específico para el Hábeas Data, por remisión expresa del mismo Código Procesal Constitucional y acabó de una buena vez, con las confusiones existentes antes y después de la Ley nº 26301 de 1994.

 

El Código Procesal Constitucional, regula el procedimiento de amparo en el Titulo III, Capítulos I y II, artículos 37 a 60 de la Ley 28237 de 2004. Procedimiento no tan breve y sumario, ni tan libre de complejos trámites como debía imponerse a esta clase de proceso endilgado para la defensa de derechos constitucionales, unos de aplicación inmediata o de efectos de vulnerabilidad alta. Estos derechos han sido enlistados numerus clausus en el artículo 37, creemos con el propósito de no dejar a la interpretación jurisprudencial la ampliación o disminución del listado.

 

A propósito del enlistamiento, estimamos salvo mejor criterio jurídico, que el legislador ordinario extralimitó sus funciones legislativas al incluir en el listado del artículo 37, la protección de los derechos del honor, la intimidad, voz, imagen y rectificación de informaciones inexactas o agraviantes (numeral 8º ), como derecho pasible y defensable a través del procedimiento constitucional de amparo genérico, y la consecuente, eliminación como derecho protegido por la acción de Hábeas Data, estipulado en el artículo 200 numeral 3º de la Constitución. En efecto, como comentamos ut supra,  la Constitución extendió el grado de garantía constitucional por medio del Hábeas Data cuando ciertas informaciones inexactas o agraviantes vulneren los derechos constitucionales autónomos de la intimidad, honor, voz e imagen, y en consecuencia, la ley no podía sacarlo de la lista constitucional para incorporarlo en otra lista de orden legal. Resulta inconstitucional el desenlistamiento, pues en la práctica, el legislador peruano proporcionó igual protección procedimental a los mencionados derechos, pues en una u otra lista, el resultado es que se sigue el mismo procedimiento de amparo, aunque obviamente los derechos mentados, no tendrán las garantías adicionales y por ende, excepcionales para los derechos que se protegen directamente por la acción de Hábeas Data y estipulados en los artículos 61 a 64 del Código Procesal Constitucional.

 

Por tales motivos, hoy por hoy, la  acción constitucional de hábeas data peruana, por disposición del Código Procesal Constitucional, solo “procede en defensa de los derechos constitucionales reconocidos por los incisos 5) y 6) del artículo 2 de la Constitución. En consecuencia, toda persona puede acudir a dicho proceso para: 1) Acceder a información que obre en poder de cualquier entidad pública, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trámite, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier otro documento que la administración pública tenga en su poder, cualquiera que sea la forma de expresión, ya sea gráfica, sonora, visual, electromagnética o que obre en cualquier otro tipo de soporte material. 2) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros”. Y agrega: “Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales”.

 

  1. CONSTITUCION DE LA REPUBLICA BOLIVARIANA DE VENEZUELA

 

 

10.1.    Acción de amparo específico: El Hábeas Data

 

La Constitución de la República Bolivariana de Venezuela de 1999, en el artículo 28 reconoce el derecho fundamental de acceso a la información pública y privada, como la acción de habeas data, en los siguientes términos: “Toda persona tiene derecho de acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados, con las excepciones que establezca la ley, así como de conocer el uso que se haga de los mismos y su finalidad, y a solicitar ante el tribunal competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectasen ilegítimamente sus derechos. Igualmente, podrá acceder a documentos de cualquier naturaleza que contengan información cuyo conocimiento sea de interés para comunidades o grupos de personas. Queda a salvo el secreto de las fuentes de información periodística y de otras profesiones que determine la ley“.

 

El derecho público venezolano, siguiendo la ola latinoamericana de constitucionalización de la garantía de Hábeas Data, tal como lo había hecho previamente Colombia, Perú, Paraguay, Ecuador y Argentina, regula dicha garantía constitucional a través  del derecho de acceso a la información y los datos que tiene una persona concernida sobre sí misma como sobre su información patrimonial o de “sus bienes” (tal como lo hace la Constitución de Honduras, Ecuador y Paraguay). Igualmente, a “conocer el uso que se haga de” la información o datos personales que le conciernen e incluso cuáles son los fines que mueven o generan esos usos; así como, toda persona concernida, tiene derecho a aquellas  facultades del Hábeas Data elevadas a rango constitucional de “actualización, rectificación o la destrucción de” los datos o informaciones concernidas, cuando aquellos  “fuesen erróneos o” afecten  “ilegítimamente sus derechos”.

 

Como sucede en la mayoría de países latinoamericanos, estos tres grupos de derechos o facultades que hacen parte del derecho integrador del Hábeas Data, han sido protegidos mediante diversos mecanismos jurídico-administrativos y jurisdiccionales, antes, concomitante y después del nacimiento doctrinal del mecanismo procesal, amparo informativo, garantía constitucional, o en fin, “garantía de garantía” de otros derechos constitucionales, como se ha denominado según las diferentes constituciones y legislaciones iberoamericanas, al Hábeas Data.

 

En efecto, no escapa a la regulación Constitucional  y legal de los Estados latinoamericanos el archiconocido “derecho de petición” que tiene toda persona ante autoridades nacionales e internacionales y a exigir de ellas pronta y cumplida respuesta (artículo 51 de la Constitución Venezolana y artículo 23 de la Constitución Colombiana), que perfectamente cubre con creces el primer grupo de derechos denotados en el artículo 28 de la Constitución Venezolana: Derecho acceso a la información tanto privada como pública, sobre cualquier información, dato, derecho o libertad que le concierna, o incluso derechos de terceros o de la colectividad o comunidad. Peticiones, bien sea en  interés particular, en interés general, de informaciones o de petición de documentos, como se conoce en el derecho administrativo colombiano y que están desarrolladas y reguladas ampliamente en el Código Contencioso Administrativo colombiano o C.C.A: Decreto-ley 02 de 1984 y reformado por el Decreto 2304 de 1989 y Ley 446 de 1998; En similares contenidos en los artículos 48 y siguientes de la Ley Orgánica de procedimientos administrativos Venezolana de 1 de Julio de 1981.

 

Así mismo, y aunque se entiende subsumido el derecho de petición ejercido por toda persona ante autoridades nacionales e internacionales que tengan sede en el país o fuera de éste, la Constitución Venezolana regula específicamente el derecho de petición ante organismos internacionales, en el artículo 31, constitucional, con igual propósito al derecho de petición previsto en el artículo 51.

 

Derecho de petición que si no es atendido dentro de los 15 días, o se contesta expresamente negando la petición;  o más aún, no es contestado expresamente dentro del término legal (3 meses en Colombia, a parte de las sanciones disciplinarias que pudiera caber a quien desatiende el derecho, sin justificación legal alguna; se configura el silencio administrativo negativo, según el artículo  60 del C.C.A.), y en los tres eventos el peticionario interesado podrá  interponer recursos administrativos, previos a la vía contencioso-administrativa, tales como la reposición, apelación o queja en Colombia, o “reconsideración, el jerárquico y la revisión” en el derecho administrativo venezolano.

Estos recursos, son mecanismos procesales para impugnar decisiones expresas y tácitas o fictas, cuando es desatendido o negado expresa o tácitamente el derecho de petición inicial.

 

Sin embargo, por la importancia y cualificación de la naturaleza de las informaciones o datos que le conciernen a la persona, los Estados incluidos Colombia y Venezuela, han expedido normas especiales, para garantizar el acceso a la información pública escrita, mecánica o tradicional, así como la electrónica, telemática o informática. En las legislaciones Mexicana, Peruana, Argentina y Ecuatoriana; entre otros, se han expedido las denominadas “Leyes de transparencia y acceso a la información pública”, para garantizar el derecho constitucional de acceso a toda clase de información que les concierna a las personas, a terceros e incluso a la comunidad o colectividad en la que vive y se desenvuelve, salvo en los casos que establezca la ley como reservados.

 

En Venezuela, se garantiza en el ámbito administrativo el acceso a la información pública en la Ley Orgánica de la Administración Pública, que en el artículo 155, expresa: “Toda persona tiene derecho a acceder a los archivos y registros administrativos, cualquiera sea la forma de expresión, gráfica, sonora e imagen o el tipo de soporte material en que figuren, salvo las excepciones establecidas en la Constitución y en la ley que regule la materia de clasificación de documentos de contenido confidencial o secreto“. Por su parte el artículo 156, manifiesta: “El derecho de acceso a los archivos y registros de la Administración Pública será ejercido por los particulares de forma que no se vea afectada la eficiencia del funcionamiento de los servicios públicos, debiéndose, a tal fin, formular petición individualizada de los documentos que se desea consultar, sin que quepa, salvo para su consideración con carácter potestativo, formular solicitud genérica sobre una materia o conjunto de materias. No obstante, cuando los solicitantes sean investigadores que acrediten un interés histórico, científico o cultural relevante, se podrá autorizar el acceso directo  de aquellos a la consulta de los expedientes”.

 

Por su parte, el artículo 157 de la mentada Ley, respecto al contenido del derecho de acceso a los archivos y registros, sostiene: “conllevará el de obtener copias simples o certificadas, previo pago o cumplimiento de las formalidades que se hallen legalmente establecidas“.

 

De otra parte, la Ley Orgánica de la Función Pública estadística, regula en forma especial el derecho de acceso como el de actualización y rectificación de los datos o informaciones personales que le conciernan a la persona, en el artículo 15 cuando manifiesta: “los interesados tendrán derecho al acceso de los datos  personales que figuren en las bases de datos estadísticos no amparados por el  secreto estadístico y a exigir que sean rectificados los datos que les conciernan, al demostrar que son inexactos, incompletos, equívocos o desactualizados”.

 

En Colombia, desde la Ley 4 de 1913 o Código de Régimen Político y Municipal y luego en forma integral en la Ley 57 de 1985 que regula el derecho de toda persona de acceso a la información y documentos públicos en cualquier nivel administrativo del Estado, y últimamente, la Ley 692 de 2006, conocido como “Estatuto antitrámites”, reglamenta parcialmente el derecho de acceso a la información pública y privada. Todas estas normas persiguen la mayor transparencia, claridad, veracidad, oportunidad y efectividad de la información en el ámbito público y privado; así como también la reducción o más aún la eliminación de cualquier medio que posibilite gestiones o  acciones corruptas de los funcionarios o autoridades del Estado.

 

En relación con la información y los datos electrónicos sometidos a recolección, almacenamiento y procesamiento informático, el derecho venezolano, tal como lo confirma el colectivo de estudiantes, docentes y especialistas en medios TIC de las Universidades del Zulia [69], El mundo académico y la sociedad especializada en medios y tecnologías de la información y la comunicación (TIC) de Venezuela, presentan a la opinión pública y con destino final al legislador venezolano, en los actuales momentos, observaciones al  “anteproyecto de Ley de tecnología de la información“, que en nuestro criterio se propone reglamentar una parte importante sí, pero no todo el cosmos de la información pública y privada que se produce actualmente en los Estados. Una parte de la información referida a aquella que se produce por medios o tecnologías informáticas, telemáticas o electrónicas y dentro de aquella se desarrolla con amplitud los derechos de acceso y conocimiento de la información.

 

El anterior Colectivo, comienza cuestionando el título del anteproyecto de ley, pues manifiestan que regula en forma unidireccional (solo la información), cuando debería preverse en los actuales momentos, la capacidad de ida y vuelta de una información, de la transmisión, cesión o comunicación de la misma en forma bidireccional. En tal virtud, la Ley de Tecnología de la información debía llamarse además, “y de la comunicación”. Aspecto adicional que en el ámbito del “poder informático“, es incuestionable y por ello les asiste razón al mentado colectivo.

 

Por su parte, Romero Cabrera, considera que “este Proyecto de Ley, es de suma impor-

____________________

 

(69)       Opiniones del Colectivo que aparecen En: Observatorio social de las TIC en Venezuela: http://observatoriosocialticvenezuela.blogspot.com

tancia para el país, ya que busca acercar el Estado al ciudadano mediante el uso de las Tecnologías de la Información, masificando el uso de Internet, automatizando los procesos, haciendo transparente la gestión pública, y eficiente al Estado; todo ello con el fin de mejorar la calidad de vida de los ciudadanos, reactivando la industria nacional y logrando transferencia tecnológica[70] .

 

Además sostiene “que todos los actos, trámites y servicios que presten los órganos del Estado mediante el uso de las Tecnologías de Información, tendrán la misma validez jurídica y eficacia probatoria que la Ley otorga a estos actos, trámites y servicios tradicionalmente[71]. El diputado Luis Tascón, presidente de la subcomisión de Telecomunicaciones de la Asamblea Nacional, confirmando los objetivos, fines y efectos del anteproyecto de ley, sostuvo: “Lo que queremos con esta ley es automatizar el Estado, hacerlo transparente, permitir el funcionamiento óptimo, garantizar el acercamiento del Estado al ciudadano, y estamos aquí para que los zulianos nos ayuden a escribirla[72].

 

Respecto al segundo grupo de derechos que toda persona concernida tiene en el derecho venezolano, es decir, el derecho a conocer el uso y la finalidad dadas a la información o datos personales o de sus bienes patrimoniales (muebles e inmuebles), estima  Marín García [73], que el  artículo 28 de la Constitución venezolana, también consagra estos derechos cuando unos y otros “reposen en archivos públicos o privados una vez que conoce su existencia como lo son los derechos a saber el uso de la información recolectada y la finalidad  para la cual el ente recolector la tiene en sus archivos. Se ratifica la previsión  constitucional a recolectar información“.

 

Estima también el tratadista citado, que es perfectamente válido el mecanismo sustantivo administrativo del derecho de petición elevado al “ente recolector” (que más ampliamente debe entenderse como entidad pública o privada que recoge, almacena, registra o administra un banco de datos o un archivo manual o electrónico de datos o informaciones de la persona o sus bienes), pues al ya conocer la información y haber accedido a dicha información, ahora podrá “dirigirle una petición, bajo el procedimiento que legalmente  sea establecido, con el objeto de (i) conocer el uso o (ii) la finalidad para la cual  esta informa-

 

_______________________

 

(70)       ROMERO CABRERA, Betzabeth. Entrevista en la Internet, por Carlos H. Paiva.

(71)      Ob., ut supra cit.

(72)       GIGLI, Juan. Venezuela: Quinta jornada pública de la Ley de Tecnología de la Información. Enviado Vía Internet. Mayo 8 de 2006

(73)       MARIN GARCIA, Gustavo J. Evolución de la protección del derecho al acceso y control de la  información en la jurisprudencia de Venezuela. En: http://www.informatica-juridica.com/trabajos/

ción reposa en tales archivos[74].

