La visión legal del habeas data en latinoamerica y europa

CAPITULO PRIMERO

1. El HÁBEAS DATA EN ALGUNOS ESTADOS DE AMERICA LATINA

1. ANOTACIONES PRELIMINARES

2. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

2.1.                  Ley de Protección de datos personales en la República  de Argentina

2.1.1.               Estructura formal de la Ley

2.1.2.               Comentarios sucintos a la Ley

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

2.2.1.               Estructura formal de la Ley

2.2.2.               Comentarios sucintos a la ley

2.3.                  La Ley de protección de los datos personales de la Provincia de Neuquen

2.3.1.               Estructura formal de la ley

2.3.2.               Breves comentarios a la ley

3. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

3.1.                             Notas preliminares: “The right to privacy”

3.2.                  Estructura formal de la ley

3.3.                  Breves comentarios a la LPVP o PDP

4. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

4.1.                  Estructura de la LTGP y HD

4.2.                  Breves comentarios de la ley

5. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

5.1.                  Estructura de la LPDP_HDU

5.2.                  Breves comentarios a la LPDP_HDU de 2004

6. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

6.1.                  Notas preliminares

6.2.      Estructura de la Ley nº 28237 o Código Procesal Constitucional del Perú

6.3.                  Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

CAPITULO PRIMERO

1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS Y EN LAS TRANSPARENCIA Y ACCESO DE LA INFORMACION PÚBLICA, EN ALGUNOS ESTADOS DE AMERICA LATINA

1. ANOTACIONES PRELIMINARES

Hoy por hoy, las normas de desarrollo y reglamentación del Hábeas Data en los Estados de Latinoamérica, previamente a haber sido éste elevado a rango constitucional ha sobrevenido en algunos casos inmerso en las Leyes de protección de los datos o informaciones personales, cuya norma modelo es la regulada por en el derecho continental europeo, especialmente en las leyes teutonas de la década de los setenta, en forma general y las leyes protectoras de los datos de España, en forma particular. En otros eventos, la ley origen para el desarrollo legislativo del Hábeas Data, son las leyes denominadas de “transparencia y acceso a la información pública”; y otras pocas eventualidades, se regula el Hábeas Data separado de las leyes de protección de datos como de las leyes de transparencia y acceso a la información pública.

En el presente ensayo jurídico, abordaremos ejemplos típicos de legislaciones del Hábeas data perteneciente a cada uno de estas subdivisiones de origen que hemos planteado. No sobra advertir que si bien la Constitucionalización del Hábeas Data en Latinoamérica comenzó a finales de la década de los ochenta, en algunos pocos casos (v.gr. Brasil) y principios  (v.gr. Colombia, Perú, Argentina y Ecuador) y finales de los noventa (v.gr. Bolivia y Venezuela; así como también principios del dos mil (v.gr. Panamá y Honduras),  el desarrollo y reglamentación legal de la institución jurídico constitucional de igual forma se ha dado en diferentes períodos de tiempo por variopintas razones que van desde las político-jurídicas (razones de seguridad de Estado y de las personas), pasando por la culturales, libertad de expresión, opinión y pensamiento hasta las de índole financiero, económico, comercial o bancario. Esas diferencias temporales en algunos casos han sido cortas desde la constitucionalización hasta la reglamentación de tipo legislativo, entre cinco y seis años (v.gr. caso Argentino); entre seis a diez años (v.gr. El caso de Brasil, Perú, Panamá, Uruguay, México y Honduras); y, de más de diez años (Casos en los cuales se tienen presentados varios proyectos de ley orgánica o estatutaria de Hábeas Data, pero que todavía no acaban de concretarse en leyes de cada Estado, v.gr. El Caso de Colombia, Ecuador, Bolivia, Venezuela; entre otros).

2. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

En la Argentina con una forma de Estado sui géneris: República Federal, existe normatividad general para la “nación”, como ordenamiento jurídico para las regiones y ciudad autónoma de Buenos Aires. En tal virtud, veremos a continuación la Ley General de Protección de datos para la República Argentina, y las Leyes especiales de protección de datos para la ciudad autónoma de Buenos Aires y para la Provincia del Neuquem.

2.1.      Ley de Protección de datos personales en la República  de Argentina

2.1.1.   Estructura formal de la Ley

La Ley 25.326 de Octubre 4 de 2000, que regula la protección de los datos personales en Argentina, tiene la siguiente estructura formal:

Capítulo I, relativo a las Disposiciones Generales, compuesto por un objetivo de la ley (artículo 1º); unas definiciones utilizadas en el contexto de la ley y eminentemente técnicas, pero aplicables al derecho informático, tales como: Datos personales, Datos sensibles, Tratamiento de Datos, responsable del archivo, Datos informatizados, Titular de los Datos, Usuario de los Datos, Disociación de los Datos (artículo 2º).

Capítulo II, referente a los Principios generales relativos a la protección de datos, que son los que guían y orientan todo el proceso informatizado de datos de la persona humana y caracterizan a la ley como una norma especial aplicable a las personas físicas o naturales. Estos principios son: a) Licitud del archivo de datos (artículo 3º); b) Calidad de los datos (artículo 4º); c) Consentimiento (artículo 5º); d) Información (artículo 6º); e) categoría de los datos (artículo 7º); f) Datos relativos a la Salud (artículo 8º); g) Seguridad de los datos (artículo 9º); h) Deber de confidencialidad (artículo 10º ); i) Cesión (artículo 11); j) Transferencia internacional (artículo 12).

Capítulo III, relativa a los Derechos de los titulares de datos, que no son otros que las facultades inherentes al Hábeas Data que denominamos administrativa y el consecuente Hábeas Data jurisdiccional en el que desemboca. En efecto, se menciona en principio el derecho a la información que tiene toda persona para consultar sus datos (artículo 13); el derecho de acceso de sus propios datos recabados en bancos de datos públicos o privados (artículo 14º); contenido de la información, la cual debe ser clara, accesible, amplia, no vinculante de terceros y podrá suministrarse por escrito, medios electrónicos, de imagen u otro idóneo (artículo 15º); Derecho de rectificación, actualización o supresión de los datos, como derecho trípode y alternativo de toda persona que se hace efectivo frente al incumplimiento de los organismos o responsables de los bancos de datos, a través de la “acción de protección de datos o de habeas data” (artículo 16º); excepciones al acceso, rectificación, actualización o supresión de datos, por protección de la defensa nacional, orden y seguridad públicos, o de protección de derechos o intereses de terceros (artículo 17º); Comisiones legislativas de seguridad Interior e Inteligencia del Congreso (artículo 18º); se  establece un principio adicional y concreto: el de gratuidad en las gestiones de rectificación, actualización o supresión de datos (artículo 19º); Impugnación de valoraciones personales contenidas en decisiones judiciales o actos administrativos, si revelan un perfil o personalidad del interesado (artículo 20º).

Capítulo IV, sobre los Usuarios y responsables de archivos, registros y bancos de datos. Relaciona la inscripción en el Registro de datos, ante el cual debe realizarse por parte de todo responsable de archivos, registros o bancos de datos públicos o privados (artículo 21º); Archivos, registros o bancos de datos públicos (artículo 22º); bancos de datos especiales de particulares con fines administrativos para la seguridad nacional o pública: fuerzas armadas, de seguridad, organismos policiales y de inteligencia (artículo 24º); prestación de servicios informatizados de datos personales por cuenta de terceros (artículo 25º); prestación de servicios de información crediticia (artículo 26º); Archivos, registros o bancos de datos con fines de publicidad (artículo 27º); Archivos, registros o bancos de datos relativos a encuestas. En las encuestas de opinión, mediciones y estadísticas se aplica la Ley 17.622 (artículo 28º);

Capítulo V, sobre el Control de los datos personales del concernido. Contiene normas referentes al órgano de control, sus facultades, deberes y derechos frente a los titulares, usuarios y responsables del procesamiento de datos. Es un órgano con autonomía funcional y actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. Se designará por cuatro años, por el ejecutivo (artículo 29º); Códigos de conducta para asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada (artículo 30º).

Capítulo VI, relativo a las Sanciones. Las sanciones administrativas son imponibles por el organismo de control, sin perjuicio de las penales o las de responsabilidad por daños y perjuicios derivados de la inobservancia de la ley (artículo 31º); Sanciones penales: se incorpora a la ley dos tipos penales al Código Penal Argentino (artículo 32º).

Capítulo VII, relativo a la Acción de protección de datos personales. Se relaciona la procedencia de la acción en dos casos: a) Para tomar conocimiento de los datos almacenados en bancos de datos públicos o privados; b) Cuando se presuma falsedad, inexactitud, desactualización, o durante el tratamiento de la información, para exigir la rectificación, supresión, confidencialidad o actualización (artículo 33º); legitimación activa de acción por parte del “afectado”, tutores o curadores o sucesores de las personas físicas directamente o por apoderado. La Legitimación de “personas ideales”, se hace por representante legal o apoderado. Coadyuva el Ministerio Público (artículo 34º); legitimación por pasiva. La acción se dirige contra los responsables y usuarios de los bancos de datos públicos y privados (artículo 35º); Competencia: Juez del domicilio del actor. La competencia federal, cuando se interponga en contra de archivos de datos públicos de organismos nacionales, o cuando los archivos de datos se encuentren interconectados interjurisdicciones, nacionales o internacionales (artículo 36º); Procedimiento aplicable a la acción de hábeas data, el del procedimiento de amparo común (artículo 37º); Requisitos de la demanda escrita (artículo 38º); Trámite: Admisión de la demanda, requerimiento a demandado, solicitud de informes, sí procede y resolución en 5 días (artículo 39º); Confidencialidad de la información, salvo en fuentes de información periodística y excepciones de ley (artículo 40º); contestación del informe: razones de su aceptación o negativa (artículo 41º); Ampliación de la demanda: 3 días (artículo 42º); Sentencia (artículo 43º); Ámbito de aplicación: De orden público y se aplica a todo el territorio nacional (artículo 44º); El ejecutivo reglamentará la ley (artículo 45º); Disposiciones transitorias (artículo 46º )

2.1.2.               Comentarios sucintos a la Ley

2.1.2.1.            Aspectos preliminares

Si bien la estructura de la norma especial argentina revela una cohesionada y bien intencionada ley de protección de los datos personales, dirigida a eliminar, restringir o minimizar la alta permeneabilidad que hoy por hoy, tienen los medios TIC y la informática en el pleno de derechos y libertades constitucionales y legales y especialmente del derecho a la intimidad, la imagen, el honor y la buena reputación. No es menos cierto, que dicha  estructura normativa como las finalidades, objetivo, principios, mecanismos administrativos y jurisdiccionales para protegerlos, así como las autoridades creadas para tales fines y loables propósitos no pertenecen a la cultura y experiencia jurídica argentina, pues como duramente lo sostiene Moeykens,  la ley nº 25.326 de noviembre de 2000, “no es mas que una triste copia mal efectuada de la vieja LORTAD española” ^[1].

En efecto, la Ley de protección de datos argentina o de Hábeas Data para la época en que fue expedida debió el legislador, si esa era su técnica y estilo, apegarse al texto ya no de la LORTAD de 1992 que tantas críticas estructurales y de contenido había recibido en el derecho ibérico y en el comparado ^[2], sino a la nueva Ley de protección de datos personales de 1999  (L.O.15/99 o LOPDP) que corregía defectos de forma y fondo evidenciados por las varias demandas de constitucionalidad de personas, asociaciones o del propio defensor del pueblo español ante el Tribunal

_____________________

(1)        MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

(2)         Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.30 y ss.

__________________

Constitucional;  llenaba unos vacíos protuberantes sobre facultades efectivas de los titulares de derechos frente al tratamiento como al almacenamiento de datos, recabados, almacenados o comunicados (“transferidos” o “cedidos”) en bancos de datos (sinónimos de bases, archivos, registros o ficheros de datos); reestructuraba las vías previas y procesales del procedimiento originado en la acción de Hábeas Data; así como también reedificaba la aplicabilidad de la normatividad sobre protección de datos tanto los bancos de datos de titularidad pública como de titularidad privada, con las pertinentes excepciones para unos y otros; entre otros aspectos que brevemente analizaremos ut infra.

Ante este proceder del legislador argentino, podemos decir, que la Ley de protección de datos argentina (LPDA) de 2000, acusa los mismos defectos y falencias de la LORTAD de 1992, y por supuesto, lo más gravé que desconoció las actualizaciones que la LOPDE de 1999 de España debió transponer como obligación de Estado miembro de la UE y previstas en  las Directivas Europeas 95/46/CE y 97/66/CE.

Sin embargo y paradójicamente a nivel latinoamericano se pone a la vanguardia en legislación específica sobre la materia, pues acoge el modelo normativo europeo sobre protección de datos personales, al transliterar la LORTAD de 1992 al derecho argentino. Efectivamente la LORTAD recoge normativamente hablando, los lineamientos, objetivos, principios y normas procedimentales sobre protección de los datos personales contra los abusos del “poder informático” previstos en las normas aplicables a la Unión Europea, entre ellos, El Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981 y las recomendaciones de la OCDE de 1980, así como también de las normas alemanas y suizas de la década de los años setenta, sobre protección de datos personales.

2.1.2.2.            En relación al objeto y aplicabilidad de la ley

En relación al objeto de la ley, la LORTAD especificaba en el artículo 1º que ésta tenía por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. Con lo cual, el objeto resulta mucho más amplio que el propuesto por la Ley de protección de datos argentino. Objeto que fue parcialmente mutilado.

El Objeto de la nueva Ley orgánica de protección de datos española (LO.15/99), aclara de una buena vez, lo que en la LORTAD era objeto de interpretación y discusiones doctrinales y jurisprudenciales, vale decir que ésta sólo se dirige a proteger los derechos fundamentales de las personas naturales o físicas ^[3] “y especialmente de su honor e intimidad personal y familiar”, derechos personalísimos que se reputan del ser humano, pero no de las personas jurídicas, morales o “ideales”, como se denominan en el derecho argentino.

La LPDA de 2000, estipula en el inciso segundo del artículo 1º,  que la ley también será aplicable a las “personas de existencia ideal“, previendo que también existe una especie de derecho al honor y la intimidad de las personas jurídicas que eventualmente pudieran ser vulnerados por los abusos del “poder informático” o los tratamientos informatizados de los datos de aquellas. Precisamente para evitar esa discusión que se dio en el derecho ibérico y ahora la revive el derecho argentino, la nueva ley española de protección de datos enfatizó en la protección de derechos fundamentales de la persona humana. Quizá la jurisprudencia de la Corte Suprema Argentina, examine a fondo este aspecto y pueda declarar inconstitucional, la extensión de la ley a las personas ideales.

__________________

(3)        Ob., ut supra cit.

___________________

2.1.2.3.            En lo referente a las definiciones técnico-jurídicas de la ley

La LORTAD de 1992, tal como lo recoge la LPD argentina en el artículo 2º  y lo mantiene la LOPDP de 1999, en el artículo 3º,  se suministran unas definiciones técnico-jurídicas aplicables al tratamiento de datos personales y al mejor entendimiento del objeto y fines de la Ley de Protección de Datos. La principal diferencia entre la LPD de Argentina, es que considera dato personal, toda información concerniente a personas físicas e ideales, cuando la LORTAD de 1992 y la LOPDP española de 1999, solo consideran a los efectos de la ley, la información de las personas físicas.

El  término  “Archivo, registro, base o banco de datos“, como el conjunto organizado de  datos personales que son objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso que relaciona el artículo 2º, inciso 3º de la LPD argentina, resulta más amplio y comprensible que término “fichero automatizado“ ^[4]  que traía el artículo 3º, literal b, de la LORTAD, pues como observábamos en su momento el tratamiento de datos no sólo puede darse por medios electrónicos, informáticos o telemáticos, sino también por medios mecánicos, escritos o tradicionales. La LOPDP española, en el artículo 3º, literal b, corrigió dicho error y sólo mención al término “fichero” (del francés “fichiers”, sinónimo de banco o base de datos).

La LPD argentina en el artículo 2º, inciso 7º,  define el término “titular de los datos“, como toda persona física o persona de existencia ideal…cuyos datos sean objeto del tratamiento previsto en la ley. Esto en concordancia a lo dicho anteriormente que son sujetos destinatarios de la ley, no solo las personas físicas sino también las jurídicas.

La LORTAD de 1992, en su momento ya era criticada porque definía el solo el término “afectado”, como a  la Persona física titular de los datos que fueran objeto del tratamiento informatizado (electrónico o manual) previsto en dicha ley. Se cuestionaba la acepción negativa utilizado por la LORTAD para identificar al titular de algún derecho y por eso la LOPDP española adicionó a dicho término el calificativo de “o interesado“, para incluir el lado positivo del concepto de titular de los datos.

La LPD argentina en el artículo 2º, inciso 2º,  define una institución jurídica altamente permeable y de difícil concreción en una definición, como son los “datos sensibles”. Así lo entendió la LORTAD de 1992 y lo ratificó la LOPDP de 1999, las cuales prefirieron regular la institución sin nominarla expresamente en diferentes normas relativas a los niveles  potenciados de protección de ciertos datos especiales y en tal virtud, reglamentar lo relativo a la limitación, restricción o prohibición de aquellos, según la fase del tratamiento informatizado o no de los “datos especialmente protegidos” y como consecuencia ineludible de la aplicación del principio rector del tratamiento de datos, cual es el “consentimiento” de titular de los datos (“afectado o interesado”, según la LOPD).

La LPD Argentina definió los “datos sensibles”, como aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

______________________

(4)        La LORTAD de 1992, definía así: “Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso“.

__________________________

La Exposición de Motivos de la LORTAD de 1992, sobre el tema propuesto, manifestaba:

Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados “datos sensibles”, como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.

Los demás términos definidos por el artículo 2º de la LPDA de 2000, son de idéntica transliteración a los relacionados en la LORTAD de 1992.

2.1.2.4.            Los principios que orientan el tratamiento de datos

Los principios instituidos en toda ley o norma jurídica obedecen a la utilidad suprema que de estos se hace en el contexto de la norma y las finalidades que prestan para entender, interpretar o aplicar al caso concreto un inciso, artículo, capítulo o título de la ley. Estos principios sirven de guía y orientación al operador jurídico y por ello la denodada construcción del legislador al comienzo de cada norma jurídica.

Los principios o directrices interpretativas o integradoras de la protección de los datos personales en el derecho argentino se plasman en los artículos 3º a 12º de la Ley 25326 de 2000. Estos son: (i) licitud de las bases de datos, (ii) Calidad de los datos, (iii) consentimiento, (iv) Deber de información, (v) Categoría de datos, (vi) Datos relativos a la Salud, (vii) Seguridad de los datos, (viii) Deber de confidencialidad, (ix) Cesión, (x) Transferencia Internacional.

La LPD Argentina en estos temas  transcribe en su integridad y extensión lo previsto en los artículos 4 a 11º de La LORTAD de 1992. Sin embargo, existen algunas diferencias, particularmente sobre lo siguiente:

1. a) La LPD individualiza el principio de la licitud de los “Archivos de datos” que la LORTAD lo incluye en el principio de la calidad de datos. La Ley Argentina, estima que tanto en la formación, como en el tratamiento y las finalidades las bases de datos no deben ser contrarios a la leyes o “a la moral pública“.

1. b) Si bien el principio del consentimiento se establece como regla general en todo procedimiento o tratamiento de datos personales en la LPD Argentina, como en la LORTAD de 1992, en la primera se instituyen unas excepciones numerus clausus, en los que no se requiere dicho consentimiento, al punto que la LORTAD enfatizó en las excepciones relativas a las fuentes accesibles al público, cuando se recolecte información para el ejercicio de las funciones de las “Administraciones Públicas” y las que surgen en las relaciones laborales ^{[ 5 ]}.

Por su parte, la LPD Argentina, manifiesta en el artículo 5º , numeral 2º , que no se requerirá el consentimiento del concernido cuando: (i) los datos se obtengan de fuentes de acceso irrestricto, (ii) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal, (iii) Se trate de listados cuyos datos se limitan a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio, (iv) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento, (v) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

El consentimiento en la LORTAD de 1992, según el numeral 3º del artículo 6º, podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos. Este derecho de capital importancia para el titular de los datos no fue previsto en la LPD Argentina.

1. c) El deber de la confidencialidad prevista en el artículo 10º de la LPD Argentina, se diferencia tan solo en el nombre utilizado por el artículo 10º de la LORTAD de 1992, pues en ésta se denomina “Deber de secreto”. En cuanto al contenido son idénticos. Resulta una adición válida la hecha por la LPD Argentina, cuando estipula en el numeral 2º del artículo mencionado, que “el obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública“.

1. d) La LPD Argentina de 2000, instituye como principio importante del tratamiento de datos personales, “la transferencia internacional” que por regla general esta prohibida, si los países u organismos internacionales no ofrecen niveles de protección adecuada (y agregamos, y niveles de seguridad tecnológica y jurídica pertinentes). Se exceptúa en los siguientes casos: (i) Colaboración judicial internacional; (ii) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se aplique un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables; (iii) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicables; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; y, (v) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

La LORTAD de 1992, le dedica a este tema el Título V, relativo al “Movimiento Internacional de datos“, y en el artículo 32, se establece la regla general de no podrán realizarse transferencias temporal ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o

____________________

(5)        El artículo 6º, numeral 2º de la LOPDP Española de 1999, amplia el listado en el cual no se requerirá el consentimiento del concernido,  (i) cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; (ii) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (iii) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley (Es decir, los datos de la salud para diagnóstico y prevención que afecte la vida del interesado); (iv) o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

_______________________

hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En cuanto a las excepciones a la regla, son de idéntico tenor a las previstas en el artículo 12º numeral 2º de la LPDA de 2000.

La LOPDP de 1999, acogiendo las críticas hechas a la LORTAD en su momento, reestructuró la norma y en el numeral 2º del artículo 33, agregó sobre el movimiento Internacional de Datos para estar acorde con las Directivas 95/46/CE y 97/66/CE, que el carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. Así mismo, aumento el listado de excepciones al previsto en la LORTAD de 1992 y que ut infra precisaremos.

2.1.2.5.            Los derechos de los titulares de los datos personales

La doctrina ha clasificado los derechos y deberes ^[6] de las personas frente a la recolección, el almacenamiento, el tratamiento propiamente dicho y la comunicación (“circulación” o “transferencia”) de datos, tal como lo confirma Tanús, al recoger un clasificación de Cifuentes de la siguiente manera: (i) Derecho oposición, (ii) derecho de información, (iii) Derecho de acceso, (iv) derecho de rectificación, cancelación o supresión; (v) Derecho de tutela, (vi) Derecho a la impugnación de valoraciones; y, (vii) Derecho de consulta. Y agregamos, el primero el derecho a conocer la información por parte del concernido, y el último en esta clasificación, el derecho a la oposición a la comunicación de los datos sensibles o a aquellos en donde no ha dado su consentimiento, siendo que éste se requiere expresamente.

Sin embargo, a efectos de nuestro ensayo nos referiremos a los derechos que aparecen en la ley. La LPDA, en los artículos 13 a 20, expresa que estos son: (i) Derecho a la Información, (ii) Derecho de acceso, (iii) Derecho de rectificación, actualización o supresión; y (iv) Derecho a la impugnación de valoraciones personales. Estos derechos son de idéntico tenor a los previstos en los artículos 12 a 17 de la LORTAD, con mínimas diferencias.

El Derecho a la información, es aquél que tiene toda persona para solicitar información al organismo de control (autónomo y descentralizado del ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, en el derecho argentino) relativa a la existencia de bancos de datos personales, sus finalidades y la identidad de sus responsabilidades. Igual contenido tiene el artículo 13 de la LORTAD de 1992. La diferencia estriba en que la información se ha de solicitar al Registro Nacional de Datos Personales dependiente de la Agencia de Protección de Datos española (APDE), que es el organismo de control general de datos en todo el territorio español

_______________________

(6)        Como deberes se establece: (i) Deber de secreto, (ii) Deber de inscripción, (iii)  Deber de información, (iv) Deber de seguridad, (v) Deber de velar por la calidad de datos, (vi) Deber de dar acceso a los datos, (vii) Deber de rectificación, cancelación y supresión, (viii) Deber de bloqueo, (ix) Deber de controlar la cesión de datos a terceros, (x) Deber de información al cesionario. Cfr. TANUS, Gustavo D. Protección de datos personales: principios, derechos, deberes y obligaciones.  En: http://www.protecciondedatos.com.ar

___________________________

La información que suministre (en forma escrita o por medios electrónicos, teléfono, telemedia o cualquier otro medio idóneo) el organismo competente argentino debe ser clara, exenta de codificaciones y fuera necesario   acompañada  de  una  explicación,  en lenguaje accesible a todos. Así mismo, la información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el interesado.

El Derecho de acceso de datos, lo tienen: (i) El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes; y (ii) El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

Vencido el plazo estipulado en el numeral (ii), sin que se satisfaga solicitud de información, o si se expidiera el informe, éste no es completo, quedará expedita la acción de protección de datos o de Hábeas Data. Esta acción es gratuita y se ejerce a intervalos no inferiores a  seis meses (12 meses en la LORTAD), salvo que se acredite un interés legítimo al efecto.

El derecho de rectificación, actualización, supresión (“cancelación” dice la LORTAD y así lo reconoce la doctrina argentina ^{[ 7 ]} ) y de confidencialidad  son aquellos derechos que tienen todas las personas, cuando sea concernidas con datos o informaciones que se hayan recabado, almacenados o administrados en bancos de datos de carácter público como de carácter privado. En tal virtud, el responsable o usuario del banco de datos, procederá a rectificar, actualizar, suprimir o conservar la confidencialidad de los datos personales del concernido, realizando las operaciones necesarias para conseguir dichos fines, dentro del plazo de cinco días hábiles a la recepción del reclamo o de detectado el error o la falsedad en los datos. Si se incumple éste término, habilita al titular de los datos para que ejerza la acción de protección de los datos o Hábeas Data.

En el evento de cesión o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.

La supresión de datos no procede cuando pudiera causar perjuicios a terceros, o cuando existiera una obligación legal de conservar los datos.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que encuentra sometida a revisión.

______________________

(7)        El derecho de cancelación permite eliminar del archivo o base de datos a aquellos datos personales que, por diversas circunstancias, no deben figurar en el mismo. Es importante poner de manifiesto que el término “cancelación” debe ser entendido en forma amplia como la acción tendiente a hacer irreconocibles los datos archivados, ya sea anulando, destruyendo, borrando, tornando ilegibles o declarando su nulidad. La metodología empleada diferirá de acuerdo a las circunstancias. Demás está decir que existen casos en los que, por cuestiones de interés público, será imposible eliminar completamente una información. Prueba de ello es la excepción a la destrucción física de los datos que la ley contempla en artículos al referirse al mecanismo de bloqueo de datos.  Cfr. TANUS, Gustavo D. Protección de datos personales… Ob., ut supra cit.

_____________________

Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

La LPDA de 2000, establece unas excepciones al derecho de acceso y de rectificación, actualización y supresión, por parte de los responsables o usuarios de los datos personas, mediante “decisión fundada” (o mejor, motivada y notificada) en los siguientes casos: (i) Cuando se trate de la función de protección de la defensa de la Nación, del orden y la seguridad públicas, o de la protección de los derechos o intereses de terceros; (ii) Cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. El derecho de acceso se permitirá en el evento que el titular del dato lo requiera para su defensa.

El derecho a la impugnación de valoraciones personales consiste en la facultad que tiene toda persona para impugnar una decisión judicial o un acto administrativo, cuando estas impliquen apreciación o valoración de la conducta humana y a la cual sólo se llegue como y único fundamento sea el resultado de un tratamiento informatizado de datos personales y configure un banco de datos público o privado. Será nulas las decisiones o actos que contravengan este derecho.

Sobre el tema en particular, el artículo 12 de la LORTAD, fue transvasado por la LPDA de 2000, hasta el punto que sólo se hace referencia a los actos administrativos o “decisiones privadas”, las que pueden impetrarse por el titular de los datos mediante los recursos administrativos o particulares pertinentes, pero no de las “decisiones judiciales”, pues éstas tienen otro tratamiento e impugnación jurídicos dentro de cada proceso jurisdiccional y que por su puesto no será pertinente o idóneo el recurso administrativo o particular. Igualmente se transvasa la LORTAD, cuando determina que los actos que contravengan las disposiciones de la LPDA, artículo 20, serán “insanablemente nulos“, pues esto no esta previsto en la LORTAD y jurídicamente resultaría improcedente el declaratoria de nulidad de una decisión judicial en la que se haga una valoración del comportamiento de una persona (que no “conducta humana”, como dice el artículo 20) que suministre un “perfil o personalidad del interesado”.

En efecto, el artículo 12 de la LORTAD, sostiene: “El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad”. La LOPDP española de 1999, amplia los supuestos en los que pudiera valorarse el comportamiento de una persona y el efecto jurídico que podría dársele a éstas en el artículo 13, pero en ningún caso la declaratoria de nulidad por una autoridad que no sería la competente para hacerlo. El numeral 4º del artículo 13 sostiene: la valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Bien sea por vía reglamentaria de la LPDA de 2000, o por vía de aplicación supletoria de la Ley de procedimiento Administrativa Argentina, el ejecutivo debería prever el procedimiento administrativo que se desata para ejercer los derechos de información, acceso y oposición, así como de rectificación, actualización y cancelación de los datos y  igual forma del derecho a impugnación de la valoración del comportamiento humano mediante un tratamiento de datos, pues hasta que esto no se clarifique el titular de estos derechos y la autoridad competente que debe conferir y decidir, si fuere presentado un derecho de petición en concreto, pueden proceder conforme a derecho.

El ejercicio de estos derechos ante el organismo de control de la protección de datos, bien podría instituir lo que llamamos el Hábeas Data administrativo, pues una vez agotado los trámites, procedimientos o términos procesales, podrá acudirse al Hábeas Data jurisdiccional, que en la LPD Argentina de 2000, se posibilita no por agotamiento previo de esas vías administrativas, sino por incumplimiento de las autoridades competentes del control a resolver en el término prefijado por la LPDA, o por el simple transcurso del tiempo, sin resolución alguna, es decir, por la configuración de una especie de silencio administrativo negativo de plazo brevísimo: (i) Diez (10) días para ejercer la acción de Hábeas Data, cuando no se hace efectivo el derecho de acceso a la información del titular de los datos; (ii) Cinco (5) días para ejercer el Hábeas Data, cuando no se hace efectivo el derecho de rectificación, actualización o cancelación de los datos.

2.1.2.6.            Sobre la prestación de servicios de solvencia patrimonial o crediticia

La LPDA de 2000, regula el tema de la “prestación de servicios de información crediticia” en el artículo 26 de parecida redacción al artículo 28 de la LORTAD y artículo 29 de la LOPDE de 1999, sobre la prestación de servicios de solvencia patrimonial o crediticia.

El  dato   financiero,   como   hemos  tenido  oportunidad  de decirlo  en  otro  de nuestros trabajos^[8], se entiende aquella información concerniente a una persona determinada o determinable tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público, se puede decir genéricamente que el dato es financiero, pues según el diccionario el término financiero puede definirse como lo “perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles” ^{[ 9 ]}, con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

Las Leyes de protección de datos española de 1992 y 1999, regulan esta clase especial de datos de la persona humana tan solo desde el ámbito privado, tal como lo confirma la ubicación de los artículos 28 y 29, respectivamente. En efecto, las normas hacen parte integrante del Título IV, relativo a la “Disposiciones Sectoriales”, Capítulo II, “Ficheros de titularidad privada“.  En cambio, la LPDA al no ubicar formalmente bajo un título o capítulo de la ley que determine qué clase de información financiera regula, deberá entenderse que lo hace en el ámbito privado y público, indistintamente, aunque los contenidos sigan siendo de la información financiera de carácter privado de la norma origen: la LORTAD.

La LPDA de 2000, expone en el artículo 26, que en la prestación de servicios de información crediticia sólo pueden tratarse los siguientes datos personales: (i) Los de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público (vale decir, los de dominio público, sin restricción o limitación alguna que no sea un pago por la contraprestación ^[10] ) o procedentes de informaciones facilitadas por el interesado o con su consentimiento; y, (ii) Los relativos al cumplimiento o incumplimiento de las obligaciones de carácter patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

___________________

(8)        RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

(9)        Ob., ut supra cit.

(10)       AA.VV. Microsoft® Encarta® 2007. © 1993-2006 Microsoft Corporation. Reservados todos los derechos.

_____________________

El tratamiento o procesamiento de estos datos financieros, en el derecho argentino deberán observar las siguientes reglas: (i) A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión; (ii)  Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económica financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación debiéndose hacer constar dicho hecho; y (iii) La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

Los datos personales de carácter privados recabados en los correspondientes bancos de datos, tanto en la legislación española de 1992  como en la legislación argentina de 2000, hacen énfasis en los realizados con fines de publicidad, los relativos a encuestas o investigaciones y los destinados a la prestación de servicios de información de solvencia patrimonial y crediticia. La LORTAD de 1992, incluía también los relativos a los abonados a los servicios de las telecomunicaciones y otros servicios prestados a la comunidad. Por su parte, la LOPD española de 1999, se ratifica los anteriores, reestructura los bancos de datos en los que se incluye información de acceso al público e incluye entre ellos, a los que figuren en el censo promocional, las listas de personas o grupos profesionales, los colegios profesionales, entre otros. Así como también los tratamientos con fines de publicidad y prospección comercial y censo promocional.

Sin embargo, es innegable que los asuntos que más nutren la jurisprudencia de la Corte Suprema de Justicia de la República argentina son los de índole financiero, especialmente en la labor crediticia de las entidades o instituciones bancarias privadas más que públicas, como tuvimos oportunidad de ponerlo en evidencia en el trabajo ut supra citado ^{[ 11 ]}. Todo por cuanto desde el nacimiento mismo de los proyectos de ley que trataban de regular el Hábeas Data como derecho y garantía constitucional previsto en las respectivas constituciones, el énfasis que se marcaba por la alta sensibilidad de los destinatarios de la información (usuarios, responsables de los bancos de datos  y con mayor razón el titular de los datos personales), consistía en la información financiera ^[12]. Aunque también hay que reconocer que en unos Estados Latinoamérica, más que en otros, se ha convertido en un obstáculo real a la hora de desarrollar y reglamentar legislativamente el Hábeas Data ^[13].