 

Consideramos, como ut supra, se sostuvo que además del derecho de petición, en esta etapa caben también los recursos administrativos ordinarios, cuando se desconozca, niegue expresa o tácitamente los derechos a conocer el uso y la finalidad dada a la información del concernido. Así como también los mecanismos administrativos previstos en la diferentes Leyes de Transparencia y acceso a la información pública en aquellos Estados latinoamericanos en donde no es utilizada dicha normatividad como mecanismo paralelo o conjuntamente utilizada con el Hábeas Data, como sucede en Panamá, donde se expidió recientemente la Ley nº 6 de 22 de Enero de 2002, relativa a las “normas para la transparencia en la gestión pública, establece la acción de Habeas Data y otras disposiciones“; ley reglamentada por el ejecutivo mediante el Decreto nº 124 de 2002, que vincula el derecho de acceso a la información pública y privada como parte del derecho de Hábeas Data, al establecerlo como un derecho consecuencial e ineludible.

 

En los Estados latinoamericanos, como hemos visto, que han preferido regular por separado los derechos de acceso y conocimiento de la información en general o en particular (v.gr., En Colombia la Ley Estadística, nº 79 de 1993) de las que regulan el derecho a conocer el uso y la finalidad que se da a la información o datos de la persona o de sus bienes; y por su puesto, una y otra diferentes a las normas jurídicas especiales que regulan La Protección de datos personales o el “Hábeas Data” (v.gr. En Argentina o en España),  la aplicabilidad de las normas sigue el principio universalmente conocido de que la norma especial se aplica de preferencia a la general, así como el principio de la subsidiariedad de la norma en aquellos aspectos no previstos en la norma especial, siempre que coexistan normas generales con la especial, pues en Estados como el Colombiano y el venezolano que todavía aún no tienen normatividad específica sobre protección de datos o Hábeas Data, siguen aplicándose las normas generales  (En el derecho administrativo colombiano, el C.C.A, el derecho de petición, recursos administrativos ordinarios y extraordinarios: revocatoria directa; procedimientos administrativos generales y especiales: urbanísticos, tributarios, disciplinarios, del consumidor, etc.,), cuando existan informaciones o datos de la persona concernida, de terceros o de la comunidad o colectividad  [75].

__________________________

 

(74) En el derecho venezolano, también cabe el derecho de acceso a la información colectiva, como se deduce de lo siguiente: “SC-TSJ, 01/09/03. Caso: Antonio José Varela. Exp: 02-2108 ” Sin embargo, cuando los registros no son del acceso del colectivo, sino que, en razón de su especialidad, guardan determinados tipos de información, entonces el interés para solicitar su acceso y consecuente modificación, actualización o destrucción, se reduce al ámbito del derecho subjetivo de la persona o representante, cuyos datos repercuten de manera directa”. Citada En: ROMERO CABRERA, Betzabeth. Entrevista en la Internet …Ob., ut supra cit.

(75) MARIN GARCIA, Gustavo J. Evolución de la protección… Ob., ut supra cit.

El Tercer grupo de derechos, es decir, aquellos derechos que surgen para toda persona, una vez ha conocido la información e incluso ha accedido a la misma, ha hecho uso de la misma por cualquier medio escrito o tradicional, electrónico o informático, y conoce las finalidades que le han dado, podrá solicitar, como lo sostiene Marín García [76]  “ante un tribunal la actualización, la rectificación o la  destrucción de la información en caso de que ésta fuese errónea o afectase  ilegítimamente sus derechos”, pues el titular de los datos o la información se ha enterado previamente que la éstos o aquella no es veraz, exacta, legal, posible, oportuna, etc.,

 

Para varios autores como el citado, es aquí donde se efectiviza el mecanismo de Hábeas Data jurisdiccional (si se nos permite el término, por oposición al Hábeas data administrativo que se ejercita para el acceso, conocimiento del uso y la finalidad de los datos o informaciones de la persona o de sus bienes), pues la persona concernida ante la evidencia de que las entidades del Estado o entidades o personas particulares, han recolectado, almacenado, registrado o administran bases, ficheros o bancos de datos manuales o escritas (archivos documentales tradicionales) o informáticos, electrónicos o telemáticos y éstos no resultan ajustados al ordenamiento jurídico vigente o no reúnen los requisitos de una información veraz, eficaz o pertinente, deciden acudir ante las autoridades jurisdiccionales que arbitre el derecho interno estatal o incluso el derecho internacional (v.gr. el caso Peruano y Venezolano) y mediante los mecanismos judiciales más idóneos: recurso, garantía o acción de amparo en Venezuela; o recurso o acción de Hábeas Data en Honduras y Panamá, o acción de tutela en el derecho público colombiano.

 

El artículo 28 de la Constitución Venezolana, estima que la autoridad jurisdiccional que conoce de la acción de amparo específico o de Hábeas Data, será “el tribunal competente…que determine la ley[77]. Más como todavía no existe una ley específica de protección de datos o de Hábeas Data, no se sabe cual será la amplitud o restricción que el legislador le dará al término “tribunal competente”.

 

La Ley Orgánica de Amparo sobre derechos y garantías constitucionales de Venezuela de

______________________

 

(76)      Ob., ut supra cit.

(77)      “De la competencia para conocer de la acción autónoma de Habeas Data  a) SC-TSJ, 14/03/01. Caso: Insaca C.A. Exp: 00-1797. “… cuando las leyes no han desarrollado su ejercicio y se requiere acudir a los tribunales de justicia, debido a la aplicación directa de dichas normas, es la jurisdicción constitucional, representada por esta Sala Constitucional, la que conocerá las controversias que surjan con motivo de las normas constitucionales aun no desarrolladas legislativamente, hasta que las leyes que regulan la jurisdicción constitucional, decidan lo contrario”. Citada En: ROMERO CABRERA, Betzabeth. Entrevista en la Internet … Ob.,ut supra cit.

 

27 de Septiembre de 1988, al reglamentar la competencia judicial del amparo genérico estima en el artículo 7º que serán competentes los “Tribunales de Primera Instancia que lo sean en la materia afín con la naturaleza del derecho o de la garantía constitucionales  violados o amenazados de violación, en la jurisdicción correspondiente al lugar donde ocurrieren el hecho, acto u omisión”.

 

Según el artículo 27 de la Constitución de 1999,”Toda persona tiene derecho a ser amparada por los tribunales en el goce y ejercicio de los derechos y garantías constitucionales, aun de aquellos inherentes a la persona que no figuren expresamente en esta Constitución o en los instrumentos internacionales sobre derechos humanos”.

 

Con lo cual siendo el habeas data un derecho y una garantía constitucional esta se efectiviza mediante la acción constitucional de amparo en los términos que ordena la Constitución y la ley orgánica que la desarrolle.

 

Por su parte, el inciso 2º del mentado artículo, sostiene que “El procedimiento de la acción de amparo constitucional será oral, público, breve, gratuito y no sujeto a formalidad, y la autoridad judicial competente tendrá potestad para restablecer inmediatamente la situación jurídica infringida o la situación que más se asemeje a ella“.

 

La acción de amparo específico de Hábeas Data [78], sirve para proteger diversos derechos constitucionales en el derecho, tales como  “la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación”, según se deduce de la lectura del artículo 60 de la Constitución Venezolana, y en forma más concreta cuanto el inciso 2º del mentado artículo sostiene: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos“. Este inciso segundo tiene origen, a no dudarlo, en el numeral 4º del artículo 18 de la Constitución Española de 1978, por cuanto la transcripción ad pedem litterae es exacta.

 

________________________

 

 

(78)      “El Habeas Data como un amparo especializado a) SPA-TSJ, 15/06/04. Caso: Elias Pernia vs Luis Tascón, Exp: 04-0338 “…el abogado Luis Pernía, actuando en representación de sus propios intereses, interpuso recurso de habeas data contra la página electrónica creada por el Diputado Luis Tascón, denominada “luistascon.com”, la cual contiene los datos personales de los ciudadanos que participaron en la jornada de recolección de firmas para la revocatoria… omisiss…Por lo tanto, al ser el recurso de habeas data una modalidad especial de la acción de amparo constitucional dirigido a proteger el derecho constitucional al honor y la reputación de las personas, y como quiera que la Sala Constitucional cuenta con la facultad y el deber de velar por la correcta interpretación y aplicación de las normas constitucionales…” Citada En: ROMERO CABRERA, Betzabeth. Entrevista en la Internet … Ob.,ut supra cit.

En base a este artículo y el artículo 28, constitucional debía edificarse la nueva norma de Protección de los datos de carácter particular en el derecho venezolano, sin perder de vista que es es función del Defensor del Pueblo venezolano, interponer la acción de habeas data como las de hábeas Corpus, amparo, inconstitucionalidad y demás recursos o acciones cuando fueren necesarios para cumplir sus atribuciones o funciones y cuando fuere procedente según la ley (artículo 281-3, constitucional).

 

  1. Colofón: Una Constitución transfronteriza para Latinoamérica

 

No es un sueño que pueda concretarse en pocos años, pensar que América Central y del Sur puedan tener una sola Constitución, un solo compendio normativo jurídico político que recoja los rasgos característicos que nos identifican  en lo social, lo cultural, lo étnica, en el floklor­­­­­­­­e­, en el idioma, la religión; así como también en los aspectos que nos diferencian, que son muy pocos.

 

En lo estrictamente jurídico, nuestras constituciones tienen instituciones jurídico-políticas, figuras jurídico-procesales y sustantivas, como el Hábeas Data; procedimientos constitucionales, como los generados por la indistintamente llamada acción de amparo, recurso de amparo o acción de tutela; o también, acciones de constitucionalidad, populares o de grupo, de cumplimiento, de repetición, de responsabilidad del Estado; entre muchas otras, que dan origen a procedimientos constitucionales desarrollados o reglamentados por el legislador estatal individual o colectivamente, a través de llamados “Códigos procesales constitucionales”; pero en todo caso, bajo unos mismos principios rectores, directrices procedimentales, normas fundamentales de sustento, autoridades jurisdiccionales generales o especiales, como la “jurisdicción constitucional” en el caso colombiano y con unas mínimas diferencias en la redacción de las normas constitucionales que instituyen la acción, el proceso, el procedimiento y las autoridades competentes. Diferencias que podrían eliminarse, tras la homologación (o transposición normativa, como la denominan entre los Estados europeos) normativa de textos legislativos de cada Estado, frente a la norma procedimental de orden constitucional tipo latinoamericano, en donde cada Estado sede parte de su soberanía interna para depositarla en un gran recipiente latinoamericano que es el tipo: donde deposita un parte mínima de su soberanía legislativa y toma a cambio una parte amplia homologada de normatividad latinoamericana, aplicada a cada Estado miembro de esa comunidad de Centro y Sur América.

 

En particular y sobre el tema tratado del Hábeas Data en algunos  países de Centro y Sur América, podemos identificar las siguientes similitudes y diferencias:

 

  1. a) Todas las Constituciones de Latinoamérica tienen regulado en forma más o menos amplia, la institución jurídica procesal y sustantiva denominada del Hábeas Data, sea en forma expresa o tácitamente;

 

  1. b) Algunas Constituciones de Latinoamérica, comenzaron el proceso de constitucionalización de la Institución del Hábeas Data en el final de la década de los años ochenta; otros, en su gran mayoría comenzaron a principios de la década de los años noventa; y otros tantos, muy pocos, a finales de la década de los noventa y principios del año 2000.

 

En términos relativos de tiempo, esto no significa ningún atraso con el surgimiento de instituciones jurídico-procesales y sustantivas parecidas del derecho europeo continental e incluso el derecho anglosajón (“Protection Data Act“), como son las acciones de protección de datos o informaciones personales,  con iguales propósitos y fines a los presentados por el Hábeas Data en Latinoamérica. En efecto, fue a partir de las leyes fundamentales alemanas, suizas y austriacas de la década de los setenta y de finales de la década de los setenta en las Constituciones Europeas continentales (especialmente la Portuguesa de 1976 y la Española de 1978), las que instituyeron la restricción o limitación de la informática, como nuevo fenómeno tecnológico que utilizaba también medios TIC, para la protección a los datos o informaciones personales y para evitar la probable vulneración de derechos fundamentales, tales como la intimidad, el honor y el buen nombre.

 

  1. c) Todas las Constituciones de Latinoamérica, instituyeron el Hábeas Data como garantía constitucional de otros derechos fundamentales, tales como el derecho a la Intimidad personal y familiar, el honor, la honra, el buen nombre, la imagen, el libre desarrollo de la personalidad y el derecho a la información; entre otros. Algunos Estados han desarrollado y regulado legalmente el instituto jurídico constitucional del Hábeas Data; otros cuantos han comenzado el proceso legislativo; y otros pocos, como Colombia, desde hace más de dos décadas, está en el proceso legislativo con proyectos de Ley Estatutaria de Hábeas Data, que no acaba de concluir por diversas razones, aunque las de peso están por los lados de la regulación a gusto de todos los sectores del dato financiero, principalmente bancario.

 

  1. d) La mayoría de las Constituciones latinoamericanas han institucionalizado el Hábeas Data como un recurso o acción de amparo específico; otros pocos, como un acción plena de Hábeas Data diferente al recurso o acción de amparo; y tan solo uno, como una acción de tutela específica, a través de la cual se garantiza el mismo Hábeas Data y otros derechos constitucionales, catalogados como fundamentales.

 

  1. e) Todas las Constituciones de Latinoamérica, arrogan la jurisdicción y competencia del Hábeas Data la jurisdicción ordinaria (diversas categorías de jueces individuales y colegiados: “Tribunales” y/o “Cortes” judiciales). A excepción de Colombia, que asigna competencia exclusiva a la “jurisdicción constitucional”, la cual esta conformada por las diversas categorías de jueces de la República, tanto de carácter individual como colectivo e incluso a los miembros de la Fiscalía General de la Nación y Magistrados del Consejo Superior de la Judicatura, sala administrativa como jurisdiccional disciplinaria, tanto Seccionales como Nacional.

 

  1. f) Todas las Constituciones latinoamericanas, sin excepción, proponen el procedimiento constitucional generado por el Hábeas Data, con mínimas ritualidades de forma y de tiempo, pues establecen que serán procesos “breves, sumarios y expeditos”. Algunas Constitucionales adicionan que serán procesos idóneos y gratuitos para que puedan ser utilizados por toda persona sin discriminación alguna.

 

  1. g) En todas las Constituciones de Latinoamérica se instituyó que el Hábeas Data por ser un derecho y una garantía constitucional de aplicación inmediata, podrá ser utilizado por “toda persona” que crea amenazado, desconocido o vulnerado sus derechos fundamentales a la intimidad, la información, el buen nombre, el honor; entre otros derechos. En el desarrollo legal de la norma, algunos Estados discuten si la institución jurídica constitucional puede ser empleada con esos propósitos tanto por personas físicas o naturales como por personas morales o jurídicas. El origen del planteamiento de discusión estriba en sí una persona jurídica puede hablar de protección de “derechos personalísimos“, es decir, sólo los predicables de la persona humana o física, tales como los prenombrados (intimidad, honor, etc.). Algún sector de la doctrina pensamos que no, otros por el contrario estiman que se puede hablar de intimidad de las instituciones públicas o privadas (que mejor sería llamarle: “Secreto industrial, comercial, financiero, etc.,”); o de honor, buen nombre también de las instituciones públicas o privadas. En fin, la discusión permanece abierta.