_____________________

(11)       Según el artículo 3º de la LOPD de España de 1999, para evitar confusiones terminológicas definió a las fuentes accesibles al público en el literal j), así: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación“.

(12)       RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

(13)       La historia legislativa  sur y centro americana cuando de la reglamentación del derecho y garantía constitucional del Hábeas Data se trata, ha mostrado la propensión a reglamentarlo haciendo énfasis en el dato financiero, fiscal, tributario, tarifario o de servicios públicos más que en cualquier otra arista del dato personal. Así se demuestra en los variopintos proyectos de ley orgánica o especial que en su momento los Estados de Argentina, Perú, Chile, Uruguay, Paraguay, excepto el Brasil cuya motivación e inspiración constitucional del Hábeas Data hunde sus raíces en el Constitucionalismo Portugués y en el ámbito de la seguridad e información ciudadana, los secretos de Estado y las actividades desbordantes, por decirlo menos, de la policía política, a juicio de DE ABREU DALLARI, Dalmo. En: RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

______________________

En Colombia por ejemplo, quizá el dato financiero haya sido la mayor piedra en el zapato, a la hora de expedir una Ley relativa a la reglamentación integral del Hábeas Data, aunque los diversos proyectos de ley de diferentes orígenes (parlamentario, gubernamental, defensoría del pueblo, entre otros), algunos no logren hacer el tránsito legislativo inicial, otros se queden en la etapa de control constitucional previo, por vicios de forma (por ser proyectos de ley estatutaria que tienen un procedimiento legislativo especial) y los últimos no logren el puntillazo legislativo final por errores o vicios de trámite legislativo, pero ninguno de ellos por estudio del contenido total o parcial. Esta labor la ha hecho la doctrina al develar los contenidos con muchas falencias, parcializados, descontextuados, con transliteraciones y mutilaciones de leyes extranjeras, o con exagerados énfasis de un solo tipo de dato personal: el financiero.

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

Mediante la Ley nº 1845, se reglamenta la protección de datos personales de la ciudad autónoma de Buenos Aires, la cual ha sido “vetada parcialmente” por el Decreto 1914 de 2006, de 29 de Diciembre.

2.2.1.   Estructura formal de la Ley

La estructura formal de la ley es la siguiente:

Título I, relativo a las “Disposiciones Generales“: El Objeto de la ley: la regulación del tratamiento informatizado de los datos de las personas físicas e “ideales” dentro de la ciudad de Buenos Aires (artículo 1º);  Ámbito de aplicación: Se extiende a los bancos de datos públicos de entidades y organismos nacionales y descentralizados presentes en la ciudad de Buenos Aires, bien pertenezcan  al poder ejecutivo, legislativo y judicial (artículo 2º); Definiciones de términos técnico jurídicos de: Datos personales, Datos sensibles, Archivos, Registros, Bases o Bancos de Datos, Tratamiento de datos, Titular de los datos, Responsable del Archivo, Registro, Base o Banco de Datos, Encargado del Tratamiento, Usuario de Datos, Fuentes de Acceso Público Irrestricto (artículo 3º)

Título II, referente al “Régimen de los Archivos, registros o bases o bancos de datos” Creación de archivos, registros, bases o bancos de datos, con fines y propósitos lícitos y socialmente aceptados (artículo 4º); Tratamiento de datos personales efectuados por terceros. Vetados incisos 1º y 2º  por del Decreto1914/05. El inciso 3º hace referencia a los contratos de prestación de servicios de tratamiento de datos personales deben contener niveles de seguridad exigidos por la ley (artículo 5º).

Título III, sobre los “Principios Generales de la protección de los datos personales”: (i) Calidad de los datos; (ii) consentimiento; (iii) Datos sensibles; (iv) Datos relativos a la salud; (v) Cesión de Datos; (vi) Transferencia interprovincial; (vii) Transferencia internacional, artículos 6º a 12º.

Título IV, relativo a “Los derechos de los titulares de los datos personales”, estos son: (i) Derecho de información; (ii) Derecho de acceso; (iii) Derecho de rectificación, actualización y supresión; (iv) Excepciones: Orden o Seguridad pública, derechos o intereses de terceros. Artículos 13º  a 15º.

Título V, referente a “Las obligaciones relacionadas con los datos personales asentados en archivos, registros o bancos de datos” Son: (i) confidencialidad; (ii) Seguridad; (iii) Obligaciones del responsable del banco de datos; (iv) obligaciones del encargado del tratamiento de datos; (v) Obligaciones del usuario de datos; (vi) valoraciones. Artículos 16º a 21º.

Título VI, concerniente al “Control”: El defensor del Pueblo (artículo 22) Funciones de registro de la Defensoría: (i) Incisos 1º, 2º y 13º  vetados por el decreto mentado; (ii) La demás vigentes (artículo 23). Conocimiento de los bancos de datos por toda persona (artículo 24º).

Titulo VII, concerniente a las “Infracciones”: infracciones administrativas que desconozcan los principios, obligaciones y derechos del tratamiento de datos personales por usuarios y responsables de los datos (artículo 25º).

Titulo VIII,  relativa a las “Sanciones”: (i) Responsabilidad de los responsables, usuarios o cesionarios de los bancos de datos del sector público de la ciudad de buenos Aires. (ii) Inmovilización de archivos, registros o bancos de datos. Artículos 26º y 27º

Titulo IX,  sobre la “Acción de Protección de Datos”: procede: (i) conocer los datos almacenados en bancos de datos del sector público en la ciudad de Buenos Aires; y (ii) En caso de infracción de la ley y la ley 25236, solicitar la rectificación, actualización, confidencialidad y supresión de datos. Exceptúan las fuentes periodísticas (Artículo 28º); Legitimación por activa: todo “afectado”, curador, tutor y sucesores de las personas físicas; las personas “ideales”, por representación legal o apoderado (artículo 29º); La legitimación por pasiva. Vetada por el decreto citado (artículo 30º); Jurisdicción y procedimiento aplicado (artículo 31º); Requisitos de la demanda (artículo 32º); Trámite (artículo 33º); confidencialidad de la información (artículo 34º); contestación del informe (artículo 35º); ampliación de la demanda (artículo 36º); Sentencia (artículo 37º).

Titulo X, concerniente a “Las disposiciones particulares”: (i) Prestación de servicios sobre solvencia patrimonial y crediticia; (ii) Privacidad laboral en el ámbito del sector público de la ciudad de Buenos Aires; (iii) Disposiciones transitorias.

2.2.2.   Comentarios sucintos a la ley

La Ciudad Autónoma de Buenos aires, reguló la protección de los datos en la Ley nº 1.845 de 2005 o LPD de CABA, siguiendo los parámetros y estructura de la Ley de protección de los datos de Argentina: Ley nº 25.326 de Octubre 4 de 2000. En tal virtud, los comentarios realizados a ésta ley son válidos para la presente. Sin embargo, se debe aclarar que la LPD de CABA, se expidió con el propósito claro de reglamentar el Hábeas Data solo en el sector público, tal como quedó plasmado en el objetivo y campo de aplicación de la ley (artículos 1º y 2º).

En efecto, la LPD de CABA, tiene por objeto y dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad Buenos Aires.

Cuando los datos se refieran a información pública y no a datos personales será de aplicación la ley 104 de la Ciudad de Buenos Aires, es decir, Ley nº 104 de 1998, relativa al acceso a la información pública, pues toda persona tiene derecho, de conformidad con  el principio de publicidad de los actos de gobierno, a solicitar y a recibir información completa, veraz, adecuada y oportuna, de cualquier órgano del estado presente en la ciudad de Buenos Aires.

A efectos de los comentarios de la presente ley nos referiremos a dos temas no tratados en la LPDA de 2000. Estos son: (i) El organismo de control previsto en la ley para la protección y garantía del Hábeas Data y los derechos fundamentales vinculados con éste; y (ii) Sanciones e Infracciones con motivo del tratamiento de datos.

2.2.2.1.            La Defensoría del Pueblo como organismo de control de la protección de datos

La Ley de Protección de datos personales de la ciudad Autónoma de Buenos Aires (LPD de CABA, designa como organismo de control de los datos personales a la Defensoría del Pueblo.

Según el artículo 137 de la Constitución de la Ciudad Autónoma de Buenos Aires, de 1º de Octubre de 1996, la Defensoría del Pueblo es uno de los organismos de Control de la ciudad autónoma de carácter unipersonal e independiente con autonomía funcional y autarquía financiera, que no recibe instrucciones de ninguna autoridad.

Es su misión la defensa, protección y promoción de los derechos humanos y demás derechos e intereses individuales, colectivos y difusos tutelados en la Constitución Nacional, las leyes y esta Constitución, frente a los actos, hechos u omisiones de la administración o de prestadores de servicios públicos.

Por su parte,  el artículo 22 de la LPD de CABA, al designar como organismo de control a la Defensoría del Pueblo le confiere unas atribuciones específicas sobre la protección de los datos personales, aparte de las funciones constitucionales previstas en el transcrito artículo.

Estas funciones  son: (i) Llevar un Registro de los archivos, registros, bases o bancos datos creados por el Sector Público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrán presentar sus reclamos, de conformidad con lo establecido en el art.4 inc.3 de la presente Ley; (ii) Garantizar el acceso gratuito al público de toda la información contenida en su Registro; (iii) Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las personas; (iv) Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y cumplimiento a los principios contenidos en la presente Ley; (v) Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen establecido por la presente Ley; (vi) Recibir denuncias; (vii) Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires; (viii) Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el archivo, registro, base o banco de datos; (ix) Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad de Buenos Aires; (x) Elaborar informes sobre los proyectos de Ley de la Ciudad de Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos personales; (xi) Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Ciudad de Buenos Aires; (xii) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Por su parte, el Decreto 1914 de 29 de diciembre de 2006, vetó las siguientes funciones: (i) Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del Sector Público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley; (ii) Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así como demás extremos pertinentes; (iii) Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el Sector Público de la Ciudad de Buenos Aires.

Estas funciones vetadas a la Defensoría del pueblo corresponden a los incisos 2º, 3º y penúltimo del artículo 22 de la LPD de CABA. Las razones jurídico constitucionales que suministra el Decreto 1914 para el veto, estriban en explicar que la Defensoría del Pueblo si bien es un organismo de control (no ejecutivo ni reglamentario) que no pertenece a las tres ramas del poder público, tiene su autonomía funcional y autarquía financiera y no recibe de instrucciones de ninguna autoridad.   Además, se considera:

1. a) Que la gestión de gobierno en general hace indispensable la utilización de herramientas registrales o de bases de datos conforme lo permite el desarrollo tecnológico alcanzado, por lo que buena parte del instrumental que utilizan los tres poderes de Gobierno se nutre de la generación de bases de datos que, compartiendo con el espíritu de la ley, necesariamente deben ser controladas para evitar un avance estatal sobre la privacidad y derechos que la Constitución de la Ciudad garantiza a las personas que habitan en nuestro territorio, independientemente de la protección que otorga la Constitución y Ley Nacional;

1. b) Que no obstante lo expuesto, del análisis de los párrafos 2°, 3° y penúltimo del referido artículo se advierte que la norma ha conferido a la Defensoría del Pueblo de la Ciudad de Buenos Aires facultades propias del Poder Ejecutivo que exceden la natural esfera de control que debe ejercer el citado organismo, para incursionar en las correspondientes a la administración activa, relacionadas con la implementación y ejecución de las políticas gubernamentales;

1. c) Que las estipulaciones del mismo, al otorgar facultades ejecutivas al órgano de control -la Defensoría del Pueblo de la Ciudad de Buenos Aires-, a través de la creación del Registro de Datos Personales que funcionaría en su órbita, devienen exorbitantes, toda vez que el referido registro concentra la capacidad de autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad; estableciendo los requisitos y procedimientos que deberán cumplimentar dichos archivos, registros, bases y bancos de datos personales, relativos al proceso de recolección de datos, diseño general del sistema, mecanismos de seguridad y control, etc.;

1. d) Que en este aspecto, la ley que se analiza avanza sobre la competencia natural del órgano ejecutivo, al atribuir a la Defensoría del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la normativa reglamentaria, vulnerando de esta manera flagrantemente lo normado por el art. 102 de la Constitución de la Ciudad de Buenos Aires, que ha otorgado en forma expresa dicha atribución al Poder Ejecutivo;

1. e) Que según surge del artículo referido el registro que se crea, no sólo determinaría eventualmente qué conformación técnica deberían tener los registros o bases de datos del sector público de la Ciudad, sino que además debería habilitar su funcionamiento;

1. f) Que de no observarse el artículo 23 en los párrafos señalados, la Defensoría del Pueblo debería autorizar, sólo a modo de ejemplo el funcionamiento de las constancias de datos del Padrón de Contribuyentes y el Registro de Contribuyentes de la Dirección General de Rentas, las bases de prestatarios de servicios de taxis y remises; el Sistema de Seguimiento de Juicios de la Procuración General (SISEJ); las bases de permisionarios en cementerios; el Registro Único de Proveedores (RUP), todas las bases de datos del Registro Civil, el sistema único de mesa de entradas (SUME), etc.;

1. g) Que ello implicaría supeditar todo el funcionamiento de la administración a la autorización de un órgano de control independiente, la Defensoría del Pueblo;

1. h) Que si bien se comparte el espíritu de la ley sancionada, en cuanto al necesario control que debe instrumentarse en esta materia sobre la actividad administrativa del subsector estatal, e independientemente del poder de gobierno que esté a cargo de su implementación, corresponde señalar que tanto la actividad de reglamentación del sistema, como la de habilitación de los registros o bases, atribuida a un “Registro” creado en la órbita de la Defensoría del Pueblo, podría subvertir el orden constitucional.

Sin embargo, la Defensoría del Pueblo, a tenor del artículo 24 de la LPD de CABA, está habilitada, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales: (i) legalidad de la recolección o toma de información personal; (ii) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos; (iii) legalidad en la cesión propiamente dicha; y, (iv) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

Todo lo anterior,  por cuanto toda persona podrá conocer la existencia de archivos, registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los derechos del titular de los datos así como toda otra información registrada.

2.2.2.2.            Infracciones y Sanciones en el tratamiento de datos

A tenor del artículo 25 de la LPD de CABA, se consideran infracciones en el tratamiento de los datos personales, las siguientes de carácter administrativo:

1)         Realizar el tratamiento de datos desconociendo los principios rectores del tratamiento, ut supra analizados en la Ley de Protección de Datos Argentina, que son los mismos de la presente ley, artículos 6º a 12º .

2)         Incumplir las obligaciones de confidencialidad, seguridad, obligaciones del responsable del banco de datos, obligaciones del encargado del tratamiento de datos, obligaciones del usuario y valoraciones (artículos 16 a 21 de la ley)

3)         No proceder a solicitud del titular de los datos, o del Organismo de Control a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.

4)         Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al Organismo de Control en los supuestos, tiempo y forma que la misma estipula.

5)         Ceder datos personales en infracción a los requisitos que se establecen en el artículo 10º de la LPD de CABA.

6)         Crear archivos, registros, bases o bancos de datos, ponerlos en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en la LPD de CABA.

7)         No cumplimentar los demás extremos o requisitos que esta ley establece, así como aquellos que el organismo de control establezca en ejercicio de su competencia.

8)         Obstruir las funciones que la LPD de CABA, le reconocen al organismo de control.

9)         Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así como cualquier otro derecho de que sean titulares las personas físicas o de existencia ideal.

Estas sanciones, serán aplicadas de conformidad  con las condiciones y procedimientos que al efecto se establezca en la reglamentación a la LPD de CABA. Dichas infracciones  deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso.

Por su parte, el artículo 26 de la LPD de CABA, establece un régimen sancionador correctivo y preventivo de carácter administrativo, cuando se constituya una de las infracciones anteriormente enlistadas.

Como régimen general de responsabilidad se establece que los responsables, usuarios, encargados o cesionarios de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le reconoce a los ciudadanos serán considerados incursos en falta grave.

Consecuentemente, el régimen sancionatorio administrativo correspondiente deviene de la comisión de alguna de las infracciones tanto previstas en el LPD de CABA, como en las previstas en la Ley de Protección de Datos de Argentina (Ley 25.326). Esto sin perjuicios de las responsabilidades administrativas, por daños y perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera verificado la infracción: (i) La adopción de las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo, registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos personales; y (ii) La aplicación de las pertinentes sanciones administrativas a los responsables de la infracción individualizando al responsable, los hechos y los perjudicados.

Si el que comete la infracción a la LPD de CABA, es un tercero encargado de realizar tratamientos de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5º de la LPD de CABA ^[14], de acuerdo al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor, las sanciones establecidas por la Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones.

Finalmente, aclara la LPD de CABA, que cumplida la recomendación del Organismo de Control, el Poder Ejecutivo deberá abrir un sumario administrativo para determinar si existió o no una infracción a la presente ley y dicha conclusión deberá ser informada a la Defensoría del Pueblo.

En los eventos constitutivos de  infracción 5º  y 6º, anteriormente relacionados (sobre cesión de datos y creación de bases de datos sin requisitos legales), según el artículo 27 de LPD de CABA, el organismo de control podrá requerir al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la infracción, la cesación en la utilización o cesión ilícita de los datos personales y, en caso de corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los derechos de los titulares de datos afectados.

Esta inmovilización de bases de datos, técnica y jurídicamente constituye una especie de medida cautelar que podrá ser adoptada por el organismo de control del cual dependa jerárquicamente el administrador o responsable del banco de datos.

2.3.      La Ley de protección de los datos personales de la Provincia de Neuquen

Mediante la Ley nº 2.307 de 7 de Diciembre de 1999, se regula el “Régimen de la Acción de Hábeas Data” en la Provincia Argentina de Neuquen. Ley fue promulgada el 30 de Diciembre de 1999 y se publicó el 4 de febrero de 2000, fecha en la cual entró en vigencia

2.3.1.   Estructura formal de la ley

El Régimen jurídico de la Acción de Hábeas Data, como intitula la ley, se halla reglamentado a nivel provincial, haciendo énfasis en el objeto primordial de la ley, por el cual sostiene que la acción de hábeas data procederá cuando se requiera conocer los datos de una persona que consten en forma de registro, archivo o banco de datos de organismos públicos o privados destinados a proveer informes, como así también para conocer la finalidad a que se destina esa información, si ha sido comunicada a terceros, a quiénes y a qué efectos y para requerir su ratificación, actualización o cancelación.
Asimismo, procederá contra la inclusión de aquellos datos que tiendan a discriminar  a  las personas afectadas y para requerir su supresión, rectificación, confidencialidad o actuación. Y agrega finalmente, que en ningún caso podrá afectarse el secreto de las fuentes y el contenido de la información periodística (artículo 1º).

_________________________

(14)      Inciso 3º del artículo 5º de la LPD de CABA, sostiene:”Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad exigidos por la ley, así como también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley a los fines de evitar una disminución en el nivel de protección de los datos personales“. Por su parte los incisos 1º y 3º del Artículo 5º, fueron vetados por el Decreto 1914 de 2006, por idénticas razones jurídicas a las transcritas sobre las funciones de la Defensoría del Pueblo. Esos incisos sostenía: (i) Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento; y (ii) Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos.

__________________________

La ley utiliza una estructura normativa de intitulado  de normas, sin dividir o subdividirla en Libros, Títulos, Capítulos, como lo hacen las leyes de la República Argentina y la de Ciudad de Buenos Aires, sobre la protección de datos personales.

Están legitimados para ejercitar la acción de Hábeas Data, toda persona física o jurídica (artículo 2º), y es competente para conocerla todo Juez Civil del lugar donde se encuentre el banco de datos (artículo 3º), previa intimación al responsable del banco podrá accionarse ante el Juez (artículo 4º). El requirente estará asistido de asesores técnicos o jurídicos (artículo 5º), se entenderá silencio del requerido, si no contesta en el plazo de 5 días, si es persona privada, o 15 días si es persona pública (artículo 6º).

La acción se interpone dentro de los 60 días siguientes a la notificación de la negativa del responsable del banco de datos (artículo 7º). El trámite es el previsto en la ley y supletoriamente en el proceso “sumarísimo” del Código de procedimiento civil y comercial (artículo 8º). La demanda reúne unos requisitos formales mínimos (artículo 9º). A petición de parte o de oficio, pueden adoptarse medidas cautelares como la no publicación o cesión de datos a terceros, mientras se tramite el proceso (artículo 10º). Se puede ampliar la demanda en cualquier momento del proceso (artículo 11º). Se da traslado de la “acción” al demandado por 5 días (persona privada), o 10 días si es pública  par que conteste (artículo 12º). Se abre a prueba el asunto por un término prudente, sino es de puro derecho (artículo 13º).  Sin necesidad de alegatos previos, se produce la sentencia (artículo 14º). Se impondrá costas al vencido en el proceso (artículo 17º)

Dentro de los dos días hábiles de notificación de la sentencia o resolución de medidas cautelares se podrá interponer el recurso de apelación, según el C.P.C. y Co. (artículo 15º).

La acción de habeas data deja subsistente las demás acciones pertinentes que quepan en estos casos (artículo 16º). Está exenta de tributo alguno y de sellado (artículo 18º)

2.3.2.   Breves comentarios a la ley

El legislador provincial de Argentina haciendo uso de la reserva de ley para regular materias de ámbito nacional en todo aquello que no ha sido objeto de regulación integral, o mejor aún que no esté reglamentado en forma clara, amplia o pertinente, expidió la Ley 2307 de Diciembre 7 de 1999, relativa al régimen de la acción de Hábeas Data en la provincia de Neuquen.

Efectivamente el legislador provincial entiende que la parte sustantiva de la Ley nº 23.326 de 2000, de Protección de datos de Argentina es amplio, claro y suficiente, sobre todo en el campo de aplicación de la ley a los titulares, usuarios y responsables o administradores de los archivos, registros o bancos de datos personales tanto los de titularidad privada como los de titularidad pública. Así mismo, lo referente al objeto y finalidades de la ley, como también a la infaltable relación de definiciones o conceptos utilizados en el tratamiento de datos personales y para conseguir un mejor entendimiento del objeto y fines de ley especial sobre datos o informaciones de la persona humana. Definiciones cerradas, técnica y jurídicamente comprensibles sobre Datos personales, datos sensibles; Archivo, registro, base o banco de datos; tratamiento de datos, responsable del banco de datos, datos informatizados, titular de los datos, Usuario de los datos y disociación de datos.

Igualmente, entiende el legislador provincial que es materia omni-comprensible lo atinente a los principios generales que deben observar quienes son sujetos destinatarios de la ley en todo tratamiento o procesamiento de datos personales de carácter público o de carácter privado. Principios que permean no solo el tratamiento propiamente dicho de los datos personales, sino todas las fases del tratamiento de datos (recolección, selección, almacenamiento y comunicación ^[15]),  como sostuvimos en la segunda parte de este ensayo jurídico. Esos principios son: (i) Calidad de los datos, (ii) Consentimiento, (iii) Deber de ser informado, (iv) categorización de datos, (v) Datos relativos a la salud, (vi) Seguridad de Datos, (vii) Cesión de datos, (viii) Transferencia internacional de datos.

La ley provincial de Neuquen se dedica a puntualizar aspectos procedimentales de la protección de datos personales, pues desde su intitulado clara e inequívocamente hace relación al régimen de la Acción de Hábeas Data y comienza por exponer el objeto de aquella, al exponer que ésta solo cabe en dos oportunidades: (i) Cuando se trata de la aprehensión y conocimiento de los datos del concernido y almacenadas en los bancos de datos públicos o privados; y (ii) Cuando el concernido, ha conocido previamente que los datos o informaciones almacenadas en un banco de datos público son inexactas, faltas o no conformes al ordenamiento jurídico, podrá ejercitar las facultades del Hábeas Data de rectificación, actualización y supresión de los datos.

La ley procesal de Hábeas Data de Neuquen a partir del artículo 2º hasta el 19º, puntualiza aspectos procedimentales del proceso “sumarísimo” originado en la acción de Hábeas Data, más desde el punto de vista de los breves lapsos de tiempo de cada una de las etapas jurisdiccionales (Etapas normales de: La litis contestatio: demanda y contestación; etapa probatoria, y etapa de juzgamiento, y la etapa contingente de “medidas cautelares”) desarrolladas por el Juez civil del lugar donde se halle el banco de datos, que desde la reestructuración del proceso mismo, pues como lo sostiene la ley comentada, supletoriamente se aplica al proceso  de Hábeas Data, las reglas y etapas del proceso “sumarísimo” previsto en el Código Procesal Civil y Comercial argentino.

Los brevísimos términos jurídicos que se establecen para cada etapa procesal comulgan con el espíritu, objeto y finalidades de la ley sobre datos personales tratados o informatizados en bancos de carácter público y privado; así como la efectividad, agilidad y pertinencia de las facultades inherentes al Hábeas Data ejercitadas por el concernido con las informaciones o datos personales. Este avenimiento de términos procesales es concordante con la actividad jurisdiccional que preferentemente avoca el conocimiento de esta clase de procesos en el cual se le suministra un margen de discrecionalidad temporal para la determinación de la etapa probatoria, así como un compás de discrecionalidad funcional para adoptar o no medidas cautelares en el proceso.

Las medidas cautelares en todo proceso jurisdiccional o administrativo, como mecanismos procesales que persiguen garantizar la terminación efectiva del proceso mediante sentencia, así como tutelar preventiva y realmente los derechos del demandante o titular de unos derechos o intereses jurídicos pendientes de decisión definitiva, pueden ser adoptadas a instancia de parte o ex officio  por parte de la autoridad judicial o administrativa ^[16]. En el proceso originado por la acción de Hábeas Data, el juez dispone de la facultad discrecional de adoptar medidas cautelares en el proceso, si previamente no han sido solicitadas por el demandante o interesado. Al respecto, cabe exaltar la labor del legislador de Neuquen,   porque efectiva

__________________________

(15)       Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.266 y ss.

(16)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis doctoral, Universidad de Navarra, Pamplona (España), p. 430 y ss.

_______________________

y precautelativamente se tutela los derechos del concernido con los datos o  también demandante en el proceso de Hábeas data, porque a pesar de ser un proceso brevísimo en trámites y términos procesales, la instauración de medidas cautelares precave daños y perjuicios mayores, suspende los que se estuvieren produciendo en menor escala o mejor aún, evita que pudieran producirse si el proceso “sumarísimo” demore más de lo debido y por diferentes razones aún las no imputables a las partes o al juez.

El Juez, a instancia de parte o de oficio, una vez presentada la demanda y en cualquier estado del proceso, podrá decretar precautelarmente medidas de no innovar a efectos que el demandado se abstenga de realizar publicidad o cesión de los datos a terceros; así como también, si procede, disponer el secuestro de los elementos que contengan la información hasta la terminación del proceso. Estas medidas cautelares documentales materiales de publicitación, comunicación y aprehensión de datos o informaciones personales buscan garantizar cautelar y eficazmente los derechos del concernido o titular de los derechos sobre los datos recabados en bancos de datos públicos y privados mientras dura el proceso (pendentia litis) y hasta su terminación efectiva mediante sentencia.

La Sentencia pronunciada por el Juez, en esta clase de procesos, se expedirá dentro del plazo de cinco (5) días de permanencia del expediente en el despacho judicial. La sentencia que admita las pretensiones del demandante, “librará el respectivo mandamiento que dispondrá: (i) la expresión concreta del particular, sea persona física o jurídica, o de la autoridad estatal a quien se dirija y con respecto a cuyos registros, archivo banco de datos se ha concedido la acción, (ii) la determinación precisa de lo que debe o no hacerse; y (ii) el plazo para su cumplimiento, que no podrá excederse de cuarenta y ocho (48) horas.

Vale decir, que el Juez en principio, deberá declarar e identificar inequívocamente al legitimado por pasiva: el usuario o al responsable del banco de datos, bien sea público o privado; y también, al legitimado por activa que será toda persona titular de un derecho o interés jurídico sobre los datos o informaciones que a él le conciernen, a efectos de viabilidad, pertinencia y declaratoria de derechos en el proceso originado por la acción de Hábeas Data. Así mismo, determinará a manera de condena, las actividades de hacer y no hacer respecto de los datos personales cautelados, y finalmente, ordena el cumplimiento de la determinación activa u omisiva en un lapso brevísimo de 48 horas, por parte de la autoridad, entidad u organismo del Estado, o de la persona privada, según fuere procedente y de conformidad con la sentencia.

3. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

3.1.      Notas preliminares: “The right to privacy“

Mediante la Ley nº 19.628 de Agosto 28 de 1999, el legislador del Estado Chileno expidió la  “Ley sobre Protección de la vida privada o protección de datos de carácter personal” ^[17], en la cual se desarrolla y reglamenta el Hábeas Data, con el propósito central de proteger y garantizar a todas las personas el derecho a la intimidad personal y familiar o en términos de la primera etapa de regulación normativa del derecho europeo insular y anglosajón: The right to privacy.  Derecho a la privacidad o vida privada que luego se trasladó a las leyes de protección de datos de la Europa continental, especialmente Francesa, Italiana, portuguesa y española. Sólo hasta la expedición de las Directivas Europeas de protección de los datos de carácter personal, Números 95/46/CE y 97/66/CE, se sustituyó el término de privacidad por el de derecho a la intimidad de las personas.

__________________________

(17)       Texto completo de la ley En: http://www.sernac.cl/leyes/

__________________________

En el derecho latinoamericano, aún hace tránsito en las diferentes legislaciones, incluida la Chilena el término ius civilista del derecho a la privacidad, como un derecho personalísimo de todo ser humano que hunde sus raíces históricas en el trabajo doctrinal de los juristas norteamericanos  Warren and Brandeis, quienes para estructurar The right to privacy, parten del análisis de uno de los fundamentales principios del Common Law, que sostiene: todo individuo debe gozar de total protección en su persona y en sus bienes. Así mismo, los juristas de la época se preguntaron si existía o no un principio common law que permita invocarse para amparar la privacy, y en tal virtud analizan estos aspectos: (i) La evolución de la concepción jurídica, efectos y alcances de los derechos a la vida, la libertad y la propiedad de todas las personas; (ii) La sentencia del Juez Cooley (1888), sobre el denominado derecho “a no ser molestado” –The right to be alone–, cuando se invaden “los sagrados recintos de la vida privada y hogareña”, con la toma de fotografías por parte de empresas periodísticas sin el consentimiento de los fotografiados; y (iii) El escrito de El Godkin, sobre “The rights of the cittizen: to his reputatation” de junio de 1890, en donde se evidencia el peligro de una invasión de la privacidad por parte de los periódicos de la época, sobre todo, cuando se hacía comentarios sobre la vida personal y familiar del ciudadano Warren en detrimento de su reputación, poniéndolo “en ridículo” ante la sociedad o violando en términos más recientes, “su intimidad legal”  ^[18].

Es clásica la distinción entre el término privacidad y el concepto intimidad, que salió a relucir en la Exposición de Motivos de la LORTAD de 1992 ^[19], más no en el contenido normativo de la misma, que siempre se refirió al derecho a la intimidad, tal como la Constitución Española de 1978, lo había hecho en su momento en el artículo 18-4. Hoy por hoy, la discusión es bizantina, pues el término privacidad ha quedado subsumido en una de las esferas más lejanas al núcleo del derecho a la intimidad.  En su momento, la doctrina ibérica dominante evidenció la distinción y su poca utilidad a los efectos de la protección y garantía de un derecho fundamental de la persona humana, como lo era la intimidad y dentro de la cual se hallaba la concepción civilista de la privacidad (entre otros: González Navarro, González Pérez, García de Enterría, Entrena Cuesta). La E.M., de la LORTAD sostenía en uno de sus apartes: “Nótese que se habla de la privacidad y no de la intimidad. Aquella es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona –el domicilio donde realiza su vida cotidiana, las comunicaciones en las que se expresa sus sentimientos, por ejemplo– , la privacidad constituye un conjunto, más amplio, más global, de facetas de la personalidad que aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado”.

La ley de protección de los datos chilena, haciendo eco a esa primera etapa del derecho europeo en las que surgimiento la mayoría de las leyes de ese tipo, recogió el término de la vida privada y la privacidad como eje fundamental de su protección y garantía, y quizá por ello es la única a nivel latinoamericano, hasta el momento que intituló su ley con ese sello inconfundible  de la protección a la vida privada, aunque en los actuales momentos debemos entender que se refiere al derecho a la intimidad, ya no solo personal sino también de carácter familiar, pues la evolución de la institución The privacy lleva más de un  siglo.

________________________

(18)        En nuestra tesis hacemos una evolución histórico-jurídica del derecho anglosajón The privacy hasta los actuales momentos, en los que se prefiere denominarlo derecho a la Intimidad y así ha sido constitucionalizado en la mayor parte de Constituciones americanas, europeas e incluso se comienza a denominarlo así en el derecho anglosajón contemporáneo. Cfr. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p 11-12

(19)      E.M. LORTAD de 1992. AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

____________________________

3.2.       Estructura formal de la ley

La Ley nº 19.628 de 28 de Agosto de 1998, “sobre protección a la vida privada o protección de los datos de carácter personal”, está dividida en Títulos y artículos; artículos extensos sin titulación alguna y algo confusos en el contenido y redacción para un iniciado en derecho informático. La estructura es la siguiente:

Un Título Preliminar, relativo a las “Disposiciones Generales”, artículos 1º a 3º, en los cuales se describe el objeto, campo de aplicación,  algunas definiciones técnico-jurídicas de uso corriente en el contexto de la norma, tales como: (i) Almacenamiento de datos; (ii) Bloqueo de datos; (iii) Comunicación o transmisión de datos; (iv) Dato caduco; (v) Dato estadístico; (vi) Datos de carácter personal o datos personales; (viii) Datos sensibles, (ix) Eliminación o cancelación de datos; (x) Fuentes accesibles al público; (xi) Modificación de datos; (xii) Organismos públicos, las autoridades, órganos del Estado y organismos; (xiii) Procedimiento de disociación de datos; (xiv) Registro o banco de datos; (xv) Responsable del registro o banco de datos; (xvi) Titular de los datos; (xvii) Tratamiento de datos.

En el extenso titulo preliminar, también se hace referencia a la recolección de datos con objetivo de publicidad, censos promocionales o “sondeos de opinión pública”, los que se advierte serán obligatorios o facultativos previo información, comunicación o notificación a los encuestados, preguntados o consultados. Deja a salvo los derechos de los titulares de esos datos y su derecho a la oposición, tanto en recolección como en la comunicación de los mismos.