 

En el derecho continental europeo y también el derecho anglosajón, la discusión ha finalizado y por eso, como veremos ut infra,  las leyes de protección de datos personales están dirigidas inequívocamente a las personas físicas o naturales; es decir, que la institución homologa al Hábeas Data sólo es predicable para la defensa y protección de derechos fundamentales de la persona humana.

 

  1. h) La mayoría de las Constituciones de Latinoamérica estipulan que el Hábeas Data es un mecanismo jurídico constitucional que protege los datos o las informaciones de las personas que hayan sido recabadas o recolectadas por medios tecnológicos, informáticos o telemáticos (TIC) y dejan implícito que también pudieran haberlo sido, por medios mecánicos, escriturarios o documentales, o medios tradicionales de archivo documental; otros pocas Constituciones, no sólo constitucionalizan la etapa de la recogida de la información (por medios informáticos y manuales), sino que avanzan a constitucionalizar, las etapas o fases del proceso informático que para algunos identifica y caracteriza al Hábeas data, tales como la de almacenamiento y procesamiento propiamente dicho (que abarca el uso y finalidad de la información), la actualización y la rectificación de la información; y tan solo la Constitución colombiana, constitucionaliza, la fase o etapa de comunicación de los datos o informaciones personales, que algunos llaman “cesión”, “transmisión” y “circulación” de datos. Etapa, que hoy por hoy, es la que más produce quebrantamiento de derechos fundamentales y por la cual, los estados europeos y los de ámbito anglosajón también se oponen a los demás Estados para realizar  transferencia  o flujo de datos a Estados, que no tienen legislaciones homologadas a las que ellos manejan en la UE, ni tecnologías que utilizan los TIC, conforme a los actuales requerimientos de la informática, telemática o electrónica.

 

Sin embargo, algunos países latinoamericanos en sus desarrollos legislativos del Hábeas Data al legalizar todo el proceso informatizado de la información, cubren la deficiencia constitucional, tal como ha sucedido, por ejemplo, con Argentina en su nueva ley de protección de datos personales, o la ley de protección de datos y del Hábeas Data de Honduras.

 

  1. i) La evolución y desarrollo de la institución jurídico constitucional del Hábeas Data, tras su constitucionalización, en la mayoría de los Estados Latinoamericanos, ha sobrevenido no por acción del legislador ordinario, como sería apenas lógico en una etapa inicial, sino por acción y gestión jurisprudencial de los Tribunales y Cortes Constitucionales y en general por los jueces de cada República o Estado; y por su puesto por la oportuna y diligente acción investigativa de los tratadistas del derecho público, al hacer estudios locales, nacionales o derecho comparado de la institución del Hábeas Data.

 

Respecto de la labor jurisprudencial en Latinoamérica, devenida de la mano de la constitucionalización de los Tribunales Constitucionales, como órganos jurisdiccionales supremos de la guarda e integridad de la Constitución y creadores de la hermenéutica, argumentalística o interpretación aplicada del derecho, digamos que el Hábeas Data como institución constitucional evolucionado por la labor jurisprudencial de forma intensa, fructífera y profunda, tanto que algunos países ni quiera han visto necesario ni siquiera conveniente desarrollar legislativamente éste derecho o garantía constitucional.

 

La jurisprudencia de los Tribunales Constitucionales ha decantado la institución tanto sustantiva como procesalmente, en base; en otras razones,  a que aquél era uno de los derechos de aplicación inmediata y directa que probablemente no necesitaba legislación de desarrolla para ser exigido por “toda persona” ante las autoridades jurisdiccionales, a través de la acción de amparo  o de tutela en Colombia;  así como también para exigir su respeto por parte de todas las autoridades del Estado y de todas las personas públicas o privadas con función o servicio públicos, tal como ha sucedido en Colombia desde 1991 hasta la actualidad. El Hábeas Data es uno de los tantos derechos fundamentales que en el caso colombiano se puede afirmar es de evolución jurisprudencial, pese a ser un país con un derecho público eminentemente normativista, como lo hemos demostrado en varias obras jurídicas nuestras.

 

  1. j) En la mayoría de Estados de Latinoamérica, ha existido una especie de “vacancia legislativa”, entre la constitucionalización del Hábeas Data y la expedición de la norma desarrollo o reglamentaria. Tiempo de vacancia que supera el lustro o la década, se pueden deber a múltiples razones de índole jurídico político, estructura organizacional y funcional de los Estados en el ámbito financiero, económico, comercial o bancario, cultural y social; al régimen de Estado y de gobierno temporal, transitorio o democrático; o en fin, a las razones suministradas en el literal anterior.  Aunque estas razones  no son objeto del presente  estudio, sí podemos afirmar apriorísticamente  que en diferentes países las razones más visibles son las devenidas de sectores de las finanzas públicas y privadas y las de quienes consideran que una reglamentación del Hábeas Data que no limite, restrinja o incluso excluya la información reservada a la “seguridad del Estado”  (en su omni-comprensión”) y de las personas  y principal y exclusivamente del derecho a la intimidad (especialmente sobre los “datos sensibles” al núcleo de la intimidad), ni siquiera pudiera considerarse en el seno del parlamento o Congreso de la República.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Capítulo Segundo

 

  1. EL HABEAS EN LAS CONSTITUCIONES EUROPEAS

 

Tomaremos como prototipo a la Constituciones de España de 1978, la Constitución de  Portugal de 1976 y en la denominada Constitución Europea de 2004. Textos normativos supremos que regulan la limitación de la Informática para garantizar los derechos y libertades constitucionales en aquellos países y en el conjunto de Estados que conforman la “Unión Europea” con diferentes formas de gobierno y de Estado, pero con una normatividad homologada en los mecanismos administrativos y jurisdiccionales relativos a la “Protección de Datos personales de carácter particular“, tal como se conoce al conjunto de facultades o derechos componentes del Hábeas Data latinoamericano.

 

2.1       En la Constitución del Reino de  España

 

En la Constitución del Reino de España de Diciembre 28 de 1978 (CE), en el artículo 18-4, se estipula: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

 

El artículo 18-4 CE, se ha considerado el fundamento constitucional garantista del Estado Español, cuando se trata de derivar el cúmulo de derechos fundamentales que tienen que ser protegidos contra cualquier agresión efectiva o potencial que pueda ocasionarse tras “el uso de la informática“. Por ello, en forma explícita y terminante la Constitución de España, prevé que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos“. Y, en efecto, la norma que desarrolló legislativamente dicho predicamento quince años después abarcó el carácter eminentemente garantista del pleno de derechos constitucionales  previsto en la CE.

 

La L.O. 5/1992, Octubre 29, “Ley Orgánica de regulación del tratamiento automatizado de datos de carácter personal“,  también conocida como LORTAD, entró en vigor el 31 de Enero de 1993.  Esta ley rigió por espacio de siete (7) años, y aunque en su momento significó un gran avance en la reglamentación del artículo 18-4 de la CE, muy pronto sus contenidos quedaron cortos e incompletos en relación al vertiginoso avances de las nuevas tecnologías de la Información y la Comunicación (TIC), a las cada vez más sofisticadas formas de invasión o intrusiones del “poder de la informática” en la vida cotidiana, política, económica, social, cultural, científica y jurídica del Estado; así como frente a la homologación de normas relativas a los datos personales y la actualización de los medios TIC, expedidas por los organismos comunitarios legislativos de la Unión Europea (UE), para todos los Estados miembros. En este último sentido, las normas relativas a datos personales de España quedaban desuetas o vaciadas de contenido frente a las normas comunitarias. Por si fuera poco, la LORTAD en el derecho interno español, ya acusaba vejez prematura, continuas demandas ante el Tribunal Constitucional Español y no pocas contradicciones con otras normas relativas al Procedimiento Administrativo, al derecho de petición, a los recursos y vías previas al contencioso administrativo; entre otras [79].

 

La LORTAD, fue reformada por la Ley 15 de Diciembre 23 de 1999, que algunos  llamaron la “nueva LORTAD [80]. Esta ley conservó lo esencial y no discutible de la LORTAD y reformó lo que tanto se había cuestionado, tal como lo veremos a espacio ut infra  al tratar el Hábeas Data y los mecanismos de protección de datos personales en el derecho español. Sin embargo, en el presente aparte anotaremos algunas reformas significativas.

 

La LORTAD como la nueva Ley de Protección de Datos Personales de Española de 1999 o LPDPE, pese a regular el fenómeno informático, las etapas del procedimiento de informatización de los datos personales, así como relacionar los derechos-deberes y recursos empleados por toda persona en el transcurso de procedimiento informatizado, no

 

_____________________

 

 

(79)      RIASCOS GOMEZ, Libardo O. El derecho a la intimidad, la Visión Iusinformática del derecho y los delitos relativos a los datos personales. Tesis Doctoral, evaluada excelent cum laude, Universidad de Lleida, Lleida, 1997, p. 10 y s.

(80)       LOPEZ MARTINEZ, Juan. La protección de los datos y la información en poder de la Hacienda Pública. Profesor de Derecho financiero y tributario. Vía Internet, 2007.

es en estricto rigor jurídico una “Ley Española de informática“, como lo  sostiene   Fairen  Guillen [81], ni tampoco es una ley orgánica que regula en forma plena el tratamiento informatizado de datos personales de  titularidad pública y de titularidad privada, pues además de las excepciones numerus clausus o taxativas que traía la LORTAD de 1992, cuando expresamente manifestada que ésta no se aplicaba a: 1) Ficheros de titularidad pública; 2) Ficheros de titularidad particular; 3) Ficheros de información tecnológica o comercial; 4) Ficheros de informática  jurídica  accesibles  al  público  en la medida en que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales; y, 5) A los ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas en cuanto los datos se refieran a sus asociados o miembros y ex miembros.

 

Pese a que el artículo 2º de la LPDPE, precisa con mayor acierto el campo de aplicación a los datos de carácter privado y público, siguen rigiendo las limitaciones y excepciones al procesamiento informatizado de los datos de carácter privado y público. En efecto, el régimen de protección de los datos de carácter personal que se establece en la presente La LPDPE, no será de aplicación: (i) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; (ii) A los ficheros sometidos a la normativa sobre protección de materias clasificadas; (iii) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

 

Por su parte, el artículo 2-3 de La LPDPE, mantiene algunas excepciones  y crea otras al manifestar que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: (i) Los ficheros regulados por la legislación de régimen electoral; (ii) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública; (iii) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; (iv) Los derivados del Registro Civil y del Registro Central de penados y rebeldes; (v) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

 

La LPDPE es una ley que persigue inicialmente la protección de la trilogía de derechos previstos en el art. 18.4 CE: el honor, la intimidad y la propia imagen “y el pleno ejercicio de

____________________

(81)       FAIREN GUILLEN, Víctor. El Hábeas Data y su protección actual surgida en la Ley española de Informática del 29 de Octubre (Interdictos, Hábeas Corpus) –Primera Parte— En: Revista de Derecho procesal. R.D.P. nº 3º, Madrid, 1996.

sus derechos“, pero el artículo 1º enfatiza en que la protección otorgada por la Ley es al  “tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas“, descartando obviamente la posibilidad de que se proteja los derechos de las personas jurídicas o morales, como sí es posible en legislaciones latinoamericanas.

 

Sin embargo, de esa trilogía de derechos expresamente protegidos en la CE, como en la LPDPE, en el contexto de la ley se hace se enfatiza en la protección del derecho a la intimidad, por considerarlo el más vulnerable dentro del tratamiento informatizado de datos, a pesar de que en la praxis de la actual sociedad informatizada, los nuevos fenómenos tecnológicos TIC y la informática, tienen como característica relevante la alta porosidad y penetrabilidad en todos los sectores y derechos del ser humano. No en vano las leyes protectoras de los datos personales latinoamericanas relacionan como derechos protegidos en forma expresa, además de la intimidad, el honor y la imagen, la voz, el buen nombre, la buena reputación, la información y el derecho de petición (estos dos últimos implícitamente).

 

Sin embargo este énfasis de la LPDPE es recogido de la LORTAD, la cual a su vez, constituía una clara  herencia temática, las anteriores leyes protectoras de datos desde las estatales de las década de los 70´s y 80´s (v.gr., las Leyes protectoras de datos alemanas y suizas, que fueron las pioneras en estas materias);  así como las normas internacionales (La Resolución de la OCDE de 1980) y las comunitarias europeas (Convenio 108/1981),  todas las cuales concibieron sus leyes garantistas teniendo como núcleo esencial el derecho a la intimidad, llamándolo indistintamente “The privacy“, “vida privada“, “privacidad“, etc.  Más aún, las nuevas leyes comunitarias europeas protectoras de los titulares de datos personales, como veremos, en forma expresa dirigen el ámbito garantísta en forma casi exclusiva y excluyente hacia el derecho de la intimidad (Directiva 95/46/CE, Directiva 97/66/CE).

 

En el ámbito de la LPDPE, la protección enfatizada del derecho a la intimidad (o de la “privacidad”, según Heredero Higueras y González Navarro, aún cuando sólo en la Exposición de Motivos de la LORTAD y no en el texto de la norma jurídica se  hacía  la  distinción  entre  la “privacidad” y la Intimidad” [82]. Distinción y alcances conceptuales que

_____________________

 

(82)       “Nótese que se habla de la privacidad y no de la intimidad. Aquella es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona –el domicilio donde realiza su vida cotidiana, las comunicaciones en las que se expresa sus sentimientos, por ejemplo– , la privacidad constituye un conjunto, más amplio, más global, de facetas de la personalidad que aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado”. E.M. LORTAD de 1992. AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

defiende González Navarro [83]) se plasma en el contexto de la norma jurídica,  y  sobre todo en la circunstancia de que el derecho a la intimidad es la principal  fuente de inspiración del texto garantista de los demás derechos y libertades fundamentales que persigue proteger la LPDPE en todo tratamiento informatizado de datos, tal como lo revela un sector de la doctrina ibérica (v.gr. Orti Vallejo, Antonio; Fairen Guillen, Víctor; Sardina Ventonsa, Francisco y López Díaz, Elvira).

 

Con base en los antecedentes legislativos europeos y comunitarios (básicamente de la Recomendación de la OCDE de 1980 y el Convenio Europeo de 1981), el Estado Español  en 1992, introdujo en su ordenamiento jurídico, su primera ley sobre protección de datos (LORTAD) que pretendía homogeneizar la legislación interna con la comunitaria sobre la materia. Sin embargo no se consiguió avocar la regulación plena en el tratamiento (informatizado o no) de los datos de carácter personal de titularidad pública o de titularidad privada de las personas físicas e incluso se sostuvo en aquella época que España había expedido la LORTAD con cierto retraso frente a la legislación estatal europea existente sobre la materia y sobre todo, con las adecuaciones no suficientes y acordes con los avances tecnológicos del fenómeno TIC e informática (como lo demuestran González Navarro [84]  y  Castells  Arteche [85]).