El Título I, concerniente a “la utilización de datos personales“, se trata en los artículos 4º a 11º.  En estos se hace referencia al tratamiento y recolección de datos, al consentimiento por escrito requerido para ello, la revocabilidad de la autorización, la no exigencia del consentimiento para algunos tratamientos de datos (artículo 4º); requisitos para el tratamiento de datos a través de la comunicación o medios TIC (“Red electrónica”). No aplicabilidad a los datos accesibles al público (artículo 5º);  sobre la eliminación, cancelación y bloqueo de datos personales (artículo 6º); Deber de secreto de los responsables de los bancos de datos (artículo 7º); Tratamiento de datos por “mandato escrito”–memorial poder– (artículo 8º); Utilización de los datos para los fines previstos, salvo los de fuentes de acceso al público (artículo 9º); No son objeto de tratamiento los datos sensibles, salvo lo dispuesto en la ley o con el consentimiento del titular (artículo 10º); Diligencia de “cuidado” o conservación de los datos por los responsables de los bancos de datos (artículo 11º ).

El Título II, relativo a “los derechos de los titulares de datos“, se desarrolla en los artículos 12º a 16º. Derecho a la información que tiene toda persona, así como el derecho a la “modificación”, si los datos son inexactos, erróneos, equívocos o incompletos. Así mismo a la eliminación, cancelación y bloqueo de datos (artículo 12º); Los anteriores derechos no pueden limitarse por acto o convención alguna (artículo 13º); derecho acceso al banco de datos administrado por diferentes organismos (artículo 14º); Excepciones a los derechos de información, acceso, eliminación o cancelación por tratarse de actividades fiscalizadoras del Estado, por seguridad o interés nacionales (artículo 15º); Acción y procedimiento de amparo ante las autoridades judiciales civiles competente, tras la negativa a contestar la petición de la información, la cancelación, el acceso o la eliminación de datos (artículo 16º).  

El Título III, concerniente a “la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial“, está contenido en los artículos 17 a 19. Deber de información de los responsables de los bancos de datos financieros a los usuarios o titulares, siempre que consten en títulos valores, documentos o contratos y éstos contengan obligaciones claras, expresas y exigibles (artículo 17º); No se podrá comunicar datos transcurridos 7 años después de haber sido exigible una obligación o 3 años después de haber ocurrido su pago o extinción por otro modo (artículo 18º); Caducidad de los datos (artículo 19º).

El Título IV, relativo al “tratamiento de datos por organismos públicos“, se desarrolla en los artículos 20º al 22º.  El tratamiento de datos por organismos públicos se hace conforme a la ley y no requiere el consentimiento del particular (artículo 20º); No se podrán comunicar datos relativos a la condena por delitos, infracciones administrativas o faltas disciplinarias, salvo que estuviese prescrita la acción o la pena (artículo 21º); El Servicio de Registro Civil e Identificación llevará un registro de los bancos de datos personales a cargo de organismos públicos (artículo 22º).

El Título V, concerniente a “la responsabilidad por las infracciones a esta ley”. En el artículo 23, se reglamenta la responsabilidad por el daño moral y material devenida del indebido uso de los bancos de datos por parte de los destinatarios de la ley (usuarios y responsables de los bancos de datos), sin perjuicio de la responsabilidad administrativa, disciplinaria o penal a que hubiere lugar.

En las “Disposiciones Transitorias”, se aclara que: (i) Los titulares de los datos personales registrados en bancos de datos creados con anterioridad a la entrada en vigencia de la presente ley tendrán los derechos que ésta les confiere; y (ii) Las normas que regulan el Boletín de Informaciones Comerciales creado por el decreto supremo de Hacienda Nº 950, de 1928, seguirán aplicándose en todo lo que no sean contrarias a las disposiciones de esta ley.

3.3.      Breves comentarios a la LPVP o PDP

La ley “sobre Protección de la vida privada o protección de datos de carácter personal” de 1998 o LPVP o PDP Chilena, desde su intitulado no se matricula en una escuela, doctrina o modelo de ley relativa a la reglamentación del Hábeas Data. Ni siquiera esta denominación se halla presente en el contexto de la ley, como tampoco, y esto sí es paradójico, la expresión “vida privada”, “privacidad” o su homónimo contemporáneo: “La intimidad”, que el objeto de tutela jurídica según el intitulado de la ley no se halla en la parte normativa de la ley en forma expresa.

Por la deficiente redacción de la ley de protección de datos Chilena, no podemos encuadrarla en el modelo europeo continental o insular o propio latinoamericano, pues hay de todos un poco y nada exclusivamente de alguno de ellos. En momentos parecería seguir el modelo europeo continental, pues tiene elementos constitutivos de aquél, cuando acoge el sistema de definiciones técnico-jurídicas aplicables al tratamiento de datos, pero se aleja de éste, cuando no menciona en el título preliminar, los principios rectores de todo tratamiento (electrónico o manual) de datos personales, aunque en el contexto de las normas reiteradamente se refiere al “consentimiento” que lo asimila a la “autorización por escrito” dada por el titular de los datos; así como también, a la calidad de los datos, a la licitud, al secreto y la confidencialidad, a la categoría de datos (generales, especiales y sensibles), seguridad y comunicabilidad de los datos, entre otros, sin decir expresamente que son principios del tratamiento de datos, sino que implícitamente hacen parte de la redacción de la norma.

3.3.1.   Objeto de la LPVP o PDP

A tenor del artículo 1º de la LPVP o PDP Chilena de 1998, tendrá por objeto regular todo  tratamiento de datos de carácter personal  que se recaben “en registros o bancos de datos por  organismos públicos o por particulares“, se exceptúan aquellos “que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la  ley a que se refiere el artículo 19, Nº 12, de la Constitución Política” de 1980, es decir, aquellas referidas a la libertad de expresión o a la libertad de prensa, pues del contenido de la norma constitucional citada devela aquellas libertades inmersas dentro de las de emitir opiniones y la de información, al expresamente mencionar los derechos, deberes y responsabilidades de los diferentes medios de comunicación (radio, televisión, periódicos, revistas, etc.,)

En ejercicio de la LPVP o PDP Chilena, toda persona “puede efectuar el tratamiento de datos personales“, cuando la norma debería sostener que a través de todo tratamiento de datos se protege y garantiza “el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las  facultades que esta ley les reconoce“, pues el titular de los datos o informaciones personales en principio es el sujeto principal de la protección y garantía de sus derechos y libertades, y aunque éste también tenga deberes constitucionales y legales no solo para con el tratamiento de datos sino para el derecho de los demás, el no abuso de los derechos y libertades propias, el Estado tiene como finalidad primera la protección y garantía de los derechos fundamentales a toda persona, natural o jurídica, nacionales o extranjeros, residentes o transeúntes.

Aunque se ha hecho un común denominador de todas la leyes de protección de datos de carácter personal el que se manifieste que la norma se expide para restringir o limitar el abuso del “poder informático” utilizado por las nuevas tecnologías de la información y la comunicación (TIC) y la informática, de cara a proteger expresos derechos constitucionales como la Intimidad, la honra, el honor, la buena imagen, la voz, la buena reputación, etc., la LPVP o PDP Chilena, a pesar de exponer en su intitulado la protección genérica de la “vida privada”, en éste punto de objeto de la ley no se manifiesta ni sobre su único objetivo de tutela constitucional, ni menos sobre el común denominador de derechos protegidos por las leyes de datos personales. Quizá interpretando los términos: “el pleno ejercicio de los derechos fundamentales de los titulares de los datos” que trae la  LPVP o PDP Chilena que relaciona en la parte in fine del artículo 1º, que es de idéntico tenor al artículo 18-4 de la Constitución Española, podemos deducir, que genéricamente se halla protegida la vida privada y los demás derechos constitucionales mencionados. Por su parte, el artículo 19-4 de la Constitución Chilena de 1980, asegura la protección a toda persona de la “vida privada y pública”, lo cual ratifica que por vía de interpretación sistemática se entienden tutelados los derechos fundamentales de la persona humana incluida la “vida privada” en concepto de las normas chilenas.

Objeto de especial atención le dedica la LPVP o PDP Chilena, a la información recabada por medio de encuestas, “estudios de mercado o sondeo de opinión pública u otros instrumentos semejantes“, según el artículo 3º de la mencionada ley, pues dedica a éstas un reforzado cuadro de protección, al establecer por un lado, el derecho de toda persona involucrada en esta clase de tratamiento de datos personales  en la fase de recolección, a ser informado sobre el carácter obligatorio o facultativo de las respuestas; y por otro lado, deberá manifestarse inequívocamente, “el propósito para el cual se está solicitando la información“.  Y además, por si fuera poco, deberá: (i) omitir las señas que puedan permitir la identificación de las personas consultadas, cuando se comuniquen los resultados de los instrumentos de encuesta, estudio, sondeo o semejantes; y, (ii)  tener en cuenta que el  titular puede oponerse a la utilización de sus datos personales con fines de publicidad,  investigación de mercado o encuestas de opinión.

En el tratamiento de datos personales, la LPVP o PDP Chilena, establece como regla general el consentimiento de la persona para poder efectuarlo. Ese consentimiento o “autorización” deberá constar por escrito, aunque podrá ser revocado, sin efecto retroactivo o ex nunc, pero en todo caso la revocatoria también constará por escrito.

Por excepción, según el artículo 4º de la mencionada ley, no se requiere autorización para aquel tratamiento de datos personales, en los siguientes casos: (i)  cuando los datos que se recolecten provengan de fuentes accesibles al público; (ii) cuando sean de carácter económico, financiero, bancario o comercial; (iii) cuando se hallen en listas que sólo contengan la pertenencia de una persona a un grupo determinado, su profesión o actividad, sus títulos académicos, dirección o fecha de nacimiento; (iv) cuando sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios; (v) cuando “el tratamiento de datos personales que realicen personas jurídicas privadas para el, uso exclusivo suyo (sic), de sus asociados y de las entidades a que están (sic) afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos“.

3.3.2.   Demasiadas definiciones técnico-jurídicas del tratamiento de datos

Si bien es una constante las definiciones de términos técnico-jurídicos en las leyes de protección de datos o de Hábeas Data, tal como lo hemos comentados ut supra desde las legendarias leyes de protección de datos de Alemania y Suiza en la década de los años setenta del pasado siglo; entre otras razones, porque este tipo de leyes conjugan aspectos de las tecnologías de la información y la comunicación (TIC), la informática jurídica (telemática, telegestión, cibernética y electrónica) y concepciones jurídicas sustantivas y procedimentales; no es menos cierto que el legislador deba abusar de ellas en el número y extensión de conceptualización, como aparece en la LPVP o PDP Chilena de 1998.

Si el propósito primero  de las definiciones técnico-jurídicas de ésta clase de leyes, es aclarar la utilización y pertinencia de las mismas en el contexto de la ley, así como precisar conceptualmente cada una de las definiciones suministradas a fin de evitar confusiones, indebidas interpretaciones o equívocas aplicaciones por el operador jurídico de la norma, éstos propósitos de diluyen si se proporcionan demasiadas definiciones y de entre ellas pudiera presentarse colisiones conceptuales como parece suceder en la  LPVP o PDP Chilena.

En efecto, la ley mencionada define lo que se entiende por dato personal, dato sensible, dato caduco, dato estadístico.

El dato personal, universalmente se ha entendido como toda información de la persona humana identificada o individualizada, como identificable. Esta información sólo se predica de las personas físicas o naturales. Se infiere entonces, que el titular de los datos, es la persona natural o física y no es necesario definir como la hace la ley Chilena, al “titular de los datos“.

La regla general es la información o dato personal. Sin embargo existen, algunos datos sobre protegidos en la legislación mundial, porque afectan al núcleo esencial de la intimidad (o privacidad en términos de la Ley chilena), tales como el origen racial o étnico; tendencias políticas, religiosas, filosóficas, sindicales; circunstancias especiales de la salud, la vida sexual, entre otras, que se consideran como datos sensibles de la persona humana y por ello, los estados potencian los niveles de protección en estos casos, no permitiendo por ejemplo, la recolección y tratamiento posterior, libre del consentimiento del titular de los datos, o más aún está prohibido, aún con el consentimiento del titular. Como se observa aquí lo importante es definir que entendemos por consentimiento del titular, más que cuántos ejemplos podemos dar de datos denominados esenciales como se empeña en relacionar la Ley Chilena, pues existen legislaciones de protección de datos, como la española por ejemplo, donde el consentimiento se convierte no sólo en una simple definición, sino un principio rector del tratamiento de datos que lo ilumina y determina en todas sus fases. En la ley Chilena esta definición de consentimiento no aparece expresamente en el artículo 2º dedicado a las definiciones, pero si se utiliza en varios artículos de la Ley con el nombre de “autorización del titular”.

En cuanto al dato caduco, definido por la Ley Chilena como aquel “que ha perdido actualidad por disposición de la ley, por el cumplimiento de la  condición o la expiración del plazo señalado para su vigencia o, si no hubiere norma expresa, por el  cambio de los hechos o circunstancias que consigna“, es una construcción que se originó en la jurisprudencia del Tribunal Constitucional Español y que ha ido variando con el fortalecimiento de la jurisprudencia, que hoy considera que los datos no caducan sino que se transforman de positivos a negativos, o de éstos a neutros, con el simple transcurrir del tiempo.

De otra parte, caducan sólo las acciones o recursos procesales jurisdiccionales o administrativos por la no utilización de aquellos por su titular o por quien demuestre interés legítimo dentro de un término preestablecido por la ley. Por ello, no pueden caducar los datos o informaciones personales, porque estas per se son intemporales, el valor agregado que le damos de ser información positiva, negativa o neutra a nuestros intereses, tiene una connotación altamente subjetiva que puede fundarse en intereses financieros, políticos, sociales, culturales, científicos, etc., aunque en el ámbito de las leyes de protección de datos siempre se ha hecho énfasis en el valor agregado estrictamente financiero (económico, comercial, bancario, bursátil, etc.,), pues es en el ámbito donde más tiene aplicabilidad el concepto de “caducidad del dato” o “dato caduco”. Más aún, ni siquiera en éste solo ámbito del valor agregado, las legislaciones universales se han puesto de acuerdo en qué término exactamente se produce la caducidad del dato; unas mencionan 3, 5, 7 o 9 años después de cumplida una condición resolutoria determinada, del pago del crédito, de notificado el cumplimiento de la obligación, entre otras posibilidades de cumplimiento o incumplimiento de una obligación económico-jurídica.

En consecuencia, la definición del “dato caduco” al ser altamente cambiante en la doctrina y la jurisprudencia sobre el tema, no parece conveniente petrificarla, como se hace en el artículo 2º de la comentada ley.

Con el dato estadístico, definido por la LPVP o PDP Chilena, como “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser  asociado a un titular identificado o identificable”, resulta pleonástico e innecesario, pues como la mayoría de leyes de protección de datos del mundo, incluida la Ley Chilena, definen que debe entenderse como “procedimiento de disociación de datos” (“todo tratamiento de datos personales de manera que la  información que se obtenga no pueda asociarse a persona determinada o indeterminada“) de donde se infiere que el dato estadístico es un ejemplo de aplicabilidad de dicho procedimiento de disociación, con lo cual resulta intrascendente pronunciarse nuevamente cuando ya se ha definido en qué consiste la disociación de datos.

Resulta cuando menos, sorprendente que la Ley Chilena se esmere en definir el dato estadístico que constituye una excepción a la aplicación del principio rector del tratamiento de datos denominado del consentimiento de las personas y deje de lado la conceptualización del dato financiero, al cual le dedica el Título III y tres extensos artículos de la LPVP o PDP.  No solo sorprende  porque también el dato financiero está excluido del principio general del consentimiento o “autorización” del titular de los datos para el tratamiento de cualquier dato de carácter personal, como lo está el dato estadístico de menos valor agregado y de perfil más bajo, por ser un dato disociado, que el del dato financiero, que es un dato personal individualizado o individualizable, sino además porque sólo protege al dato financiero en la fase de comunicación (circulación, transferencia o cesión) de datos y no en la recolección, selección, almacenamiento y registro de datos, pues en esta no se requiere “autorización” expresa y escrita del titular de los datos.

Por otro lado, resultan innecesarias las definiciones de “organismos públicos”, entidades o instituciones del Estado, cuando no son términos técnico-jurídicos aplicables exclusivamente a la  LPVP o PDP Chilena y son de conocimiento y aplicación general al derecho chileno, más aún existe una norma de ámbito nacional que explica, la estructura, organización y funcionamiento del Estado en desarrollo y regulación de la Constitución sobre el tema, es la Ley Nº 18.575, “Orgánica Constitucional de Bases Generales de la Administración del Estado“, que explica con más amplitud y profundidad lo que debe entenderse por organismos públicos e instituciones, organismos o entidades del Estado, que una ley específica en datos personales que tiene otros objetivos y fines programáticos.

4. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

La República de Panamá mediante la Ley 6º de 22 de Enero de 2002, expidió la ley que intitula: “normas para la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones” ^[20]. Con lo cual es la única ley en Latinoamérica que regula el fenómeno jurídico de Hábeas Data en una misma ley que incorpora dos derechos fundamentales autónomos como son, por un lado, el derecho a la información y la garantía constitucional de su acceso a cualquier medio mediante el cual se recabe, recolecte o almacene (electrónico, informático o manual o escrito); y por otro, el derecho y garantía constitucional de Hábeas Data. En varios países latinoamericanos como Argentina, Perú, Ecuador, Chile, Uruguay e incluso Colombia que prepara desde hace años su Ley de Hábeas Data, regulan los mencionados derechos constitucionales en estatutos jurídicos diferentes.

Veamos a continuación que ventajas y desventajas trae la regulación integral del derecho a la información y su garantizado acceso público y privado y el derecho de Hábeas Data.

4.1.      Estructura de la LTGP y HD

Ley nº 6 de 22 de enero de 2002, se estructura formalmente en Capítulos y artículos sin intitulados.

En el artículo 1º de la Ley para “la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones” de Panamá (o LTGP y HD), relaciona un amplio catálogo de definiciones jurídicas relativas al derecho de la información y sus derechos fundamentales conexos, pero omite hacer sobre las definiciones técnico-jurídicas aplicables al tratamiento de datos o informaciones personales o al conjunto de facultades inherentes al Hábeas Data, que según el intitulado es también objeto de protección y garantía jurídica de la ley, aunque por la omisión parecería más un tema que raya la ajenidad con la norma su inclusión.

En efecto, se  define el Código Ético, como el “conjunto de principios y normas de obligatorio cumplimiento, con recomendaciones que ayudan a los miembros de una organización a actuar correctamente”; el Derecho de Libertad de Información, como  aquel “que tiene cualquier persona de obtener información sobre asuntos en trámites, en curso, en archivos, en expedientes, documentos, registros, decisión administrativa o constancias de cualquier naturaleza en poder de las instituciones incluidas” en la LTGP y HD de Panamá.

Luego profundiza, sin a nuestro juicio necesario hacerlo, en las definiciones de “ética”, “información”, “información confidencial”, “información de acceso libre”, “información de acceso restringido”, “institución”, “persona”, “principio de acceso público”, “principio de publicidad”, “rendición de

______________________

(20)       Texto completo En: http://www.defensoriadelpueblo.gob.pa/

____________________

cuentas” y “transparencia”.  Definiciones todas que en una ley que regula el derecho de acceso y transparencia de la información públicas, sin el aditamento del Hábeas Data, es válido y hasta cierto punto explicable, pero igualmente en este punto, retórico.

En el Capítulo II, relativo a la  “Libertad y Acceso a la Información”, la LTGP y HD de Panamá, describe en los artículos 2º  a 7º, la titularidad, legitimidad, características, requisitos, autoridades y formas de acceso del derecho a la información que tiene toda persona, bien sea por escrito, en forma verbal o a través de los nuevos medios de información y comunicación electrónica o informática. Así mismo, explica como los funcionarios encargados de recepcionar las peticiones de información, están obligados a contestar por escrito en el término de treinta (30) días calendario.

En el Capítulo III,  concerniente a la “Obligación de Informar por Parte del Estado”, en los artículos 8º a 12º, se regula los deberes y las obligaciones de informar al público en general, y a los peticionarios en particular, por parte de las entidades, organismos y dependencias del Estado, en especial sobre Contratación Pública del Ministerio de Economía y Finanzas y de la Contraloría General de la República. Así mismo, se establece los mecanismos y canales de información entre los particulares y el Estado; los instrumentos de información tradicional, documental escrita o electrónica y la forma de entregar información por escrito, en formularios o  por vía Internet.

En el Capítulo IV, referente a la “Información Confidencial y de Acceso Restringido”, prevista en los artículos 13º  a 16º, la LTGP y HD de Panamá, relaciona la no revelación o divulgación (o “descubrimiento”, como se dice en el derecho anglosajón) de la información confidencial de las personas humanas que hacen parte tanto del núcleo “duro” o esencial de la intimidad, como las concernientes a la “vida privada” de las personas, a los asuntos penales, policivos, médicos, correspondencia escrita y electrónica y a las conversaciones telefónicas, entre muchas otras informaciones. En el caso de la información judicial, se establece la reserva salvo el caso del concernido y las partes que intervienen en éste.

La información de acceso restringido, es decir, “todo tipo de información en manos de agentes del Estado o de cualquier institución pública, cuya divulgación haya sido circunscrita únicamente a los funcionarios que la deban conocer en razón de sus atribuciones“, no podrá ser revelada por un período de diez (10) años, “contado a partir de su clasificación como tal, salvo que antes del cumplimiento del período de restricción dejen de existir las razones que justificaban su acceso restringido”.

Se relaciona como información de acceso restringido, la relativa a: (i) la seguridad del Estado; (ii) los secretos comerciales; (iii) la información sobre procesos realizados por el Ministerio Público, las fuerzas militares y de policía, la Dirección de Aduanas y la Contraloría General de la Nación; (iii) información sobre yacimientos mineros y petrolíferos; (iv) información documental diplomática; (v) procesos y documentos judiciales penales y policivos; (vi) documentos e información de la Presidencia, Vicepresidencia y “gabinete” ministerial; (vii) Transcripciones y documentos de la Asamblea Legislativa.

La negación de entrega de información de información de acceso restringido o reservada, deberá ser motivada y por escrito por parte de la entidad del Estado que así proceda ^[21].

_________________________

(21)        Que según el artículo 1º, numeral 5º , la conforma: “Todo tipo de información en manos de agentes del Estado o de cualquier institución pública que tenga relevancia con respecto a los datos médico y psicológicos de las personas, la vida íntima de los particulares, incluyendo sus asuntos familiares, actividades maritales u orientación sexual, su historial penal y policivo, su correspondencia y conversaciones telefónicas o aquellas mantenidas por cualquier otro medio audiovisual o electrónico, así como la información pertinente a los menores de edad. Para efectos de esta Ley, también se considera como confidencial la información contenida en los registros individuales o expedientes de personal o de recursos humanos de los funcionarios”.

__________________________

En el Capítulo V, concerniente a la “Acción de Hábeas Data” contenida en los artículos 17 a 19, La Ley panameña, describe la legitimación del Hábeas Data para toda persona natural o física, cuando solicita información a él concernida y se encuentren en “manos” de las entidades del Estado o sea tratadas o procesadas por éstas a través de mecanismos electrónicos y ésta información sea negada o insuficiente o inexactamente entregada. Así mismo, menciona a las autoridades judiciales competentes y el procedimiento constitucional de amparo específico o de Hábeas Data informativo. Finaliza, indicando que el proceso será sumario, sin formalidades y sin presencia de abogado y respecto a la sustanciación, impedimentos, notificaciones y apelaciones, se aplicarán las normas que para estas materias se regulan en el ejercicio de “la acción de Amparo de Garantías Constitucionales”.

En el Capítulo VI, relativo a las  “Sanciones y Responsabilidades Personales de los Funcionarios”,  previsto en los artículos 20º a 23º  describe la responsabilidad del funcionario judicial que desatiende “el recurso de Hábeas Data”, sancionándolo la primera vez con multa por desacato, y con destitución, sí reincide. El perjudicado con la negativa de información por Hábeas Data, podrá demandar civilmente al funcionario público por daños y perjuicios, sin perjuicio de las acciones penales o disciplinarias que quepan.

En el Capítulo VII, concerniente a la  “Participación Ciudadana en las Decisiones Administrativas y sus Modalidades“, contenidas en los artículos 24º  y 25º, describen los mecanismos de participación ciudadana en las acciones y gestiones públicas de las entidades del Estados, especialmente en obras civiles, valorización, zonificación, tarifas y servicios públicos. Así mismo establece las modalidades tales como la consulta y audiencias públicas, foros, talleres y participación directa ante la Instituciones públicas. Por los contenidos del capítulo bien podría tratarse de una norma que quebranta el principio de “unidad legislativa y de materia“, pues si bien en la solicitud y entrega de información se requiere la participación efectiva de la ciudadanía, no necesariamente debería haberse legislado sobre éste tópico en forma como lo hizo la Ley de acceso a la información y Hábeas Data de Panamá, pues constituye un “mico legislativo“.

En el Capítulo VIII, relativo a la “Fiscalización del Cumplimiento por el Órgano Legislativo”, previsto en el artículo 26º,  la ley obliga a las entidades del Estado que anualmente incorporen en su memorias de informe al órgano legislativo, el número de peticiones de información resueltas y negadas, así como la listas de los actos administrativos en los que tuvo participación la ciudadanía.

En el Capítulo IX, concerniente al  “Código de Ética”, previsto en el artículo 27º, se establece la obligatoriedad de todas las entidades del estado, pertenecientes a cualquiera de las tres ramas del poder público, del nivel nacional, regional y local, para que en el término de seis (6), si ya no lo tienen, adopten un Código de Ética para el correcto ejercicio de la función pública que será publicada en la Gaceta Oficial.

En el Capítulo X, relativo a las “Disposiciones Finales”, previsto en los artículos 28º  y 29º,  establece la tabla de vigencia de la ley.

4.2.      Breves comentarios de la ley

4.2.1.   La acción o “recurso” de amparo específico de Hábeas Data

La LTGP y HD de Panamá en el Capítulo V, regula lo que inicialmente denomina “Acción de Hábeas Data“, pero que en el contenido normativo del capítulo cambia su denominación por  “recurso de Hábeas Data“.

Esta ley panameña, como se ha dicho antes hace énfasis en la regulación amplia del derecho de acceso a la información pública contenida en documentos escritos, tradicionales y electrónicos (archivos o bases de datos), por parte de cualquier persona concernida con ésta y tan solo cuando ésta información es negada o entregada insuficiente o inexactamente por parte de la entidad, organismo, institución o dependencia del Estado, perteneciente a una cualquiera de las tres ramas del poder público u organismos autónomos o semiautónomos, nace para el peticionario, el consultante o solicitante de información, la posibilidad de accionar o recurrir ante las entidades jurisdiccionales, en Hábeas Data, para hacer respetar y garantizar su derecho a la información en los términos que establece el ordenamiento jurídico vigente, a través de un procedimiento breve y sumario, sin formalidades mayores que las que establece la LTGP y HD de Panamá y sin necesidad de abogado.

Esto por cuanto, como lo explica el Presidente de la Asamblea Legislativa Panameña, la  “nueva ley es un instrumento moderno que reconoce el derecho de cada uno de ustedes a exigir la información que sea del caso, sin tener que dar justificación o explicación sobre esa petición, y en un plazo no mayor de 30 días que, salvo algunas situaciones específicas, podría extenderse sólo otros 30 días” ^[22]. Cuando la información que es el derecho privilegiado en el derecho panameño es desconocido o quebrantado por las organismos, entidades, autoridades o dependencias del Estado, toda persona tiene derecho a recurrir al Hábeas Data,  “que no es más que un mecanismo que tendría el ciudadano para “garantizar su derecho de acceso a la información”, cuando el servidor público titular “no le haya suministrado lo solicitado” o le haya entregado algo de manera “insuficiente o en forma incorrecta” ^[23].

Por su parte, a Presidenta del Gobierno Panameño ^[24], al comentar la LTGP y HD, reconocía la importancia de esta ley, en particular cuando crea “la acción jurisdiccional de Habeas Data mediante la cual, cualquier persona, podrá recurrir ante la justicia ordinaria y exigir el respeto a su derecho a ser informado de una actuación pública”,  de las gestiones y realizaciones públicas en contratación estatal, en servicios públicos, en actividades tributarias, de valorización, de tarifas e incluso de gestiones efectivas contra la corrupción y las actividades ilegales, todo ello en beneficio de la mayor transparencia del Gobierno y las entidades del Estado para con sus ciudadanos y personas que pudieran ser afectadas por acción, omisión o extralimitación de funciones públicas.

La acción o recurso de Hábeas Data  regulado en la LTGP y HD, se introdujo en el derecho público panameño, para proteger y garantizar primigéneamente el derecho de acceso a la información pública que tiene toda persona humana, pero también para garantizar de contera, “la imagen, la privacidad, el honor, el derecho a la autodeterminación de la información y libertad de información de una persona” ^[25].

Como analizamos en la Parte Segunda de este ensayo jurídico, la Constitución Panameña con la reforma de 2004, resulta mucho más avanzada que la Ley que la reglamentó, pues los artículos 43 y 44 de la Constitución garantizan el derecho de acceso a la información tanto pública o de interés colectivo como de carácter privado siempre que repose en bases de datos o registros a cargo  de servidores públicos o de personas privadas que presten servicios públicos y que ese acceso no haya sido limitado por disposición escrita y por  mandato de la Ley, así como para exigir su tratamiento leal y rectificación.

___________________

(22)       Mensaje del Excelentísimo Señor Presidente de la Asamblea Legislativa, Rubén Arosemena, en torno a la Ley de Transparencia en la gestión Pública. En: http://www.defensoriadelpueblo.gob.pa/

(23)      En dirección electrónica, ut supra cit

(24)      La Sra. Presidente de Panamá en la época, Mireya Moscoso. En: http://www.defensoriadelpueblo.gob.pa/

(25)       Según el Colegio de Abogados de Panamá. En: http://www.defensoriadelpueblo.gob.pa/

_______________________

Pero además y en forma  integral y completa, la Constitución Panameña, confiere a toda persona el derecho de promover “acción de Hábeas Data”, en los siguientes casos: (i) con  miras a garantizar el derecho de acceso a su información personal recabada en  bancos de datos o registros oficiales o particulares, cuando estos últimos traten  de empresas que prestan un servicio al público o se dediquen a suministrar  información; (ii) para hacer valer el  derecho de acceso a la información pública o de acceso libre, de conformidad  con lo establecido en esta Constitución; y,  (iii) podrá solicitar que se corrija,  actualice, rectifique, suprima o se mantenga en confidencialidad la información o  datos que tengan carácter personal.

La reglamentación y desarrollo legal de los artículos 43 y 44 de la Constitución  en la LTGP y HD de Panamá, es parcial porque por un lado, sólo desarrolla el acceso a la información pública por toda persona; y por otro establece el mecanismo jurisdiccional del Hábeas Data con algunas reglas procesales mínimas propias y otras, que son las mayoritarias nacen en la remisión legislativa al “Código Judicial de Panamá”, libro IV, Titulo III, sobre “Amparo degarantías Constitucionales”, en lo que “respecta a la sustanciación, impedimentos, notificaciones y apelaciones”,  como lo dispone el artículo 19 de la LTGP y HD.

El legislador panameño, perdió la oportunidad de reglamentar en forma amplia, integral y verdaderamente efectiva el proceso sumario originado en la acción de Hábeas Data, tal como se había facultado por la reforma constitucional de 2004, en el inciso in fine del artículo 44 y procedió en su entender mejor a la labor remisoria que a la tarea de creación legislativa de un proceso breve, expedito y altamente garantísta de los derechos fundamentales ut supra mencionados. En tal virtud, el proceso constitucional originado en la acción de Hábeas Data actualmente es de naturaleza jurídica mixta, pues por un lado, la Constitución estableció que éste sería sumario y sin necesidad de apoderado judicial y que serían competentes los tribunales judiciales que determine la ley; y por otro, según la LTGP y HD, en cuanto a la sustanciación, impedimentos, notificaciones y apelaciones  del “proceso sumario”, se regirán por los artículos 2615 a 2632 del Código Judicial que regulan el proceso de amparo de garantías constitucionales.

El proceso de amparo específico de Hábeas Data en consecuencia tiene una naturaleza jurídica de tertium genus, porque se estructura inicialmente como un “proceso sumario” específico para el Hábeas Data, pero que se complementa por un proceso judicial apto para la protección y garantía de derechos fundamentales a través de instituciones jurídico-procesales aplicables al  proceso de amparo, cuyas características y peculiaridades en el derecho público panameño, como lo hemos observando al leer los artículos mencionados del  Código Judicial, no son prenda de garantía de la mayor eficacia, sumariedad, claridad normativa y más aún, de ser un instrumento jurisdiccional expedito para garantizar y proteger los derechos fundamentales de la persona sólo contra entidades u organismos del Estado ^[26], con el mínimo de formalidades procedimentales y sin necesidad de apoderado judicial.

________________________

(26)         Actualmente la acción de amparo  no procede contra los acciones, actos o decisiones de los particulares cuando desconozcan o quebranten el ordenamiento jurídico vigente, tal como sí es posible en el derecho comparado. El autor en su obra, señala como “en el Derecho Constitucional tradicional, se consideraba que los derechos y garantías que la Constitución consagra a favor de los habitantes de una nación se establecían como una protección a los mismos frente a posibles abusos del Estado. Es decir, se estimaba que sólo el Estado podía violar los derechos fundamentales de los particulares y por ello, nuestra Carta Magna, entre muchas otras del área, señala que el Amparo cabe contra órdenes de hacer o no hacer dictadas por funcionarios. Pero, en la actualidad, se ha hecho evidente que los particulares pueden también violar los derechos de otros particulares”. Y por eso cuestiona el actual sistema jurídico panameño que no permite elevar acciones de amparo frente a la actividad contraria al derecho realizada por parte de las entidades o personas particulares. En: BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

_________________________

Según una autorizada doctrina, “La acción de amparo de garantías constitucionales lejos de cumplir su función protectora de los derechos individuales, incumple su misión por la multiplicidad de presupuestos legales y jurisprudenciales que se le han incorporado y que han desnaturalizado su razón de ser, así como la voluntad del constituyente“ ^[27]. Se ha convertido en una “acción inaccesible” por parte de las personas que hacen uso de ella para tutelar sus derechos fundamentales y especialmente el de Hábeas Data que venimos comentando.