 

Retraso morigerado, según González Navarro  porque desde 1984, se conocía “un conjunto de normas heterogéneas que no siempre distinguían entre ficheros  automatizados  y  ficheros  convencionales” y porque en nuestro criterio, se aplicaba teóricamente  la  Ley Orgánica núm. 1 de 5 de Mayo de 1982, relativa a la protección civil de los derechos del honor, la intimidad y el propia imagen, como norma jurídica subsidiaria en todos los asuntos relacionados con las intromisiones ilegítimas derivadas del uso de la informática (Disposición Primera Transitoria).

 

La LORTAD de 1992 al igual que lo hiciera en su momento la LPDPE de 1999 y siguiendo para ello la técnica legislativa heredada de las leyes de protección de datos alemanas y suizas, introdujo en el contenido normativo de la ley, una serie de definiciones de términos utilizados  en el tratamiento informatizado o no de datos personales, a efectos de hacer el

 

__________________

 

 

(83)       GONZALEZ NAVARRO, Francisco. Comentarios a la ley de Régimen Jurídico de las administraciones públicas y procedimiento administrativo común (Ley30/92). Ed. Civitas S.A., Madrid, 1997, p. 697-698

(84)       Ob.,ut supra cit.

(85)       CASTELLS ARTECHE, José M. La Intimidad informática.  En: Estudios sobre la Constitución Española en homenaje al profesor Eduardo García de Enterría. Ed. Civitas, Tomo II, Madrid, 1991. P. 12

texto de la ley más inteligible y comprensivos los términos técnico-jurídicos nacidos de los medios TIC y la informática y aplicables en esta sociedad iuscibernética por toda persona titular de dato o información personal, así como por  los quienes recogen, almacenan, registran, administran o comunican por diferentes medios manuales o informáticos e inclusive por los funcionarios administrativos y judiciales que en un futuro próximo deberán conocer sobre las vulneraciones o amenazas a los derechos constitucionales a través del ilegal o mal o indebido uso de la informática.

 

La LPDPE, además de las definiciones a los  término que traía la LORTAD en el artículo 3-a a, f,  relativos a los Datos de carácter personal, al Fichero automatizado, al Tratamiento de datos, al Responsable del fichero, al Afectado o “interesado”, y al  Procedimiento de disociación, hizo énfasis en los términos: (i) Encargado del tratamiento,  (ii) Consentimiento del interesado;  (iii) Cesión o comunicación de datos; y (iv) Fuentes accesibles al público.

 

Especial dedicación normativa le otorga la LPDPE a los principios que rigen  a la protección de datos personales, en los artículos 4 a 12 y entre los que se hallan: (i) Calidad de los datos, (ii) Derecho de información en la recogida de datos, (iii) el consentimiento del afectado, (iv) datos especialmente protegidos, (v) datos relativos a la salud, (vi) seguridad de los datos, (vii) el deber de secreto, (viii) comunicación de datos; y,  (ix) acceso a los datos por cuenta de terceros. El Legislador ibérico, hace énfasis en el principio rector de la protección de datos: el consentimiento del afectado o interesado, el cual en todo tratamiento de datos deberá ser requerido a aquél, salvo que la ley disponga otra cosa.

 

Como no lo hiciera tan efectivamente la LORTAD, la LPDPE, compendia explicativamente los derechos que tienen las diferentes personas involucradas en el tratamiento o procesamiento de datos personales. En efecto, así se relacionan los derechos: (i) impugnación de valoraciones, (ii) consulta al Registro General de Protección de datos; (iii) Derecho de acceso; (iv) Derecho de rectificación y cancelación; (iv) procedimiento de oposición, acceso, rectificación y cancelación; (v) tutela de los derechos; (vi) derecho a indemnización.

 

2.2.      En la Constitución de Portugal

 

La Constitución Portuguesa de 1976, en El Titulo II, Sobre los “Dereitos, Libertades e garantias“, especifica en el Capítulo Primero, la “Utilizaçâo da informática” (artículo 35). Por la ubicación formal y sistemática del citado artículo se deduce que el derecho de habeas data como la limitación al uso de la informática se aplica al conjunto de derechos y libertades, considerados como fundamentales, entre los que están el derecho a la intimidad y el de información.  El mentado artículo constaba de tres numerales que fueron reformados por la Ley Constitucional Núm. 1/1982, aunque  el espíritu  y gran parte del texto de aquella se mantuvo.

 

La traducción literal y jurídica del artículo [86], expresa:

 

35-1. Todos los ciudadanos tendrán derecho a tener conocimiento de lo que consta en forma de registros informáticos que les conciernen y de la finalidad a la que se destinan esas informaciones (datos o registros), y podrá exigir, llegado el  caso, la rectificación de los datos, así como su actualización.

 

35-2. Esta prohibido el acceso de terceros a los ficheros (o banco de datos) con datos personales o a la respectiva interconexión de aquéllos, a través de  los flujos transfronterizos, salvo en las casos exceptuados en la ley (Inciso nuevo).

 

35.3 La informática no podrá ser utilizada para el tratamiento de datos referentes a las convicciones filosóficas o políticas, a la filiación partidista o sindical, a la fe religiosa o la vida privada, salvo cuando se trata de procesamiento de datos no identificables individualmente para fines estadísticos.

 

35-4. La ley definirá el concepto de datos personales para efectos de registro informático (nuevo).

 

35-5. Se prohíbe la atribución de un número nacional único a los ciudadanos”.

 

Muy a pesar de que la Constitución difiere a la ley, el concepto de datos personales, para los efectos del registro informático, según la reforma constitucional de 1982, el artículo 35 desde su primigenia expedición ya suministra las bases para su conceptualización. En efecto, se entiende entonces que los datos personales procesados por medios, técnicas y procedimientos  electrónicos o informáticos, concernientes a una persona natural o física, son objeto de recolección, almacenamiento, procesamiento, utilización, rectificación, transmisión o teletransmisión nacional o transfronteriza, siempre que no este prohibido o se trate de datos personales referidos a la convicción política, filosófica, a la filiación política y sindical, a la fe religiosa o a la vida privada, salvo que dichos datos no hayan sido someti-

 

___________________

 

 

(86)      Texto Constitución Completo, en: AA.VV. Constituçao Novo Texto. Coimbra editora, Ediçao organizado JJ. Gomes Conotilho o vital M., 1982

dos a proceso de identificación o individualización, vale decir, hayan sido socializados para efectos estadísticos.

 

Se deduce también de la norma constitucional que existen datos personales generales de libre tratamiento y procesamiento informatizado y,  otros datos personales sensibles atinentes a la persona humana que sólo por excepción pueden ser sometidos a tratamiento informatizado por medios y técnicas electrónicas e informáticas, desde su recolección hasta su tele-transmisión. En unos y otros, todo ciudadano tienen derecho a conocer los datos personales informatizados o “registros informáticos” que le conciernen, pero se prohíbe a  terceros el libre e incontrolado acceso a los bancos de datos personales (o “ficheros”), así como su interconexión o tele-transmisión nacional o internacional  a través de flujos transfronterizos.

 

Finalmente, constitucionalmente se prohíbe la asignación de un número nacional único a los ciudadanos, a los efectos del tratamiento informatizado que pueda brindársele a esta clase de datos personales sensibles o esenciales de la persona humana.

 

La legislación de protección de datos personales en el derecho público portugués ha sido muy fructífera desde la regulación del fenómeno ius tecnológico de la informática y su impacto en la sociedad actual y en el pleno de derechos y libertades constitucionales.

 

La ley actualmente vigente sobre protección de datos personales es la Ley nº  67 de 1998, de 26 de Octubre, la “Lei da Protecção de Dados Pessoais” [87], ley que se expidió a fin de homologar la legislación europea de protección de datos de carácter personal y el respeto por el tratamiento de datos personales y la garantía de la libre circulación de los mismos (Directiva Comunitaria nº 95/46/CE del Parlamento Europeo y del Consejo de Octubre 24 de 1995).

 

La estructura, objetivos, ámbito de aplicación, principios, derechos y deberes de los titulares de datos y los responsables de la recolección, almacenamiento, registro, y comunicación de los datos personales, tanto de los bancos o ficheros de datos públicos como privados, siguen los postulados normativos establecidos en el Convenido de Estrasburgo de 1980, el texto normativo de la OCDE y las Directivas del Parlamento y Co-

 

_______________________

 

 

(87)       Transpõe para a ordem jurídica portuguesa a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Texto completo de la norma En: http://www.informática-juridica.com/legislación/

misión Europea (95/46/CE, 97/66/CE, entre otras). En cuanto a la entidad homóloga a la Agencia de Protección de datos de España, en el derecho portugués existe la “COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS” –CNPD–, la cual se ocupa, entre otras funciones, en controlar y fiscalizar el cumplimiento de las disposiciones legales y reglamentarias destinadas a la protección de datos personales, respetando en forma estricta los derechos del hombre y las libertades y garantías consagradas en la Constitución y la ley

 

La CNPD deberá ser consultada sobre cualquier disposición legal, así como sobre la preparación de  cualquier instrumentos jurídico dirigido a las instituciones comunitarias o internacionales que tengan relación con el tratamiento de datos personales.

 

La CNP, dispones de los siguientes poderes: (i) De investigación y requerimiento, pudiendo incluso acceder a los datos objeto de tratamiento y de recolectar todas las informaciones necesarias en el desempeño de sus funciones de control; (ii) De autoridad competente para ordenar el bloqueo, cancelación o destrucción de los datos, así como de prohibir, temporal o definitivamente el tratamiento de datos personales, cuando estén incluidos en redes abiertas de transmisión de datos, a partir de servidores situados en territorio portugués; (iii) De emitir conceptos previos al tratamiento de datos personales, asegurándose que sean publicados; (iv) En caso de reiterado incumplimiento de las disposiciones legales en materia de datos personales, la CNPD, podrá advertir o censurar públicamente al responsable del tratamiento, así como inquirirlo de acuerdo a las correspondientes competencias de la Asamblea de la República, del Gobierno o de otros órganos o autoridades; (v) La CNPD, está legitimada para intervenir en los procesos judiciales en caso de violación de las disposiciones de la ley de protección de datos personales y deberá denunciar por medio del Ministerio Público las infracciones penales de que tenga conocimiento, en ejercicio de sus funciones o por causa de ellas, así como practicar las medidas cautelares necesarias y urgentes para asegurar los medios de prueba relativas a dichas infracciones; y, (vi) la CNPD, estará representada judicialmente por el Ministerio Público, y estará exenta de costas en los procesos que intervenga.

 

 

2.3.      EN LA CONSTITUCION EUROPEA DE 2004

 

En estricto rigor jurídico, no existía para 1980, una Constitución Europea como tal, muy a pesar de que europeístas como el profesor alemán de la Universidad de MÜSTER, Martin Seidel, sienta las bases teóricas para ver una Europa con Auna sola Constitución@, que estipule un minimum de garantías sociales, individuales y multiactivas de ese gran grupo humano identificados en varios aspectos, tales como los heredoculturales, idiomáticos, de folkore, pues hoy por hoy, ya hay consenso en aspectos socio-económicos, jurídicos, legislativos, de justicia comunitaria  e incluso en planes de desarrollo científico y tecnológico en lo que se conocía como la Comunidad Económica Europea (CE), nacida de la segunda postguerra mundial [88] y que luego pasó a llamarse la AUnión Europea@ (UE).

 

Sin embargo, para el año 2004 ese sueño de una Constitución para Europa, comenzó a ser realidad, pues los tratados de la antigua CE y los de la actual UE, aceptados la mayoría de estados miembros, fundadores, adherentes e invitados a la adhesión europeísta en estos últimos tiempos, empezaron a tener entronques normativos positivos y homologaciones también normativas entre los ordenamientos jurídicos internos de los Estados y dichos tratados, conjuntamente con las disposiciones normativas comunitarias (Directivas y recomendaciones, principalmente). De esa amalgama de normas nativas, internacionales y comunitarias, surgieron con el paso de los años y la convivencia pacífica de los Estados de la UE en medio de un ambiente propicio económico, social, cultural, político y de diversidad en la unidad de carácter idiomática, religiosa, étnica, filosófica, etc., una especie de nueva “panguea” compuesta por Estados que unían factores sociales, políticos y jurídicos y de la cual surgía una Constitución de Europa para los europeos.

 

La Constitución de Europa de 2004 [89], incluye una “carta de derechos fundamentales y la clara afirmación de los valores y objetivos de la Unión y de los principios básicos que regulan la Unión y sus Estados miembros nos permiten llamar constitución a este texto básico: ´nuestra Constitución´. En ella, se lleva a cabo un claro reparto de competencias y una simplificación de los instrumentos y de los procedimientos. Por primera vez una ley europea será digna de ese nombre”.

 

“Ahora bien, jurídicamente la Constitución Europea seguirá siendo un tratado de modo que no entrará en vigor hasta que no sea ratificada por todos los Estados miembros. Ello supone que en varios de nuestros Estados se convocará a una consulta popular. De todos modos, cualquier posterior modificación también exigirá un acuerdo unánime de los Estados Miembros y, por lo general, su ratificación por todos y cada uno de ellos…”

 

Con base en estas consideraciones, a los efectos de esta investigación consideramos, que

_______________________

 

(88)      Vid. RIASCOS GOMEZ, Libardo O. Los denominados recursos ante los Tribunales de Justicia de de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto, 1995, pág. iii.

(89)      Se advierte en la dirección electrónica que este no es un documento oficial y que solo es ofrecido a título informativo por los servicios de la Comisión Europea. En: http://europa.eu/constitution/

el AConvenio de Estrasburgo@ o AConvenio de Europa@, acordado por el conjunto de Estados europeos de la UE, en Enero 28 de 1981, relativo a la protección de las personas en relación con el tratamiento automatizado de datos de carácter personal, constituye junto a las Recomendaciones del Consejo de Cooperación y Desarrollo Económico (OCDE, creado en 1948, como organización de cooperación preferente económica entre los Estados Europeos, EE.UU., Canadá, Japón, Finlandia, Australia y Nueva Zelandia) de Septiembre de 1980, por la cual se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales; así como las Directivas 95/46/CE y 97/66/CE, del Parlamento y Consejo Europeo, relativos  al tratamiento y circulación de datos personales, la transmisión electrónica o telemática de datos y la protección al derecho a la intimidad, conforman, lo que bien podríamos llamar la Constitución Europea relativa a los datos personales procesados por medios, técnicas y procedimientos informatizados, electrónicos o telemáticos.

 

2.3.1.   Directrices de la Organización para la Cooperación y Desarrollo Económico (OCDE), sobre los Datos de carácter personal.