En efecto, como lo constata el abogado y docente universitario De León Batista, al respecto sostiene: “venimos observando que la mayoría de las acciones de amparo de garantías constitucionales ni siquiera las admite el tribunal competente de la causa por el hecho de que no cumplen una serie de formalidades o requisitos” ^[28].

En la Parte Segunda de este ensayo, analizamos brevemente los cuadros estadísticos relacionados por el tratadista Pérez Jaramillo ^[29], en los que demuestra que desde la entrada en vigencia de la LTGP y HD de Panamá hasta Mayo de 2003, se había rechazado sesenta (60)  acciones de Hábeas Data por parte de la Corte Suprema de Justicia, basado en diversos argumentos, casi todos de índole formal, pues a título de ejemplo, se rechazaron por: (i) Once, porque no demostró “el interés legítimo, es decir, no es persona interesada”; (ii) Nueve, no se “solicita información y solicita otra petición”; (iii) Cinco, porque la “autoridad ha respondido la solicitud, aunque el peticionario no lo considera así”; (iv) Cinco, porque “al interponer la acción de Hábeas Data no se presentaron originales sino copias y se omiten formalidades”; (v) Tres, porque “la autoridad alega no tener la información y dice que corresponde a otra entidad”; (vi) Tres, porque “el peticionario presentó Hábeas Data, antes de 30 días”; (vii) Tres, porque “la autoridad a la que se hace petición no es funcionario público, aunque labore para una empresa mixta”; (viii) Tres, porque la “información fue calificada de ´acceso restringido´.

Según el artículo 18 de la LTGP y HD, tienen competencia y jurisdicción para avocar y resolver acciones de Hábeas data de carácter público, de conformidad con el nivel de la entidad administrativa y del funcionario  titular o responsable del banco de datos, así: (i)  los Tribunales Superiores que conocen de la acción de Amparo de Garantías constitucionales, cuando el funcionario titular o responsable de registro, archivo o banco de datos, tenga mando y jurisdicción a nivel municipal o provincial; y (ii) El Pleno de la Corte Suprema de Justicia,  en el evento de que el titular o responsable del registro, archivo o banco de datos tenga mando y jurisdicción en dos o más provincias o en toda la República.

Vale decir entonces, que los órganos judiciales competentes  para conocer el proceso de amparo originado en la acción de Hábeas Data en  Panamá, son de naturaleza colegiada o plural, bien sea que el asunto se conozca a nivel local y regional, o bien se trate de asuntos interprovinciales o nacionales. Las autoridades judiciales individuales a nivel de jueces municipales, provinciales o de Circuito, entre otros, están ausentes de esta clase de procesos según la ley comentada. Sin embargo, se hace necesario un reglamentación urgente sobre este tópico, pues así la naturaleza del proceso sumario de amparo de derechos fundamentales que pretende ser expedito debería prever el conocimiento y resolución judicial por jueces

____________________

(27)       PORCELL D., Kenia I. El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I y II) Abogada Asistente Secretaría de Asuntos Legales, Procuraduría General de la Nación. En: http://www.ministeriopublico.gob.pa/

(28)      DE LEON BATISTA, Hernán. Amparo de garantías: ¿un recurso muy especial?. En: http://mensual.prensa.com/

(29)      PEREZ JARAMILLO, Rafael. El Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

______________________

individuales que están más cerca de la población y a los asuntos que aquejan a los ciudadanos o personas a quienes se les niega, desconoce, limita o restringe el derecho de acceso a la información, por ahora sólo pública.

5. 5. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

La República del Uruguay  mediante  la Ley nº 17938 de Octubre 1º de 2004, reglamentó y desarrolló legislativamente el Hábeas Data para la protección de los datos personales de carácter financiero, constituyéndose así en una de las más recientes leyes suramericanas que enfatiza en el dato financiero, como una especie del género de datos de la persona humana.

5.1.      Estructura de la LPDP_HDU

La Ley nº 17938 de Octubre 1º de 2004 o “Ley de protección de datos personales para ser utilizados en informes comerciales y el Hábeas Data” del Uruguay (LPDP_HDU), está estructurada en títulos, capítulos y artículos que regulan los siguientes contenidos:

En el Título I, Capítulo I, relativo a la “Protección de datos personales de informes comerciales”,  la LPDP_HDU, en los artículos 1º y 2º  regula objeto de la ley y sus excepciones. La ley tiene como objetivo reglamentar las fases del  tratamiento de datos personales (el registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración), cuando se hallen en archivos, bases de datos, u otros “medios similares autorizados” (se entenderá en escritos, documentos tradicionales, o “informes”), sean éstos públicos o privados, “destinados a brindar informes de carácter comercial“.

Por oposición, se exceptúan del anterior objeto, los siguientes datos o informaciones de la persona humana: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar; (ii) los relativos a encuestas, estudios de mercado o semejantes; y, (iii) los datos sensibles sobre la privacidad de las personas

En el Capítulo II, concerniente a los “Principios Generales”, la ley uruguaya describe a espacio, en los artículos 3º a 7º los principios rectores que rigen al tratamiento de datos de las personas físicas y jurídicas, tales como: (i) De licitud de los datos; (ii) El consentimiento de los titulares, como regla, con sus excepciones numerus clausus o taxativas ^[30]; (iii) Proporcionalidad y finalidad de los datos; (iv) Utilización adecuada y proporcionada de datos; (v) Secreto o sigilo profesional de los datos.

En el Capítulo III,  concerniente  al  “Tratamiento de datos personales relativos a las obligaciones de carácter comercial”, previsto en los artículos 8º a 11º se precisa que el tratamiento de datos personales regulado en la LPDP_HDU abarca el cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permiten evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor sin consentimiento del titular.

________________________

(30)        Según el artículo 4º de la Ley nº 17.838, No requiere previo consentimiento el registro y posterior tratamiento de datos personales cuando: (i) Los datos provengan de fuentes públicas de información, tales como registros, archivos o publicaciones en medios masivos de comunicación; (ii) Sean recabados para el ejercicio de funciones o cometidos constitucional y legalmente regulados propios de las instituciones del Estado o en virtud de una obligación específica legal; (iv) Se trate de listados cuyos datos se limiten a nombres y apellidos, documento de identidad o registro único de contribuyente, nacionalidad, estado civil, nombre del cónyuge, régimen patrimonial del matrimonio; (v) fecha de nacimiento, domicilio y teléfono, ocupación o profesión y domicilio.

_________________________

El registro de los datos comerciales sólo podrá estar registrado en las bases de datos por el término de cinco años.

Cuando se cancele una obligación, el acreedor estará obligado a comunicarla al responsable del banco de datos en un plazo máximo de diez (10) días. El receptor de esta información tiene un plazo máximo de tres (3) días para actualizar la información.

En el  Título II,  referente al “Hábeas Data y Órgano de Control”,  Capítulo I sobre el “Hábeas Data”, previsto en los artículos 12º  a 16º de la ley, se define la acción de Hábeas Data como un derecho ejercitable por toda persona física y jurídica y se describe su objeto así: (i) Tomar conocimiento de los datos personales de carácter comercial; (ii) Se averigua la finalidad y el uso dado a dichos datos; (iii) Si se trata de datos amparados por el secreto, el Juez “apreciará” el levantamiento del mismo según el caso y circunstancias; y (iv)  A la rectificación, actualización y la eliminación o supresión de los datos personales que le conciernan, cuando estando incluidos en bases de datos, éstos lo estén por error o falsedad en la información.

En el Capítulo II, relativo a la “Acción de protección de datos personales”, contenida en los artículo 17º a 19º,  se describe la titularidad de la acción para toda persona física o jurídica, los casos en los que puede impetrarse y las normas del proceso a seguirse: (i) normas del Código General del Proceso; y (ii) Normas especiales de la  LPDP_HDU y las previstas en la Ley nº 16.011 de 19 de diciembre de 1998, es decir, en la Ley de amparo uruguaya ^[31].

En tal virtud, la acción de Hábeas Data para la protección de datos financieros constituye adjetivamente hablando configura una acción de amparo específica que genera un proceso jurisdiccional de amparo especial, con formas y ritualismos generales previstos en el Código General del Proceso y con ritos especiales previstos en la Ley de amparo.

En el Capítulo III, concerniente a los “Órganos de Control”, describe en los artículos 20º a 21º, la competencia y jurisdicción del Ministerio de Economía y Finanzas del Uruguay, el cual está asesorado por una comisión consultiva compuesta por integrantes del Ministerio de Economía, del Ministerio de Educación y Cultura, La Cámara  Nacional de Comercio y la Liga de defensa Comercial. Además, se puntualiza las funciones y las diversas sanciones que puede aplicar a quienes incumplieren los predicamentos de la  LPDP_HDU. Sanciones que van desde el apercibimiento hasta la clausura de la base de datos.

En el Título III, referente a las “Disposiciones finales y transitorias”, previstas en los artículos 22º a 26º, se describe además de la tabla de vigencia de la ley, siguientes aclaraciones: (i) que la LPDP_HDU, no rige para los registros públicos y similares creados por leyes especiales; (ii) que los responsables de bancos de datos públicos y privados existentes tendrán un plazo de 90 días, a partir de la promulgación de la ley, para inscribir dichos bancos en el Registro General; (iii)  Igual término, tendrán los responsables de los bancos de datos, para actualizar la información y en el evento de los “datos caducos” para eliminarlos; (iv) Los acreedores de obligaciones ya canceladas dispondrán del término de 10 días hábiles para comunicar dicha

_________________________

(31)      A tenor del  artículo 1º de la Ley de Amparo, “Cualquier persona física o jurídica, pública o privada, podrá deducir la acción de amparo contra todo acto, omisión o hecho de las autoridades estatales o paraestatales, así como de particulares que en forma actual o inminente, a su juicio, lesione, restrinja, altere o amenace, con ilegitimidad manifiesta, cualquiera de sus derechos y libertades reconocidos expresa o implícitamente por la Constitución (artículo 72), con excepción de los casos en que proceda la interposición del recurso de “habeas corpus”. La Acción de amparo uruguaya es de carácter jurisdiccional y subsidiaria. Conocen de ella, los Jueces letrados de primera instancia de la materia que corresponda el acto, hecho u omisión impugnados y el lugar donde estos produzcan sus efectos. Es subsidiaria, porque sólo podrá interponerse cuando no existan otros medios judiciales o administrativos que permitan obtener el mismo resultado de ésta acción.

__________________________

eventualidad a los responsables de los bancos  de datos; y (v) El poder ejecutivo dispondrá de 180 días para reglamentar la ley.

5.2.      Breves comentarios a la LPDP_HDU de 2004

5.2.1.   Notas preliminares. En particular, el proyecto de Hábeas Data de 2002

Uruguay como la mayoría de países de América Latina, antes de expedir una norma sobre protección de datos personales, experimentó con una cantidad de proyectos de diferente origen y matriculados a diferentes escuelas normativas globales que regulan estas materias técnico-jurídicas. Los anteproyectos y proyectos que regulaban la protección de datos en forma genérica, o el derecho de Hábeas Data en forma específica, tenía como común denominador, desarrollar legislativamente conjuntamente con aquellos, el derecho al acceso a la información pública o de interés colectivo y la información privada. Todo por cuanto,  los datos de la persona humana tratados a través de las nuevas tecnologías de la información y la comunicación (TIC), la informática y el derecho público posibilitaban una nueva y específica reglamentación que más temprano que tarde debían abordar los Estados no sólo latinoamericanos sino del mundo.

Cierto es, como sostiene algún sector de la doctrina ^[32], que Uruguay era el único Estado del MERCOSUR que no había expresamente elevado a rango constitucional el Hábeas Data, pero eso no impedía que por vía de interpretación sistemática de la Constitución, toda persona  tenga derecho a solicitar tutela del Estado para la protección de los datos personales que le conciernen cuando se hallen recolectados, almacenados o comunicados en bancos de datos, por error, inexactitud, falsedad o cuando se hayan realizado sin el consentimiento del titular o sin  la” previa conformidad de los titulares”, como dijera más tarde el inciso in fine del artículo 2º de la LPDP_HDU.

Un proyecto de Hábeas Data, publicado en la Internet ^[33], deja ver cómo la intención del legislador uruguayo en el año 2002, era reglamentar la protección de los datos personales recabados en bases o bancos de datos tanto de carácter público, como de carácter privado, a la par con el derecho de acceso a la información y el derecho de petición en interés particular, en interés general, al igual que el derecho de petición de informaciones y de consulta de actos y contratos administrativos (o mejor “estatales”) de la administración nacional, regional y local. Esto último para ponerse a tono con los países vecinos del cono sur de América en lo relativo a leyes de transparencia en la gestión pública y la implantación de mecanismos idóneos contra la corrupción pública.

La regulación del derecho de acceso a la información, el derecho de petición y la protección de datos de carácter personal en el proyecto de 2002, era amplia, genérica y aplicable a toda clase de datos personales, salvo los del “núcleo duro” de la intimidad o privacidad que estaban exentos de tratamiento de datos o de tratamientos restringido con potenciación en la protección en algunas fases del tratamiento, como por ejemplo, la comunicación de datos, tal como existe en el derecho continental europeo y en particular en las normas de protección de datos española de 1992 y 1999.

______________________

(32)      DAPKEVICIUS, Rubén Flórez. Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

(33)       En: http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

_________________________

El  proyecto además, reglamentaba la acción de Hábeas Data en dos estadios de su existencia, como lo hemos sostenido ut supra en este ensayo jurídico; es decir, en el ámbito administrativo y en el jurisdiccional. Así se desprende de la lectura de los artículos 12º y 13º del proyecto citado cuando sostiene que “el peticionante” podrá ejercer la acciones de Hábeas Data en los siguientes casos: 1) Cuando hayan transcurrido quince días corridos a contar desde la resolución denegatoria de la información solicitada ; y, 2) Cuando se haya agotado el plazo a que se refiere el artículo 8 º ( es decir, “la petición que recibiere deberá expedirse en un plazo  máximo de cuarenta y cinco días hábiles de recibida la misma”) sin pronunciamiento de la autoridad requerida.

Una vez conocida por los interesados la información relacionada con  su persona y archivada por organismos estatales o personas públicas de derecho  privado, nacionales o departamentales, ya sea por resolución de los mismos o por  orden judicial, aquellos, si consideren que la información es errónea o su  recolección y archivo fuera ilegal, o la posesión o uso de la misma pueda causar  perjuicio, lo que harán saber a los organismos o personas antes indicados en  plazo que no podrá exceder los quince días hábiles a contar desde el siguiente al  de su conocimiento.

Y agregaba el inciso 2º del artículo 13º del proyecto que vencido el plazo sin contestación, o si ésta fuera negativa, los interesados podrán promover la acción de “Hábeas Data” con el fin de modificar o eliminar la  información errónea o ilegal, la que se interpondrá dentro de los plazos y se  sustanciará según las formalidades previstas en esta ley.

El legislador Uruguayo de 2004, finalmente se decidió por expedir una Ley de Protección de datos personales y Hábeas Data, con expreso énfasis en los datos de carácter financiero, aunque la norma alude al término comercial, como pasamos a ver.

5.2.2.   Ley de protección de datos de carácter financiero

La LPDP_HDU de 2004, es una típica ley que enfatiza en la protección de los datos financieros de la persona no sólo física o natural, sino de la persona moral, “ideal” o jurídica. Quizá por ello, en el ámbito latinoamericano es la primera de las últimas leyes dictadas con ese claro sabor económico, basado el legislador uruguayo, a buen seguro, en el fenómeno de la globalización de la economía, el tracto financiero público y privado cada vez más decisivo en la gestión y acciones estatales como las del ámbito particular individual o empresarial, así como en los crecientes, fructíferos y productivos negocios de capitales, bienes y servicios en los cuales están involucrados entidades públicas, privadas y mixtas del sector bancario, bursátil y crediticio y llueven –si nos permiten el término—obligaciones constantes en títulos valores, bonos del estado y dinero líquido.

Hoy en día, el pago de un medio de transporte, la compra de un inmueble o acción, la venta de un servicio hotelero, el pago y/o cobro  de un tributo, el pago y/o cobro de un servicio público doméstico o el crédito personal de tarjeta, son muestran inequívocas del impacto que actualmente tiene las acciones, gestiones o actividades financieras en la vida de las personas humanas y jurídicas, y como tal cada una de ellas genera una huella, un dato o una información que puede ser recolectada, seleccionada, almacenada, registrada o comunicada a través de un procedimiento o tratamiento de datos tradicional o escrito, o electrónico o informático.

Estos entronques de las finanzas públicas y privadas con las nuevas tecnologías de la información y la comunicación (TIC) y la informática (telegestión, telemática o electrónica), es lo que ha cautivado últimamente a los Estados del mundo, para expedir normas proteccionistas de derechos o libertades fundamentales que pudieren verse afectadas por el abuso, extralimitación o exageración del llamado “poder informático”. Uruguay en Suramérica es de los primeros países que quedó impactado por el fenómeno jurídico y las finanzas y por ello se decidió en legislar sobre ese entronque anotado, antes que por la protección genérica de los datos de la persona humana y jurídica no financieros. Más aún en la  LPDP_HDU esta clase de datos han quedado excluidos expresamente en el artículo 2º, cuando sostiene:

Quedan excluidos de la aplicación de la Ley, los siguientes datos: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar;  (ii) los relativos a encuestas, estudios de mercado o semejantes, los que se regularán por las leyes especiales que les conciernan y que al efecto se dicten; y (iii) los datos sensibles sobre la privacidad de las personas, entendiéndose por éstos, aquellos datos referentes al origen racial y étnico de las personas, así como sus preferencias políticas, convicciones religiosas, filosóficas o morales, afiliación sindical o información referente a su salud física o a su sexualidad y toda otra zona reservada a la libertad individual.