 

Entre las directrices relativas a los datos de carácter personal informatizados, propuso las atinentes a las siguientes definiciones básicas:

 

Los Datos de carácter personal, o simplemente datos personales, se considera cualquier información relativa a una persona física  identificada  o identificable –o también interesado. Las directivas se aplicarán tanto a los datos personales en el sector público como en el sector privado, siempre que acarrearen un peligro para la intimidad y las Libertades individuales, a causa de la manera en que fueren elaborados o por razón de su naturaleza o del contexto en que fueren usados. En esta aplicación deberá observarse: a) las  medidas de protección a las diversas clases de datos tanto en la obtención, almacenamiento, elaboración o difusión. b) que no se excluyen ni siquiera datos de carácter personal que de manera manifiesta no ofrecieren riesgo alguno para la intimidad y las libertades individuales [90], y c) que no se limitará la aplicación de las directrices a la

______________________

 

(90)Los problemas prioritario que detectaron las comisiones y subcomisiones de expertos se refieren principalmente al derecho a la intimidad; la informática, la tecnología (de ordenadores, redes de comunicación), las telecomunicaciones, el derecho a la información y el de Ahabeas data@, aunque en el texto de la Recomendación y las motivaciones de la misma., se hace mención genérica al derecho de acceso a la información, a conocer, actualizar, cancelar o modificar los datos de carácter personal por el titular o interesado; el Atratamiento automático de la información. En particular se refieren a la intimidad en un concepto más amplio que el tradicional derecho de  Asólo dejar a solas@ — el AThe Right to Privacy@ anglosajón–, y algo que se convertirá en la cantinela de proposición de toda la Recomendación, al decir:  Acon la expresión intimidad y libertades individuales constituye el aspecto más controvertido@ de todos cuantos se tratan en la Recomendación de la OCDE de 1980.

 

Aelaboración automática@ de datos personales (R.3).

 

Los flujos internacionales de datos de carácter personal, se consideran a   los movimientos de datos de carácter personal a través de las fronteras nacionales (R.1-c).

 

Aunque hace referencia a los flujos internacionales, las directrices no tienen en cuenta problemas hacia el interior de los Estados Federales. Los movimientos de datos tendrán lugar a menudo mediante la transmisión electrónica, pero también  pueden  servirse de otros medios de transmisión, así como por vía satélite.

 

2.3.2.   El Convenio de Estrasburgo o Convenio europeo de 1981, sobre los Datos personales informatizados.

 

El Convenio Europeo de 1981, regulador de los Datos Personales informatizados, retomando las directrices plasmadas en las Recomendaciones de la OCDE, estipuló una serie de definiciones básicas del procedimiento informatizado y/o manual de datos de carácter personal.

 

Una armonización legislativa internacional en los Estados Europeos sobre la protección de los datos personales sometidos a tratamiento informatizado por medios idóneos, constituía la aspiración capital del Convenio 108 del Consejo de Europa de 28 de Enero de 1981. Esto es lo que se pretendió con el Convenio de Estrasburgo, y en efecto se logró. El Convenio Europeo de 1981, como también se le conoce, relativo a la protección de personas en relación con el tratamiento automatizado de datos de carácter personal, fue ratificado por España el 27 de Enero de 1984, con lo cual a partir de allí perteneció a los Estados con leyes de protección de datos de la segunda generación. Este texto, aparte de constituir norma jurídica de derecho interno en España, por el ingreso al ordenamiento jurídico (art.96.1 CE) y ser un eficaz instrumento de interpretación de los derechos humanos, en lo referente al Auso de la informática@ (STC 254/1993, de 20 de Julio), sirvió de modelo normativo (en forma y contenido no muy fiel, como veremos) a la  Ley Orgánica de regulación del tratamiento automatizado de datos de carácter personal española —LORTAD: L.O.5/1992, Oct. 29 [91]; y por su puesto, años después, fue el basamento de la Ley 15 de 1999 o Ley de Protección de datos personales de España vigente.

_______________________

 

(91)      Las infidelidades de la LORTAD, fueron causa de recursos de inconstitucionalidad ante el Tribunal Constitucional Español. Esta inspiración normativa del contenido del Convenio de 1980 seguido por la  LORTAD, se destaca por la doctrina ibérica. Vid.  ORTI VALLEJO. Antonio. Derecho a la Intimidad e Informática. Ed. Comares, Granada (Esp.), 1984, p. 17.

En el Preámbulo del  Convenio de Estrasburgo, se establecen las líneas directrices y programáticas para todos los Estados Miembros del Consejo de Europa, así como las posturas jurídicas a observar por los dichos Estados, respecto a la protección de los derechos y libertades fundamentales, en general, y al derecho a la intimidad (aunque conceptualmente se refiera  a Ala vida privada@), en especial. Esta particularidad ha hecho que la protección en el tratamiento informatizado de datos personales sea inmediatamente identificada en su vulnerabilidad con el derecho a la intimidad, tal como lo hicieran otras normas comunitarias y estatales de protección de datos. Así mismo se confirmó varios postulados y principios previstos en la Recomendación de la OCDE de 1980, pero especialmente sobre la Libre circulación de datos, la libertad de información y la conciliación y respeto mutuo de derechos y libertades fundamentales.

 

Muy a pesar de que el preámbulo en todo cuerpo normativo tiene efectos materiales y jurídicos vinculantes sobre el contexto o articulado, el Convenio prefirió pasar de reiterativo y volvió a plasmar estas directrices en forma resumida en el artículo primero, confirmando con ello la protección en el tratamiento informatizado de datos personales de todos los derechos,  libertades públicas e intereses legítimos, no única y  exclusivamente el derecho a la intimidad.

 

El Convenio definió los siguientes términos nucleares en todo tratamiento informatizado de los datos: Datos personales, persona identificable, interesado, Afichero automatizado@, Atratamiento automatizado@ y Aautoridad controladora@, entre otros.

 

Los datos de carácter personal (o datos personales), se consideran cualquier información relativa a una persona física identificada o identificable (“persona concernida”, como insiste el Convenio).

 

Se deduce de esta definición, que el concepto de persona concernida, a los efectos de determinar de identificación dentro de un procedimiento informatizado de datos, no solamente abarca los  rasgos de identificación de la persona de carácter  jurídico (como los registros de nacimiento, médico, etc., documento de identificación personal v.gr., Documento Nacional de Identidad DNI en España o Documento de Identidad Nacional DIN o Cédula de ciudadanía en Colombia, Pasaportes, etc.), sino también de carácter físico interno v.gr.,  exámenes de  sanguíneos, de líquidos humanos diferentes a la sangre (semen, orina, etc.), exámenes morfológicos (color de piel, facial, dentales, ópticos, de estatura, etc.); o de carácter físico externo, con fotografías y  huellas humanas y/o tecnológicas (códigos, password o firmas digitalizadas). Estas huellas, se consideran como rasgos diferenciadores de una persona humana de carácter morfológico o tecnológico  con incidencia jurídica.

 

Esta identificación del ser humano o de la Apersona concernida@ es la que a  la luz del Convenio constituye el núcleo central del concepto de datos de carácter personal, muy a pesar de que se sostiene en la E.M., del Convenio, que Apersona identificable@, es aquella  Apersona que puede fácilmente ser identificada@, sin necesidad de Aidentificación de personas por métodos complejos@ [92]. Quizá en aquella época en que surgió la norma europea, tal proposición pudiera ser válida parcialmente, pero hoy no, pues dicha identificabilidad de las personas, antes y ahora debe incluir métodos y procedimientos científico-técnicos idóneos, máxime si se refiere al tratamiento informatizado de datos personales –con o sin el consentimiento del titular–, que relacionan datos personales contenidos en documentos jurídicos, registros de estado civil, médicos, judiciales, económicos o financieros, etc, en todos los cuales para una debida identificación de la persona se debe emplear medios idóneos de tipo técnico-científicos irrefutables previos al asiento o registro informático o concomitante con éste.

 

Hoy, el ser humano tiene un derecho a la identificación sico-física, como persona humana dotada de cuerpo, mente e inteligencia, válido o validable en todo ámbito social, cultural, político, económico, y sobre todo jurídico o iusinformático. Por lo  tanto, no se puede desdeñar ningún método científico-técnico para la plena identificación en todo procedimiento que tenga incidencia en el pleno ejercicio de los derechos y libertades fundamentales de una persona. El Convenio recoge este parecer cuando sostiene, en la Motivación Explicativa, que su objetivo prioritario es  Areforzar la protección de datos, es decir, la protección jurídica de los individuos con relación al tratamiento automatizado de los datos de carácter personal que les conciernen@.

 

El concepto de persona concernida también se extiende al de persona Ainteresada@, que el Convenio utiliza en varios artículos. Así, interesado, Aexpresa la idea según la cual toda persona tiene un derecho subjetivo sobre la información relativa a sí misma, aún cuando tal información  haya  sido reunida  por  otras  personas  (cfr. la expresión inglesa data subjetc) [93].

 

________________________

 

(92)      Memoria Explicativa (M.E. 28)  del Convenio 108 de 1981. Compilados por HEREDERO HIGUERAS, Manuel. Legislación informática. Ed. Tecnos, Madrid, 1994, p. 570

(93)       Ibídem., pág. 570.

 

El  Afichero automatizado@ o bancos de datos.  Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado. Aunque en la E.M., del Convenio eufemísticamente se dice que se prefiere el nombre de fichero al de Banco de datos, porque esta expresión se utiliza Ahoy en un sentido más especializado: el de un fondo común de datos accesibles a varios usuarios@ [94]. Sin embargo, la diferencia hoy  por hoy es simplemente terminológica y de origen idiomático (Banco de datos término anglosajón Adatabase@ o, Fichero informatizado del término francés AFichiers@).

 

Los Estados Miembros del Consejo de Europa eran conscientes de que día a día crecían por la irrupción de la tecnología TIC y la informática, maneras y formatos de recolectar y almacenar información de todo tipo (incluida las denominadas Apersonales@) con medios informáticos, electrónicos o telemáticos, y que se materializaban en los llamados ficheros o bancos de datos, por regla general. Eran también, conscientes de que los diversos Estados tenían en sus sistemas jurídicos regulaciones sobre el derecho a la intimidad de las personas, la responsabilidad civil, el secreto o la confidencialidad de ciertas informaciones sensibles, etc. Sin embargo, se echaban de menos unas reglas generales sobre el registro y la utilización de informaciones personales y  en Aespecial, sobre el problema de como facilitar a los individuos el ejercicio de un control sobre informaciones que, afectándoles a ellos, son colectadas y utilizadas por otros@. En tal virtud, se decidió concretar además de el concepto de datos de carácter personal, qué debe entenderse por fichero o banco de datos para proteger los derechos y libertades fundamentales de la persona y facilitar el autocontrol de los mismos por parte de la persona concernida.

 

El concepto de fichero o banco de datos informatizados, comprende:  Ano solamente ficheros consistentes en conjuntos compactos de datos, sino a si mismo conjuntos de datos dispersos geográficamente y reunidos mediante un sistema automatizado para su tratamiento@.

 

La definición de fichero Aautomatizado@ para diferenciarlo del fichero o banco de datos mecánico o manual, resulta reiterativo cuando menos desde el punto de vista terminológico, cuando  al final sostiene que ese conjunto de informaciones deben estar sometidas a un tratamiento igualmente  Aautomatizado@ ( que  mejor  sería  decir  informa-

 

_______________________________

 

 

(94)      El M.E. núm. 30 ab initio, sostiene que la Aexpresión ´fichero automatizado´ ha sustituido a la de ´banco de datos electrónico´ utilizada anteriormente en Resoluciones (73)22 y (74)29 y en algunas leyes nacionales.  Por ello, en el transcurso de la investigación utilizaremos indistintamente fichero o banco de datos para  referirnos al mismo concepto.

 

tizado[95]). Sin embargo,  esta observación  es  de  menor entidad, frente a la significancia de la inclusión de un término imprescindible en el tratamiento  lógico  de entrada (E/) y salida (/S) de información por medios informáticos, como lo es el de fichero o banco de datos informatizados. Esta aclaración delimita a su vez, el ámbito de aplicación del Convenio, al tratamiento informatizado de los datos o  información de carácter personal, a diferencia de la Recomendación de la OCDE de 1980, que abarcaba incluso el tratamiento no informatizado de datos personales, aunque la definición siguiente desmienta tal diferenciación, al menos en toda su integridad. En efecto, por “tratamiento automatizado”,  se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión (art. 2, c). Este tratamiento de datos se extiende a los datos de carácter personal en los sectores público y privado (art. 3-1, del Convenio) [96].

 

 

2.3.3.   Las Directivas 95/46/CE y 97/66/CE, sobre Datos de carácter personal informatizados.

 

 

La Directiva 95/46/CE, en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a  la  libre  circulación  de  estos  datos, contiene una estructura normativa sui generis muy propia  de  las  normas  comunitarias  europeas,

 

__________________________

 

 

 

(95)      Preferimos decir Ainformatizado@, porque entre otras razones que se dan a lo largo de la investigación, existen  estrechos vínculos entre la información obtenida (cualquiera sea esta, y más si es de tipo personal) con Ala informática documental@, según los términos de LOPEZ MUÑIZ-GOÑI, M. (En: Informática Jurídica Documental) que utiliza métodos y procedimientos informatizados en el tratamiento lógico, sistemático y analítico de la información que ésta proporciona y no solamente un tratamiento robótico o Aautomático@ de la información, tal como lo hacen los cajeros electrónicos, sistemas electrónicos de detección de personas o cosas, etc. Es un tratamiento logicial con medios informáticos, electrónicos o telemáticos y no simplemente cibernético o robótico  aunque éste sea la base del mismo.

(96)      El Convenio se aplica al sector público y privado. ASi bien es cierto que la mayor parte de la circulación internacional de datos tiene lugar dentro del marco del sector privado, el convenio reviste, no obstante, gran importancia para el sector público y ello por dos razones: en primer lugar, el art. 3 impone a los Estados miembros la obligación de aplicar los principios de la protección de datos aun en el caso del tratamiento de ficheros públicos –que es el supuesto normal– totalmente dentro de sus fronteras nacionales. En segundo lugar, el convenio ofrece asistencia a los interesados que deseen ejercer su derecho a ser informados del registro que de ellas lleve una autoridad pública en un país extranjero. La distinción sector público- sector privado no aparece en las demás disposiciones del convenio, sobre todo porque esta nociones pueden tener significados distintos de un país a otro…@ (M.E.. 33).

pertenecientes a las fuentes de llamado Derecho Derivado Comunitario [97].

 

Los distintos elementos característicos definidores de la identidad de una persona permiten además, a los Estados Miembros de la UE, estructurar en su normas reguladoras de la protección de derechos y libertades fundamentales y del proceso informatizado de datos personales, según se sostiene en el C. 27, de la Directiva, que se regule, entre otros aspectos importantes,  el ejercicio del derecho de habeas data, en particular, el derecho acceso a dicho conjunto de datos; así mismo que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la Directiva 95/46/CE.

 

El Tratamiento de datos personales, se considera a cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicables a los datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción (art.2-b). Esta definición cualificada, a diferencia de la actividad rehusada por el grupo de  expertos del Convenio de 1981 para hacerlo, conlleva unos elementos técnicos, jurídicos y acciones informáticas con los denominados archivos o

 

_________________________________

 

 

(97)      Este  derecho  escrito  es el creado por los organismos comunitarios (El Parlamento, La Comisión y El Consejo, especialmente). Comprende en primer término, los actos jurídicos expresamente previstos en  los Tratados de creación de la CE (hoy UE, Unión Europea); actos que contienen reglamentaciones obligatorias para los Estados Miembros. Estos son: los Reglamentos, LAS DIRECTIVAS, y las Decisiones dirigidas a particulares y al Estado Respectivo; así como las Recomendaciones o razones que emanan del Tratado de la CECA, y los Acuerdos Internacionales que conciernen a la Comunidad Europea. Mis trabajos: Las fuentes del derecho comunitario europeo Ed. UNED, Univ. de Nariño, Núm. 15, Pasto, 1988, pág.65-75; y, Los denominados recursos ante los Tribunales de Justicia de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, pág. 11Datos Personales, se considera toda información sobre una persona física identificada o identificable (el interesado); se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social (art.2-c). Esta definición, incorpora elementos de forma y de fondo empleados en la identificación plena de una persona humana, a efectos de evitar al máximo el error, la indeterminación o la confusión del titular de unos datos personales que le conciernen o le puedan concernir si se reputa identificable directa o indirectamente, o lo que es lo mismo, la persona interesada. Esta definición cualificada de persona física a la que le corresponde una información de carácter personal, elimina las dificultades generadas en torno identificabilidad, no sólo por medios documentales tradicionales (DIN o DNI, etc.), sino por elementos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social; vale decir, por las caracteres relevantes de la identidad heredo-biológica de la persona, su hábitat social y cultural y hasta su nivel socio-económico. Se crea así una especie de derecho a la identificación como garantía de los derechos fundamentales asignados a una persona humana, cuando sean sometidos a tratamiento informatizado o manual datos personales.

registros informáticos (o, file), incorporados o por incorporar en una base de datos (data-base) o ficheros informatizados (fichiers), que en su conjunto conforman el proceso o Aprocedimiento automatizado@ de datos personales.

 

En efecto, son etapas o fases de un procedimiento informatizado de datos, la recolección, almacenamiento, registro, conservación y comunicación  (por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión. Aspectos técnicos idóneos que posibilitan el nuevo fenómeno tecnológico de la comunicación y la  información: TIC). Las acciones de consulta, extracción, bloqueo, supresión o destrucción, modificación incorporadas en la definición de tratamiento de datos personales, que bien pueden hacerse con medios informáticos, electrónicos o telemáticos sobre archivos o registros (o simplemente datos)  contenidos en ficheros informatizados o bien con medios mecánicos o manuales en ficheros de idéntica índole, engloban el concepto genérico de Atratamiento@ previsto en la Directiva en forma multicomprensiva.

 

El Fichero de datos personales, se entiende todo conjunto estructurado de datos personales, accesibles con arreglo a  criterios determinados, ya sea centralizado o descentralizado o repartido en forma funcional o geográfica (art. 2-c).

 

Cabe resaltar de la definición que los Acriterios determinados@, son aquellos establecidos en la correspondiente normativa estatal sobre el tratamiento informatizado de datos personales, el ámbito de aplicación de dicha normativa, y sobre todo, los elementos característicos de la persona identificable que antes puntualizábamos, pues ellos indicarán la menor o mayor cobertura de protección de los derechos y libertades fundamentales de la persona. Una normativa miope en éstas lides sería la que estipula la identificabilidad de la persona por el sólo criterio documental v.gr. El D.N.I. o DIN.

 

En igual forma, la definición  fichero amplía los criterios de ámbito de aplicación de la normativa a los aspectos de distribución de competencias por servicios (centralizado o descentralizado), territorial (o geográfico) y funcional, teniendo en cuenta la estructura estatal de los Estados Miembros de la UE (Estados Unitarios, Federales o Comunitarios, como el Español).

 

El Responsable del tratamiento, es quizá con el de Atratamiento de datos personales@ dos de los conceptos más elaborados en la Directiva, por su íntima correspondencia temática, los efectos jurídicos y materiales y las implicaciones en los ámbitos de tutela, garantía, régimen de responsabilidades y sanciones y derechos y deberes de los sujetos intervinientes en  el proceso o procedimiento informatizado (el titular de datos, Aencargado del tratamiento@ [98] , el responsable del fichero, Ael tercero@ [99]  y Ael destinatario@ [100]  ).

 

Así, se considera Responsable del Tratamiento  (Institución jurídica más amplio y precisa que la de Aresponsable del  fichero@, utilizada por la Ley española reguladora de los datos Personales informatizados o  LORTAD de 1992 [101]), es la  persona física o jurídica, autoridad pública, servicio  o   cualquier  otro   organismo que sólo o conjuntamente con otros determine los fines y los medios de tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario (art. 2-d) [102] .

 

_______________________

 

 

(98)      El Aencargado del tratamiento@, es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (art. 2-e)

(99)      El ATercero@, es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento (art. 2-f).

(100)     El ADestinatario@, es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios (art. 2-g).

(101)     En la Doctrina Ibérica, se ha sostenido la deficiente definición de la figura del  responsable  del  fichero realizada por la LORTAD en 1992; entre otras, por las siguientes razones: a) la determinación  de  este  sujeto  se realiza conforme a varios criterios, sin determinar cuál es de aplicación en cada caso, por lo que se plantea el problema de si el titular del fichero puede optar entre uno u otro criterio a la hora de señalar quién es  dicho responsable –con la consiguiente posibilidad de manipulación y utilización estratégica de las distintas posibilidades que se contienen en la definición legal del responsable del fichero, para eludir la propia potestad sancionadora con el correlativo compromiso de la funcionalidad general del sistema–; b) la particular y no menos deficiente descripción del responsable del fichero en el ámbito público que determina la imposibilidad de aplicar los criterios legalmente previstos a determinados ficheros que, por el contrario, sí se encuentran sometidos al ámbito de aplicación de la ley –como es el caso de los órganos constitucionales– que por su especial estructura jurídica no tienen fácil acomodo en ninguna de las categorías contempladas en la definición legal; y, c) la falta de distinción entre el responsable del fichero y el encargado del tratamiento, sujeto que, sin perjuicio de realizar actividades con indudable incidencia en el campo que analizamos –que determinan su sumisión específica al deber de guardar secreto (art.10 LORTAD)– no se encuentre sujeto a responsabilidad alguna. Vid.  DE LA SERNA BILBAO, María Nieves. La agencia de protección de datos española: con especial referencia a su característica de independencia. En: Actualidad Informática Aranzadi. Ed. Aranzadi, S.A., Núm. 22 de Enero, Pamplona, 1997, pág. 3.

(102)     La Ley de Protección de Datos de carácter personal, en el artículo 3, literal d, de la Ley 15 de 1999, redefine el concepto el concepto de responsable del fichero por el de   “Responsable del fichero o tratamiento”, así: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.

 

 

Por su parte, la Directiva 97/66/CE, relativa a la protección de los datos personales y de la intimidad en relación con el sector de las telecomunicaciones y, en particular, la red digital de servicios integrados (RDSI) y las redes móviles digitales públicas, constituye la protección jurídica a una de las fases más delicadas del procedimiento informatizados de datos: la fase de las comunicaciones o telecomunicaciones vía electrónica o informatizada de datos de carácter personal que han sobrevenido por el desarrollo constante y revolucionario de las nuevas tecnologías de la información y la comunicación (TIC), los cuales día por día, se van especializando de cara a los intereses, derechos y libertades fundamentales dignos de protección y garantía por parte del Estado y de los mismos particulares, sin perder de vista el principio que equilibra esta protección: ALa libre circulación de los datos y la confidencialidad de las comunicaciones@, que es el eje central de la presente Directiva Europea.

 

 

9.4.      Colofón: Cualificación de la etapa de comunicación  o “flujo transfronterizo” de datos entre Estados de la UE y del mundo

 

Europa continental, ya tiene su Constitución a la “medida” de los ciudadanos europeos. Tiene igualmente una legislación homologada, convalidada o “transpuesta” en los diferentes aspectos sociales, políticos, económicos, culturales, científicos y políticos, principalmente, conforme a los parámetros, lineamientos, estrategias y directrices planteadas por los organismos comunitarios: La Comisión, el Consejo y el Parlamento Europeos. En materia de protección de datos o informaciones personales, la mayoría de los países han cumplido con la labor de transposición de las Directivas comunitarias emitidas para la efectiva, oportuna y eficiente comunicación de los datos personales y el respeto al pleno de los derechos fundamentales, especialmente el derecho a la intimidad de las personas, especialmente las Directivas 45/95/CE y 97/66/CE.

 

En tal virtud, lo que ahora les preocupa a los europeos, no es tanto si los recientes países que ingresaron a la UE, ya han cumplido con la transposición de sus normas en los diversos aspectos, negocios y actividades de cobertura de la misma, incluida lo atinente a la transposición de las normas sobre protección de los datos personales y la intimidad, pues se entiende que para los últimos Estados adherentes a la UE, la normatividad de la Unión Europea es aceptada en bloque la de tipo general, y en la ámbito particular según los períodos de tiempo prefijados en el Tratado de Adhesión. Esto no es de tanta preocupación, cuanto más lo es de la convalidación y homologación de cuerpos normativos estatales de países de cualquier parte del mundo externo a la UE, que no reúnan los requisitos tecnológicos, constitucionales y legales que faciliten, protejan, garanticen y viabilicen eficiente, oportuna y eficazmente el flujo internacional o comunicación de datos o informaciones personales entre dos o más Estados del mundo. Esa sí es la verdadera preocupación de los Estados europeos, pues las implicaciones en dicho flujo, según su normatividad comunitaria, no son de poca monta, pues no olvidan que después de la segunda guerra mundial, la información es más poder que nunca, como lo demostramos en nuestra tesis doctoral en 1999, varias veces citada en este pequeño ensayo jurídico.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BILIOGRAFIA GENERAL

 

 

AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

AA.VV. Constituçao Novo Texto. Coimbra editora, Ediçao organizado JJ. Gomes Conotilho o vital M., 1982

AA.VV. Banco de Datos. Biblioteca Virtual de la Universidad de Montreal Canadá (versión en inglés y en francés). En: www.umontreal.edu.ca

AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2.

AA.VV. Exposición de Motivos del Proyecto de Ley Estatutaria nº 64 de 2003.

AA.VV. Exposición de Motivos del Proyecto de Ley Estatutaria de 2005. Vía Internet.

AA.VV. El Hábeas Data en el Derecho Venezolano. En: http://www.conhist.org/

AA.VV. Gaceta del Congreso de la República Bogotá, Martes 31 de Agosto de 2004. Año XIII, nº 481. Enhttp://www.observatics.edu.co/

AA.VV. El proceso de Hábeas data en la Región Andina. En: www.cajpe.org.pe/

AA.VV. La acción de hábeas data. DDG-167-01/ 16-07-2001. En: http://www.defensoria.gov.ve/

AA.VV. Ley sobre protección a la vida privada o protección de datos de carácter personal.  En: http://www.sernac.cl/leyes/

ALMIRSON, Lisandro. Proyecto de reforma a la Constitución de Corrientes. Constituyente. En: http://www.senadoctes.gov.ar/

ARMAGNAGUE, Juan F. Constitución de la Nación Argentina comentada.  Ed. Ediciones Jurídicas Cuyo Mendoza, 1999

BAJO FERNANDEZ, Miguel et all. Compendio de derecho penal (Parte Especial). Vol. II. Ed. Centro de Estudios Ramón Areces, S.A. Madrid, 1998.

BARDELLII LARTIRIGOYEN, Juan B. El derecho de Hábeas Data en el Código Procesal constitucional y en la jurisprudencia del tribunal Constitucional.  En: http://www.riaej.org/

BARZALLO, José Luís.  Presidente AEDIT. Blog del Foro de Hábeas Data. En: Ecuador: Ley de Protección de Datos. Mayo 30 de 2006.

BAIGORRI, Mauricio Javier et all. La Naturaleza jurídica del Hábeas Data. En: http://www.salvador.edu.ar

BAZAN, Víctor. Revista Semestral del Centro de Estudios constitucionales. Universidad de Talca, Facultad de ciencias jurídicas, Santiago de Chile. En: www.librotecnia.cl

BENITEZ, Luis María. Análisis comparativo entre Hábeas Data y acción de amparo en Paraguay. Revista Ius et Praxis, nº 3º, Número 1, Facultad de Ciencias Jurídicas y Sociales, Universidad de Talca, Talca (Chile).

BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

CAMACHO AZURDUY, Carlos A. El proceso de discusión del derecho de acceso a la información en Bolivia. Vía Internet.

CASTELLS ARTECHE, José M. La Intimidad informática.  En: Estudios sobre la Constitución Española en homenaje al profesor Eduardo García de Enterría. Ed. Civitas, Tomo II, Madrid, 1991.

__________      Derecho a la privacidad y procesos informáticos: Análisis de la LORTAD. R.V.A.P. Bilbao, 1997

CARRANZA TORRES, Luis. El sistema de protección de datos en Córdoba. En: http://www.informatica-juridica.com.

CHANAME ORBE, Raúl. Hábeas Data y el Derecho fundamental a la intimidad de la persona. En: http://www.sisbib.unmsm.edu.pe

CIFUENTES MUÑOZ, Eduardo. El Hábeas Data en Colombia.  Revista Ius et Praxis, Año 3, Número 1º, Facultad de ciencias jurídicas y sociales, Universidad de TALCA, Talca (Chile),1997.

___________    Exposición de motivos del proyecto de ley estatutaria nº 064 de 2003. Vía Internet

DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997.

DA SILVA, José Alfonso. Curso de direito constitucional positivo. En: www.astrea.com.ar

DE ABREU DALLARI, Dalmo. Disertación pronunciada en el Seminario Iberoamericano sobre la Acción de “Hábeas Data”. Citado por PUCCINELLI, Oscar. Hábeas Data en el Brasil. En: http://www.astrea.com.ar

 

DE LA SERNA BILBAO, María Nieves. La agencia de protección de datos española: con especial referencia a su característica de independencia. En: Actualidad Informática Aranzadi. Ed. Aranzadi, S.A., Núm. 22 de Enero, Pamplona, 1997.

DROMI, Roberto et all. La Constitución reformada. Ed. Ciudad Argentina. Bs.As., 1994.

DUBIE, Pedro. El Hábeas Data financiero. Revista de Derecho Informático. ISS 1681-5726. Ed. Alfa-Redi, nº 038, Septiembre de 2001

DUMORTIER, J., y ALONSO BLAS, Diana M. La Transposición de la Directiva de protección de datos en Bélgica. En: Actualidad Informática Aranzadi. Ed. Aranzadi, S.A., Núm. 20 de Julio, Pamplona, 1997

DURAN RIBERA, Willman R. Contenido y alcances del Hábeas Data en Bolivia. En: http://www.tribunalconstitucional.gov.bo/

EQUIGUREN, Francisco. El Hábeas Data y su desarrollo en el Perú. Revista Ius et Práxis, Año 3, Número 1º, Facultad de ciencias jurídicas y sociales, Universidad de Talca, Talca (Chile).

FAIREN GUILLEN, Víctor. El Hábeas Data y su protección actual surgida en la Ley española de Informática del 29 de Octubre (Interdictos, Hábeas Corpus) –Primera Parte— En: Revista de Derecho procesal. R.D.P. nº 3º, Madrid, 1996

FLOREZ DAPKEIVICIUS, Rubén.  Garantías de los Derechos Humanos. El Hábeas Data.  En: www.monografias.com

__________      Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

GARCIA BELAUNDE, Domingo. Diferencias entre el Hábeas Data y la Acción de amparo o tutela constitucional en Perú.  Revista Ius et Práxis, Año 3, Número 1, Facultad de ciencias jurídicas y sociales de Talca, Talca (Chile),1997.

GARCIA BERNI, Aída. La acción de Hábeas Data. Asesora del Tribunal Constitucional.

GIGLI, Juan. Venezuela: Quinta jornada pública de la Ley de Tecnología de la Información. Enviado Vía Internet. Mayo 8 de 2006

GONZALEZ NAVARRO, Francisco. Comentarios a la ley de Régimen Jurídico de las administraciones públicas y procedimiento administrativo común (Ley30/92). Ed. Civitas S.A., Madrid, 1997.

_________        Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994

GORDILLO T. José F. y RESTREPO, Yepes. Introducción al análisis del derecho fundamental del hábeas data.  En: http://www.urosario.edu.co

GOZAINI, Osvaldo A.  El Proceso de Hábeas Data en la Nueva Ley (de protección de datos Argentina).  Vía Internet.

GUTIERREZ-ALVIZ Y ARMARIO, Faustino. Diccionario de Derecho Romano. Ed. Reus, S.A., Madrid, 1982

HEREDERO HIGUERAS, Manuel. Legislación informática. Ed. Tecnos, Madrid, 1994.

HERNANDEZ, Jaime A. y VARGAS, Javier. Ponencia para primer debate al proyecto de Ley Estatutaria 201 de 2003, Cámara y O71 de 2002, Senado. Vía Internet.

HERNANDEZ, Jaime Amín, ARBOLEDA PALACIO, Oscar,  Pérez, Oscar Darío Pérez, CARRASQUILLA, Alberto. Proyecto de ley estatutaria nº 071 de 2005, presentado a iniciativa parlamentaria y gubernamental. Vía Internet.

H., Benjamín Miguel. Acción de amparo relacionada con la protección de datos persona les en el orden jurídico boliviano. Revista Ius et Praxis, Año 3, Número 1º, Facultad de Ciencias jurídicos y sociales, Universidad de Talca, Talca (Chile), 1998.

JIMENEZ ESCOBAR, Raúl. Sobre la aplicación de la Ley orgánica 5 de 1992 a los ficheros automatizados de datos de carácter personal mantenidos por los abogados. En: Revista Jurídica de Cataluña nº 1, Barcelona, 1995

KATSH, Ethain.  Rights, Camera, Action:  Cyberspatial settings and the first amendment.  Professor of  Legal Studies, University of Massachusetts at Amherst; B.A. 1967, New York University; J.D. 1970, Yale University. En:  www.umontreal.edu.ca.

LAMA MORE, Héctor Enrique. El Hábeas Data en el Perú. El Estado de cosas inconstitucional en el caso Arellano Serquen contra el CNM. Vía Internet.

___________    El hábeas Data en el Perú. El Estado de cosas inconstitucional en el caso Arellano Serquen contra el CNM. En: h_enriquelama@hotmail.com

 

LIVELLARA, Silvana. Hábeas Data e informática crediticia. La Eventual responsabilidad civil de las entidades financieras y del Banco Central de la República Argentina por cesión y publicidad de datos inexactos.

LOPEZ MARTINEZ, Juan. La protección de los datos y la información en poder de la Hacienda Pública. Profesor de Derecho financiero y tributario. Vía Internet, 2007.

LOPEZ MUÑIZ-GOÑI, M.  Informática Jurídica Documental, Madrid, 1994

LOPEZ MARTINEZ, Juan. La protección de los datos y la información en poder de la Hacienda Pública. Profesor de Derecho financiero y tributario. Vía Internet, 2007.

LUNA SANCHEZ, David. Ponente del proyecto para primer debate en la Cámara de Representantes. En: http://www.prensa.camara.gov.co.

MADRID-MALO G., Mario. Derechos fundamentales, 2 edición, Bogotá, Ed. Temas Jurídicos-3R Editores, 1997.

MARIN GARCIA, Gustavo J. Evolución de la protección del derecho al acceso y control de la  información en la jurisprudencia de Venezuela. En: http://www.informatica-juridica.com/trabajos/

MARTELLA, Lilián,  Hábeas Data: Garantía de una Dimensión fundamental de la libertad.  En: http://www.ceride.gov.ar/

MIRABELLI, “Banche dati e contemperamento degli interessi”, Bance dati telematica e diritti della persona, Cedam, Padova, 1984, pág. 160. Citado por ORTI V. Ob. cit., p. 11

MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

MORALES PRATS, Fermín. Comentarios a la parte especial del Derecho Penal. En: Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Ed. Aranzadi, Pamplona, 1996

NOGUERA ALCALA, Humberto. Reflexiones sobre el establecimiento constitucional del Hábeas Data y del proyecto en tramitación parlamentaria sobre la materia.  Revista Ius et Praxis, Número 1º, Facultad de ciencias jurídicas. Universidad de Talca, Talca (Chile),1997

NUÑEZ PONCE, Julio. La Acción Constitucional de Habeas Data y la Comercialización de Información Judicial en Internet. Revista de Derecho Informático. ISSN 1681-5726, Edita: Alfa-Redi nº 013 – Agosto del 1999. En: http://www.alfa-redi.org

ORTI VALLEJO. Antonio. Derecho a la Intimidad e Informática. Ed. Comares, Granada (Esp.), 1984.

PALAZZI, Pablo. El Hábeas Data en el derecho Argentino. Revista de Derecho Informático. ISSN 1681-5726, Edita: Alfa-Redi nº 004 – Noviembre del 1998. En: http://www.alfa-redi.org

PEREZ, Efraín y MAKOWIAK, Jéssica. El derecho de acceso a la información en Europa y América Latina: un enfoque constitucional. En: http://www.cica.es

PEREZ JARAMILLO, Rafael. Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

PEREZ LUÑO, Enrique. Derechos Humanos, Estado de Derecho y Constitución. Ed. Tecnos, S.A., Madrid, 1984, p. 359 y ss.

PINTO FERREIRA, Luiz. Os instrumentos processuals protetores dos dereitos no Brasil. En la obra colectiva: Jurisdicción constitucional en Iberoamérica

PUCCINELLI, Oscar. Tipos y subtipos de Hábeas Data en América Latina.  Ed. Astrea, Buenos Aires (Argentina). En: www.astrea.com

___________    El “Hábeas Data” en Brasil. En: www.astrea.com.ar

QUIROGA LAVIÉ, Humberto. El amparo, el hábeas data y el hábeas corpus en la reforma de la constitución – Explicada por miembros de la comisión de redacción. Rubinzal Culzoni. Santa Fe. 1994

REMOLINA ANGARITA, Nelson. Del Actual proyecto de Ley Estatutaria del Hábeas Data en Colombia. En: www.gecti.org.co

________           Documentos GECTI sobre el hábeas Data y la protección de datos personales. En: www.gecti.org.co

_________        Del actual proyecto ( 071 de 2002) de Ley estatutaria del Hábeas Data en Colombia. Facultad de Derecho de la Universidad de los Andes. nremolin@uniandes.edu.co

_________        Censos, estadísticas y datos personales en la era del gobierno electrónico. Universidad de los Andes, Facultad de Derecho, Abril de 2005.  En: http://gecti.uniandes.edu.co/

RIASCOS GOMEZ, Libardo O. El derecho a la intimidad, la visión iusinformativa y el delito de los datos personales. Tesis Doctoral, Universidad de Lleida (España), Lleida, 1999, p. 336-371.

________          “Los datos personales de carácter económico o financiero en el proyecto de habeas data de 2002“. En: http//akane.udenar.edu.co/derechopúblico

________          El procedimiento sancionador disciplinario de los docentes universitarios en Colombia. Ed. UNED, Universidad de Nariño, Pasto, 2007

________          Los Datos personales informatizados en el derecho foráneo y colombiano. Universidad de Nariño, Pasto, 2000, p. 80-139.

________          La Constitución de 1991 y la Informática  Jurídica. Ed. UNED, Universidad de Nariño, Pasto, 1997

________          Los datos personales de carácter económico y financiero en el proyecto de habeas data de 2002. Publicado virtualmente en  http//akane.udenar.edu.co/derechopúblico

________          Los denominados recursos ante los Tribunales de Justicia de de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto, 1995.

________          Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

_________        Las medidas cautelares en el procedimiento administrativo. Tesis Doctoral, Universidad de Navarra, Pamplona (España), 1986.

_________        Los actos y el procedimiento administrativo en el derecho colombiano. Ed. Castellana, Pasto, 2001

_________        Las fuentes del derecho comunitario europeo. En: Revista FORO UNIVERSITARIO. Ed. UNED, Universidad de Nariño, Núm. 15,  Pasto, 1988.

_________        El delito informático contra la Intimidad de las personas: Una visión constitucional y penal.  En: Revista FORO UNIVERSITARIO nº 22 de Noviembre de 2004, ISSN 1692-7923, Universidad de Nariño, Pasto, 2004.

RODRIGUEZ, Henry. El futuro del Hábeas Data y la protección de datos personales en Colombia. Subdirector del DANE, Noviembre 13 de 2003. En: www.dane.gov.co

ROMERO CABRERA, Betzabeth. Entrevista en la Internet, por Carlos H. Paiva.

RYSDALL, R. Protección de datos y el Convenio Europeo de los derechos humanos. Novática, Marzo de 1992. Citado por AA.VV. Revista de Ciencias Jurídicas, Facultad de derecho, Universidad de Costa Rica, nº 103, Costa Rica, 2003

SANCHEZ, Mariana. EL Hábeas Data. En: www.ilustrados.com

SANCHEZ MONTENEGRO, Diego. El Derecho de acceso a la información pública y su vinculación con las nuevas tecnologías de la información y la comunicación. En: IV Congreso mundial de Derecho Informático. AEDIT, Junio, 2004.

SAGUES, Néstor Pedro. El Hábeas Data en Argentina (Orden Nacional). Revista Ius et Práxis, Facultad de ciencias jurídicas y sociales, Universidad de Talca (Chile), Chile, 1997

SOLANO NAVARRA, Roberto J. Contraloría Departamental del Atlántico: Informe. En: http://www.contraloria.atlantico.gov.co/  .

SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen

SORIN, Sergio. El Hábeas Data en Argentina: Invasión de la privacidad. Buenos Aires, Marzo 21 de 2000.

SOUVIRON, José M. En torno a la juridificación del poder informático del Estado. R.V.A.P. Núm. 40, Sep-Dic., Bilbao, 1994

SOUMINEN, Kati. Acceso a la información en América Latina y del Caribe.  Universidad de California, San Diego. En: http://www.thedialogue.org/publications

TANUS, Gustavo Daniel. Protección de datos personales, principios generales, derechos, deberes y obligaciones. En: http://www.protecciondedatos.com.ar

TORRES CASTRO, Carlos A. Código Procesal Constitucional. Estudio preliminar, 1ª ed., Sociedad de Estudios para una cultura de paz, Lima (Perú), Noviembre 30 de 2004.

URIOSTE, Mercedes. Protección de datos personales. En: http://www.derecho-comparado.com

VAN DER MENSBRUGGHE, Patricia. En: Flujos transfronterizos de datos en la Directiva 95/46 de las Comunidades Europeas. En: Revista Actualidad informática  Aranzadi. Ed. Aranzadi S.A., nº 20 Julio, Elcano (Navarra), Madrid, 1996

VELEZMORO PINTO, Fernando Rafael. La tutela de la persona frente a los avances de la informática y la necesidad de avanzar más allá del derecho a la protección a los datos personales. En:  http://www.latinoamericann.org/

VELÁSQUEZ V., Santiago. El derecho a la Intimidad y la competencia desleal. En: http://www.revistajuridicaonline.com/

VILLAVECES HOLLMAN, Juan M. Reflexiones en torno a la necesidad de un marco regulatorio sobre el Hábeas Data. Foro Universidad de los Andes,

 

 

27Dic/15

A decisão da Corte Europeia que invalidou o acordo de transferência de dados pessoais

A DECISÃO DA CORTE EUROPEIA QUE INVALIDOU O ACORDO DE TRANSFERÊNCIA DE DADOS PESSOAIS

Demócrito Reinaldo Filho

(Juiz de Direito, titular da 32ª. Vara Cível)

Na primeira semana de outubro deste ano (1) o Tribunal de Justiça da União Europeia (2) produziu um julgamento que vai se tornar um marco em termos de proteção à privacidade dos indivíduos na Internet, ao invalidar o acordo de transferência de dados pessoais (conhecido como “Safe Harbor”, “Porto Seguro” em tradução para o português) entre os Estados Unidos e a União Europeia (3). Esse acordo, que estava em vigor desde o ano de 2000 (4), era o instrumento legal que autorizava empresas a transferirem dados coletados de cidadãos europeus para serem processados em seus estabelecimentos situados em território americano (5).

A decisão da corte europeia afeta companhias de todos os ramos, mas certamente as mais impactadas são as empresas de tecnologia, gigantes como Facebook e Google (6), que atuam coletando enormes quantidades de dados pessoais dos usuários de seus serviços. É que agora, com a decisão, as autoridades nacionais (dos 28 estados membros da EU) podem fiscalizar como essas empresas estão transferindo dados para os servidores de suas congêneres nos Estados Unidos e, encontrando indícios de violações às leis europeias de proteção à privacidade, impor limitações e multas. Cerca de duas semanas depois da decisão do Tribunal de Justiça da União Europeia, a Corte Superior da Irlanda determinou a abertura de investigação sobre as transferências de dados feitas pelo Facebook para sua matriz nos Estados Unidos (7).

Antes dessa decisão, a situação para as empresas americanas era bastante conveniente, pois bastava se registrarem como aderentes ao acordo de transferência de dados. Pelos termos do “Safe Harbor Agreement”, empresas que atuavam coletando dados de cidadãos europeus tinham que garantir o mesmo nível de proteção que é conferido a eles pela legislação europeia. A União Europeia tem um sistema legal bastante sistematizado no tocante à proteção da privacidade de seus cidadãos, considerado bem mais rigoroso do que a maioria dos países de outras regiões. Nos termos da Diretiva europeia 95/46/EC de proteção de dados pessoais, companhias operando no território europeu não podem enviar dados pessoais para países fora da área da União Europeia a não ser que garantam um nível adequado de proteção. O acordo “Safe-Harbor” foi negociado entre o Governo dos EUA e a União Europeia como forma de oferecer um meio para as empresas poderem compactuar com as normas da Diretiva, evitando problemas de ordem legal (8). O acordo prevê algumas normas, estabelecidos em concordância com a Diretiva, que as empresas americanas deviam aderir, para possibilitar a transferência de dados. Em julho de 2000, a Comissão Europeia (9) decidiu que as empresas americanas que obedecem aos princípios do acordo estavam autorizadas a transferir dados referentes a cidadãos europeus para seus servidores localizados em território estadunidense (10). Essa decisão, agora, foi invalidada pelo julgamento da Corte Europeia de Justiça, que considera que o Safe Harbor não oferece nível de proteção adequado aos dados pessoais dos cidadãos europeus.

O acordo Safe Harbor antes era visto como um instrumento eficaz, até que sobrevieram as denúncias de Edward Snowden, em junho de 2013, de que empresas de tecnologia eram colaboradoras ativas do sistema de vigilância massiva perpetrada pela NSA, a agência de inteligência do Governo dos EUA. A partir daí, setores organizados da sociedade civil e ativistas da privacidade passaram a defender que o acordo não era suficiente para oferecer um nível adequado de proteção contra intrusões das agências de inteligência. O texto do Safe Harbor permite limitações à proteção de dados onde a coleta se faça necessária por razões de segurança nacional. Daí que passou a ser sentimento geral na comunidade europeia de que o Safe Harbor não garantia um nível adequado de proteção de dados pessoais em relação aos programas de vigilância eletrônica executados pelas agências de inteligência norte-americanas.

Maximillian Schrems, um cidadão austríaco, ingressou com uma reclamação perante a autoridade nacional de proteção de dados da Irlanda, alegando que seus dados estavam sendo transferidos da subsidiária irlandesa do Facebook para servidores localizados nos Estados Unidos. Justificou que, de acordo com as revelações feitas por Snowden – que os serviços de inteligência dos Estados Unidos (em particular a National Security Agency-NSA) utilizam programas para vigilância eletrônica massificada – o Safe Harbor não oferecia proteção adequada. O comissário de proteção de dados irlandês rejeitou a queixa, baseando-se na decisão de 26 de julho de 2002 da Comissão Europeia, que decidiu pela validade desse acordo. O caso, então, foi submetido à Corte Superior da Irlanda, que considerou necessário antes uma definição da Corte Europeia de Justiça sobre o assunto.

No julgamento do dia 06 de outubro, o Tribunal de Justiça da União Europeia declarou inválido o “Safe Harbor Agreement”, com o resultado de que o comissário irlandês de proteção de dados vai ter que apreciar a reclamação de Maximillian Schrems e decidir se a transferência de dados de cidadãos europeus para servidores localizados nos Estados Unidos, realizada pelo Facebook, deve ser suspensa ou não, se ficar caracterizado que as autoridades americanas não garantem um adequado nível de proteção aos dados transferidos (11).

Após a decisão do Tribunal de Justiça da União Europeia, os Estados Unidos e a UE apressaram as negociações para o estabelecimento de um novo pacto, capaz de atender a legislação europeia de proteção de dados e substituir eficazmente o falecido Safe Harbor. O objetivo é concluir as negociações até janeiro do próximo ano. Os Estados Unidos e a União Europeia são importantes parceiros comerciais e a transferência de dados entre os continentes é essencial para os negócios. Mas o Grupo de Trabalho do Artigo 29º. (Article 29 Working Party) (12), que reúne os comissários nacionais de proteção à privacidade da União Europeia, já advertiu que se um novo acordo não for concluído até o final de janeiro do próximo ano, tomarão todas as medidas necessárias para evitar violações às leis europeias de proteção de dados, o que pode incluir a aplicação de multas (13).

Nesse intervalo, as empresas norte-americanas podem se valer de alguns instrumentos jurídicos alternativos, para realizar a transferência de dados de cidadãos europeus para seus servidores situados fora da área geográfica da União Europeia. Elas podem, por exemplo, se valer das cláusulas contratuais modelo (“standard clauses”) (14), mas é sempre um expediente mais limitado, dispendioso e que tem que ser trabalhado caso a caso (15), aumentando os custos para as empresas e as dificuldades administrativas para cuidar de todos os contratos (16). Outra saída, para evitar problemas legais, é hospedar todas as informações dos europeus em servidores localizados em países integrantes da União Europeia. Muitas empresas americanas estão movendo seus data centers e servidores para território europeu ou contratando serviços de empresas de cloud computing sediadas na Europa, para terceirizar o serviço de hospedagem de dados dos usuários europeus (17).

As medidas alternativas ao Safe Harbor, para permitir o trânsito das informações dos cidadãos europeus para servidores de empresas situadas nos Estados Unidos, têm que ser adotadas de forma rápida, não somente ante a possibilidade de multa pelos comissários de proteção de dados, se um novo acordo não for estabelecido até janeiro, mas também porque ativistas já estão tomando iniciativas contra algumas empresas de tecnologia, sobretudo aquelas denunciadas no escândalo de vigilância eletrônica da NSA. Maximillian Schrems, aquele mesmo cidadão austríaco que promoveu a ação vitoriosa que resultou na decisão do Tribunal de Justiça da União Europeia, recentemente requereu a alguns comissários de proteção da privacidade que obriguem o Facebook a interromper toda e qualquer transferência de dados de sua subsidiária europeia para a matriz norte-americana (18). Prometeu fazer o mesmo em relação a outros gigantes da Internet, como Google, Microsoft e Yahoo (19), empresas que colaboraram com o programa PRISM, um dos sistemas de vigilância eletrônica massiva da NSA (20).

 Tudo indica que o novo acordo que vai substituir o Safe Harbor deve sair mesmo até janeiro do próximo ano. Autoridades dos Estados Unidos e União Europeia já estão em conversas adiantadas e já chegaram a consenso em torno de alguns aspectos. Um dos pontos que devem constar do novo acordo é certamente a introdução de algum tipo de mecanismo de reparação judicial, para os casos de mau uso dos dados pessoais transferidos (21). Na sua decisão, o Tribunal de Justiça da União Europeia registrou que os cerca de 500 milhões de cidadãos europeus não têm o direito de ajuizar ação nas cortes estadunidenses, em caso de violação de privacidade pelas empresas ou Governo norte-americano. Uma lei para atribuir aos cidadãos estrangeiros os mesmos direitos conferidos a cidadãos norte-americanos, que tenham suas informações pessoais violadas, quando utilizadas para fins de prevenção criminal e persecução processual, já está sendo debatida no Congresso norte-americano (22).

Recife, 04.12.15

(1) Mais exatamente no dia 06.10.15.

(2) O Tribunal de Justiça da União Europeia (TJUE) tem a função de uniformizar a legislação europeia, para que seja interpretada e aplicada da mesma maneira em todos os países integrantes da UE. Sua sede fica em Luxemburgo. O endereço de seu site na Internet é: http://curia.europa.eu/

(3) O julgamento foi no caso Maximillian Schrems v. Data Protection Comissioner, Case C-362/14,decidido em 06.10.15.

(4) Em 26 de julho de 2000, a Comissão Europeia adotou uma decisão reconhecendo os princípios do “Safe Harbor” editados pelo Departamento de Comércio dos Estados Unidos como provendo um nível de proteção adequada para fins da transferência de dados. Como resultado, essa decisão proporcionou a transferência de dados pessoais para fins comerciais de companhias da União Europeia para empresas nos Estados Unidos, que tivessem aderido a esses princípios.

(5) Ver notícia publicada no New York Times, em 06.10.15, acessível em: http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=1

(6) Google e Facebook vêm sendo alvo de constantes investigações das autoridades europeias, por denúncias de violações a direitos ligados à privacidade de seus usuários.

(7) Ver reportagem publicada em 20.10.15, acessível em: http://www.reuters.com/article/2015/10/20/us-eu-privacy-facebook-idUSKCN0SE14G20151020

(8) Mais de cinco mil empresas norte-americanas aderiram ao acordo Safe Harbor para facilitar a transferência de dados pessoais.

(9) A Comissão Europeia é o braço executivo da União Europeia.

(10) Decisão 2000/520/EC de 26 de julho de 2000.

 (11) Link para a íntegra da decisão do Tribunal de Justiça da União Europeia: http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=125031

(12) O “Grupo de Trabalho do art. 29” é um corpo consultivo independente, em matéria de privacidade e proteção de dados pessoais, estabelecido pelo art. 29 da Diretiva 95/46/EC de proteção de dados. É composto por representantes das autoridades de proteção de dados de cada Estado-membro da União Europeia, pelo Supervisor Europeu da Proteção de Dados e por representantes da Comissão Europeia. Sua atribuição está descrita no art. 30 da Diretiva 95/46/EC e artigo 15 da Diretiva 2002/58/EC. É competente para apreciar qualquer questão relacionada à aplicação das diretivas de proteção de dados.

(13) Em comunicado publicado no dia 16.10.15, acessível em: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

(14) O uso de cláusulas contratuais modelo, em transações comerciais que impliquem a transferência de dados pessoais, é um meio de se obedecer aos princípios e normas da Diretiva europeia 95/46/EC sobre proteção de dados pessoais, que exige “proteção adequada” aos dados pessoais transferidos para fora da União Europeia. O uso das cláusulas modelo (“standard clauses”) é voluntário, mas representa um meio para que empresas e organizações atendam as exigências da Diretiva quanto a dados pessoais  transferidos a países não integrantes da UE, a respeito dos quais a Comissão Europeia ainda não tenha reconhecido que oferecem “proteção adequada”. Por exemplo, uma das cláusulas contém uma declaração por meio da qual a empresa que transfere os dados e a organização ou empresa que os recebe se comprometem a obedecer os princípios básicos da Diretiva. Periodicamente, a Comissão emite decisões reconhecendo países não membros que oferecem proteção adequada a dados pessoais. Em relação a países cujos sistemas de leis conferem um nível de “proteção adequada” a dados pessoais, já reconhecidos pela Comissão Europeia, não há necessidade do emprego das cláusulas contratuais modelo nas relações que empresas europeias travarem com empresas desses países. Quanto aos demais, sem reconhecido regime jurídico de “proteção adequada”, o uso das cláusulas contratuais modelo é uma solução viável para transferência de informações pessoais. Para saber mais sobre o instrumento das “clausulas contratuais modelo”, sugiro a leitura de artigo de minha autoria, intitulado “Comissão europeia aprova novos modelos de cláusulas contratuais para a transmissão de dados pessoais a países não membros da EU”, publicado em 04.04.2005, no site Boletim Jurídico, acessível em: http://www.boletimjuridico.com.br/doutrina/texto.asp?id=565

(15) Desde o dia 23 de outubro, a Comissão Nacional de Proteção de Dados (CNPD) de Portugal vem concedendo autorizações provisórias a empresas para transferência de dados de cidadãos portugueses aos EUA. Ver comunicado da CNPD em: https://www.cnpd.pt/bin/relacoes/comunicados/Comunicado_CNPD_SafeHarbor.pdf

(16) Ver, a esse, respeito, notícia publicada no site da BBC, em 06.10.15, acessível em: http://www.bbc.com/news/technology-34442618

(17) Ver reportagem publicada no New York Times que mostra essa tendência, em 20.10.15, acessível em: http://www.nytimes.com/2015/10/21/technology/as-us-tech-companies-scramble-group-sees-opportunity-in-safe-harbor-decision.html?smid=fb-share&_r=0

(18) Antes dessa iniciativa, o comissário alemão de proteção de dados já havia anunciado que abriria investigações contra o Google e o Facebook. Ver notícia publicada em 27.10.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/10/germany-to-begin-investigating-legality-of-eu-us-data-transfers-immediately/

(19) Ver reportagem publicada no dia 02.12.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/12/after-safe-harbour-ruling-legal-moves-to-force-facebook-to-stop-sending-data-to-us/

(20) O PRISM (abreviatura em inglês para Planning Tool for Ressource Integration, Synchronization and Management) é apenas um dos muitos programas de vigilância massiva eletrônica que vieram a público com as revelações de Edward Snowden e que são operados pela NSA. Permite coletar e analisar informação proveniente dos servidores das grandes empresas da Internet. Não se restringe a metadados, pois compreende o conteúdo das comunicações, alcançando arquivos de áudio, vídeos, fotografias e e-mails. Segundo as denúncias divulgadas em junho de 2013, nove grandes empresas de tecnologia (Google, Microsoft, Facebook, Yahoo, Skype, Apple, Paltalk, Youtube e AOL) proporcionam um ilimitado e direto acesso da NSA aos seus servidores e bases de dados, como parte da execução do PRISM. Para saber mais sobre o programa PRISM e a participação das empresas de tecnologia americanas nesse sistema de vigilância eletrônica da NSA, sugiro a leitura do meu artigo “A espionagem eletrônica: a resposta do governo americano e das empresas de tecnologia”, publicado em outubro de 2013 no site Jus Navigandi e acessível em: http://jus.com.br/artigos/25639/a-espionagem-eletronica-a-resposta-do-governo-americano-e-das-empresas-de-tecnologia

(21) Ver notícia publicada em 27.10.15, acessível em: http://thehill.com/policy/cybersecurity/258182-eu-us-strike-deal-in-principle-on-new-data-sharing-pact

(22) Essa Lei é o Judicial Redress Act, que já foi aprovada na House of  Representatives (equivalente à nossa Câmara dos Deputados) e está atualmente tramitando no Senado norte-americano. Ela estende os mesmos direitos de reparação judicial conferidos a cidadãos norte-americanos a cidadãos de países que relaciona, para o caso de informações pessoais serem indevidamente utilizadas por autoridades públicas. Embora essa Lei só se refira a dados transferidos de outros países para os Estados Unidos para fins de investigação criminal e persecução processual (incluindo terrorismo), sua aprovação vai terminar favorecendo a aprovação do novo acordo que substituirá o Safe Harbor. Além de um novo acordo para transferência de dados pessoais entre empresas, com fins comerciais, os Estados Unidos atualmente negocia com a União Europeia um acordo de transferência de dados para fins de investigação criminal, o “EU-US Umbrella Agreement”. A aprovação da Lei Judicial Redress Act proporcionará as condições políticas necessárias para a aprovação de ambos os acordos. Ver notícia publicada em 21.10.15, acessível em: http://www.pcworld.com/article/2995935/judicial-redress-act-heads-for-senate-making-new-safe-harbor-agreement-more-likely.html