Aclara la Ley de 2004, que solo  será procedente recolectar y aplicar el tratamiento o procesamiento de datos en estas clase de datos no comerciales, cuando el titular lo consienta  en forma “expresa y previa”, luego que sean informados del “fin y alcance del registro en cuestión“. Esto porque obviamente son datos que pueden afectar el “núcleo duro” de la intimidad o los derechos fundamentales de la persona humana.

Con estas exclusiones y aclaraciones expresas de la Ley uruguaya de 2004, se entiende que el legislador postergó la tarea de reglamentación y desarrollo legal de la protección de datos personales no comerciales o financieros. Por ahora, se ha legislado sobre el tema de actualidad mundial: las finanzas públicas y privadas.

La LPDP_HDU de 2004, desde el intitulado y el contenido mismo de la norma, se marca la impronta de ser una ley reguladora de datos financieros, aunque se empecina en nominarlos como datos comerciales.

El dato financiero como anotábamos ut supra,  es aquélla información concerniente a una persona determinada o determinable que tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público. Genéricamente esto dato financiero, pues según el diccionario el término financiero puede definirse como lo perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles”, con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

En la Ley Uruguaya para que no quepa la duda de si se puede o no someter a tratamiento manual o electrónico los datos financieros de las personas humanas o jurídicas, determinó en el artículo 8º  que queda “expresamente autorizado el tratamiento de datos personales“, bien sea sobre el cumplimiento o el incumplimiento de obligaciones de carácter comercial o crediticia. Con lo cual legalmente se excluye el consentimiento de las personas concernidas con dicha información, que a partir de la Ley de datos financieros de 2004, pueden tratarse sin la “conformidad”, “autorización” o consentimiento escrito y expreso del concernido.

Esta apertura uruguaya al tratamiento de datos financieros, tiene como objetivos inmediatos el que las entidades financieras puedan recabar la información pertinente dentro de este mundo globalizado de la economía y la rapidez y efectividad de la información que se necesita en toda clase de actividades donde medie el capital, para evaluar la concentración de negocios en general, la conducta comercial (no la valoración subjetiva del titular de los datos) o la capacidad de pago del titular de los datos, siempre y cuando la información se obtenga de “fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor, aparte de las eventualidades que la regla general, sin el consentimiento del titular de los datos.

El dato financiero tiene unas características especiales en todas las fases del tratamiento o procesamiento de datos personales, aparte de las anotadas en la fase de recolección.

En la fase de registro de la información, el dato financiero tendrá un plazo de cinco (5) años, contados a partir de su incorporación a la base, fichero o banco de datos respectivo. Solo en el evento en que la obligación persista en el incumplimiento, el acreedor podrá solicitar válidamente al responsable del banco, treinta días antes del vencimiento del plazo inicial, la permanencia por otros cinco (5) años más improrrogables, según el artículo 9º de la  LPDP_HDU. Este plazo inicial y el de la prórroga generan la vigencia y la vida útil del dato, pues ningún dato o información deberá ser perenne, ni por tiempo indefinido.

Por esta razón, las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción, según lo dispone el inciso in fine del artículo 9º.

Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de diez días hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos correspondiente.

Una vez recibida la comunicación por el responsable, éste dispondrá de un plazo máximo de tres días hábiles para proceder a la actualización del dato, asentando su nueva situación.

6. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

6.1.      Notas preliminares

El lunes 31 de Mayo de 2004, con demasiados bombos y platillos el Estado Peruano, estrenó la única norma en su género en el ámbito Latinoamericano, conocida como “Código Procesal Constitucional”, el cual compila sistemática y coherentemente los procedimientos constitucionales generados por las acciones de Hábeas Corpus, Amparo, Hábeas Data y de cumplimiento; así como también las acciones de inconstitucionalidad y acciones populares. De igual forma, la jurisdicción y competencia, reglas generales y especiales que las autoridades judiciales deben observar al avocar, desarrollar y resolver los procedimientos correspondientes.

La Ley nº 28237 de 2004, tuvo origen en diferentes motivaciones de tipo doctrinal, jurisprudencial e incluso legislativo, sobre las cuales los juristas peruanos han escrito obras jurídicas de relevancia. En nuestro criterio, el Código Procesal Constitucional peruano o CPCP, tiene inequívocas finalidades de concentración temática al compilar instrumentos adjetivos idóneos para proteger y garantizar derechos fundamentales, así mismo objetivos normativos de unidad jurídica de acciones, recursos o instrumentos procesales diferentes en su origen, pero homologables o equiparables a través de un mismo hilo procedimental o iter procesalis genérico que admite peculiaridades o reglas especiales para todas o cada una de las instituciones que no pierden su autonomía y diferencia. Esta nueva técnica legislativa de compilación de instituciones jurídicas diferentes en su origen pero equiparables en sus procedimientos es loable, práctica, altamente eficiente para el operador jurídico y relevantemente pedagógico para el titular de un derecho o interés legítimo que lo estime amenazado, vulnerado, limitado o restringido por un acto, hecho u omisión de una autoridad, entidad u organismo del Estado o por los particulares con funciones o servicios públicos, por excepción.

Como es apenas obvio, el CPCP de 2004, reglamenta y desarrolla la garantía y acción constitucional de Hábeas Data, en el ámbito estrictamente procedimental. Por ello, para analizar la institución jurídica del Hábeas Data en forma integral, hay que recurrir a la Ley de Transparencia y Acceso a la información Pública peruana (LT y AIP) o Ley nº 27806 de 13 de Julio de 2002, la cual tiene por finalidad además de promover la transparencia de los actos, contratos, gestiones y acciones del Estado, la encomiable labor de reglamentar el derecho fundamental de acceso a la información consagrada en el numeral 5º  del artículo 2º de la Constitución Peruana, es decir, el derecho de toda persona a solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

En efecto, la LT y AIP de 2002 ^[34], regula la parte sustantiva del Hábeas Data, pues allí el legislador peruano regula el derecho fundamental de información en general y en particular sobre la información de acceso público ^[35], la legitimación por activa y por pasiva de la información, las autoridades o entidades del Estado obligadas a dar cumplimiento al acceso a la información pública, los principios rectores de la información veraz, oportuna, lícita, clara, exacta que deben entregar las entidades estatales y a su vez, recibirla los titulares o concernidos con la misma; el régimen de sanciones y responsabilidades que asumen titulares, usuarios y administradores de la información;  los extensísimos y quizá cuestionables regímenes excepcionales al acceso a la información pública, cuando ésta se considera “secreta”, “reservada” y  “confidencial”; la regulación amplia y pormenorizada de la información de las finanzas, el régimen fiscal y presupuestal del Estado; entre muchas otras aristas del derecho a la información.

La LT y AIP posibilita el ejercicio de la acción de Hábeas Data, solo cuando se ha agotado el no fácil y expedito  “procedimiento” común o administrativo de acceso a la información pública.

En efecto, el artículo 11º de la mentada ley, sostiene que el acceso a la información pública está sujeta al siguiente procedimiento: (i) Toda solicitud de información debe ser dirigida al funcionario designado por la  entidad de la Administración Pública para realizar esta labor. En caso de que  éste no hubiera sido designado, la solicitud se dirige al funcionario que tiene en  su poder la información requerida o al superior inmediato; (ii)  La entidad de la Administración Pública a la cual se haya presentado la  solicitud de información deberá otorgarla en un plazo no mayor de siete (7)  días útiles; plazo que se podrá prorrogar en forma excepcional por cinco (5)  días útiles adicionales, de mediar circunstancias que hagan inusualmente difícil  reunir la información solicitada. En este caso, la entidad deberá comunicar por  escrito, antes del vencimiento del primer plazo, las razones por las que hará uso  de tal prórroga, de no hacerlo se considera denegado el pedido. En el supuesto de que la entidad de la Administración Pública no posea la  información solicitada y de conocer su ubicación y destino, esta circunstancia deberá ser puesta en conocimiento del solicitante; (iii) La denegatoria

___________________

(34)       Texto completo de la norma En: http://www.pcm.gob.pe/Transparencia/

(35)      El Artículo 10 de la LT y AIP, considera la Información de acceso público, aquella que las entidades de la Administración Pública tienen la obligación de proveer la  información requerida si se refiere a la contenida en documentos escritos, fotografías,  grabaciones, soporte magnético o digital, o en cualquier otro formato, siempre que haya sido  creada u obtenida por ella o que se encuentre en su posesión o bajo su control. Agrega, el inciso 2º Asimismo, para los efectos de esta Ley, se considera como información pública  cualquier tipo de documentación financiada por el presupuesto público que sirva de base a  una decisión de naturaleza administrativa, así como las actas de reuniones oficiales.

___________________

al acceso a la información se sujeta a lo dispuesto en el segundo párrafo del artículo 13º de la presente Ley; (iv)  De no mediar respuesta en los plazos previstos en el inciso b), el solicitante  puede considerar denegado su pedido; (v)  En los casos señalados en los incisos c) y d) del presente artículo, el solicitante  puede considerar denegado su pedido para los efectos de dar por agotada la vía  administrativa, salvo que la solicitud haya sido cursada a un órgano sometido a  superior jerarquía, en cuyo caso deberá interponer el recurso de apelación para  agotarla; (vi)  Si la apelación se resuelve en sentido negativo, o la entidad correspondiente no  se pronuncia en un plazo de diez (10) días útiles de presentado el recurso, el  solicitante podrá dar por agotada la vía administrativa; (vii)  Agotada la vía administrativa, el solicitante que no obtuvo la información  requerida podrá optar por iniciar el proceso contencioso administrativo, de  conformidad con lo señalado en la Ley Nº 27584 u optar por el proceso  constitucional del Hábeas Data, de acuerdo a lo señalado por la Ley Nº 26301.

Por ahora nos dedicaremos al estudio del proceso constitucional originado en la acción de Hábeas Data, o dicho de otro modo, a la visión jurisdiccional o procedimental del Hábeas Data.

6.2.      Estructura de la Ley nº 28237 o Código Procesal Constitucional del Perú

Si bien vamos a relacionar la estructura general del CPCP de 2004, eso no obsta que hagamos énfasis en aquellos apartes referidos a la acción o “proceso constitucional” de Hábeas Data, que es el objeto general de nuestro ensayo jurídico.

El CPCP tiene una estructura de extenso Codex y está dividió en Títulos, Capítulos, Artículos, numerales, literales y parágrafos. Contiene un Título preliminar y trece Títulos, y por su puesto disposiciones transitorias y tabla de vigencia.

El Título Preliminar en los artículos I a IX, regula el alcance, fines y principios de los procesos constitucionales; los órganos del poder judicial competentes; el entendimiento que debe darse a la interpretación constitucional y el control difuso; la sentencia del Tribunal constitucional como precedente en el derecho público peruano y la aplicación supletoria de los Códigos procesales de la materia objeto del cuestionamiento constitucional.

En el Título I, relativo a las “Disposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento”, en el artículo 1º al 24, hace referencia a la finalidad, procedencia frente a actos basados en normas o respecto de resoluciones judiciales, las causales de improcedencia, la cosa juzgada, la representación procesal del Estado, la responsabilidad del agresor, la ausencia de etapa probatoria, las excepciones y defensas previas, la integración decisiones, el turno, la tramitación preferente, notificaciones,  medidas cautelares, extinción de la medida cautelar, sentencia, recursos de agravio constitucional y de queja, el pronunciamiento del Tribunal Constitucional, la incorporación de medios probatorios sobre hechos nuevos al proceso, actuación de sentencias, procedencia durante los regímenes de excepción y agotamiento de la jurisdicción nacional.

El Título  II, concerniente al “Proceso de Hábeas Corpus”, contiene dos capítulos. En el Capítulo I, sobre los “Derechos protegidos”, en el artículo 25º, relaciona “enunciativamente” los derechos a la libertad individual de las personas protegidas por Hábeas Corpus. En el Capítulo II, sobre “el Procedimiento”, en los artículos 26º a 36, relaciona las partes y fases del proceso, la legitimación activa y pasiva, trámite y recursos.

El Título III, relativo al “Proceso de Amparo”, contiene dos capítulos. En el Capítulo I, relativo a los “Derechos protegidos”, en los artículos 37º a  38º , enumera los derechos en los que procede el amparo; entre otros, el honor, la información, la intimidad, las informaciones inexactas o agraviantes, la libertad de cátedra, etc. En el Capítulo II, referente al “Procedimiento”, en los artículos 39 a 60, menciona la legitimación, la representación procesal, la procuraduría oficiosa, requisitos y plazo para interposición de la demanda, acumulación subjetiva de oficio; el no menos discutible aspecto de “agotamiento de las vías previas” y excepciones al mismo; la improcedencia liminar; inadmisibilidd, abandono y reconvención; Juez competente, plazos para decidir, trámites y recursos.

El Título IV, referente al “Proceso de Hábeas Data”, en los artículos 61 a 65, describe los derechos protegidos a través de este mecanismo constitucional y que se concreta en los siguientes: (i) Acceder a información que obre en poder de cualquier entidad pública, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trámite, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier otro documento que la administración pública tenga en su poder, cualquiera que sea la forma de expresión, ya sea gráfica, sonora, visual, electromagnética o que obre en cualquier otro tipo de soporte material; (ii) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros; y (iii)  a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales.

Así mismo, se relacionan en éste capítulo los requisitos especiales que debe reunir la demanda en ejercicio de la acción de Hábeas Data; también una especie de medidas cautelares, que el legislador peruano, llama “ejecución anticipada”; la acumulación de pretensiones de conocer y acceder a la información, con las de actualizar, rectificar o eliminar información o de impedimento de entrega de informaciones; y finalmente, la homologación del procedimiento de amparo al procedimiento de Hábeas Data.

El Título V, relativo al “Proceso de cumplimiento”, en los artículos 66 a 74 describe el objeto, la legitimación activa y pasiva, representación, requisitos especiales de la demanda, causales de improcedencia, desistimiento de las pretensiones, contenido de la sentencia, ejecución de la sentencia y aplicabilidad del procedimiento de amparo a la acción de cumplimiento.

El Título VI, concerniente a “Disposiciones generales de los procesos de acción popular e inconstitucionalidad”, en los artículos 74º a 83, referencia la finalidad y procedencia de la acción popular y la de inconstitucionalidad, principios de interpretación, efectos de la sentencia, cosa juzgada y efectos de la irretroactividad.

El Título VII, referente a la “Acción Popular”,  en los artículos 84 a 97, relaciona la legitimación activa y pasiva, la competencia, requisitos de la demanda, admisibilidad e improcedencia, emplazamiento y publicación de la demanda, contestación, vista de la causa, recursos, medidas cautelares y sentencia.

El Título VIII, relativo a la “Acción de Inconstitucionalidad”, en los artículos 98 a 108, menciona la legitimación y competencia de la acción, representación ad procesum; la demanda, anexos, inadmisibilidad y su improcedencia Ad limine; improcedencia de medidas cautelares, trámite y sentencia.

El Título IX, concerniente al “Proceso competencial”, en los artículos 109º a 113, relaciona los procesos generados por los conflictos de competencias administrativas entre los órganos del Estado. Así mismo, sobre las pretensiones, medidas cautelares, causales de improcedencia y efectos de la sentencia.

El Título X, referente a la “Jurisdicción Internacional”, en los artículos 114º a 116º, hace mención a los organismos internacionales competentes para tutelar los derechos fundamentales de los peruanos, cuando han agotado las vías administrativas y jurisdiccionales internas, el Comité de Derechos Humanos de las Naciones Unidas, la Comisión Interamericana de Derechos Humanos de la Organización de Estados Americanos, por ejemplo.

El Título XI, relativo a las “Disposiciones generales aplicables a los procedimientos ante el Tribunal Constitucional”, en el artículo 117º al 121º, menciona la acumulación de procesos, numeración de sentencias, solicitud de información del Tribunal a los organismos del Estado, subsanación de vicios de procedimiento y el carácter inimpugnable de las sentencias del Tribunal.

El Titulo XII, concerniente a las “Disposiciones finales” de la primera a la séptima, se mencionan aspectos que por técnica legislativa no pudieron incrustarlos en los títulos referidos a disposiciones, reglas o principios generales o aspectos que deberían ir en el título preliminar. Por ello, se menciona “las denominaciones empleadas” a lo largo de la ley, los jueces especializados, publicación de sentencias, aspectos de pedagogía constitucional en centros educativos y la gaceta constitucional.

El Título XIII, referente a las “Disposiciones Transitorias y derogatorias”. Se derogan expresamente 15 leyes y se dispone la vigencia después de 6 meses de la publicación.

6.3.      Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

El CPCP le dedica específicamente el Título IV  al Hábeas Data, pero también le dedica inmerso con otras acciones constitucionales, el Título I, para hacer mención a las disposiciones generales que rigen al proceso constitucional originado en la acción o garantía constitucional de Hábeas Data, aunque por disposición final (Titulo XIII), sostiene que se “denominará” proceso de Hábeas Data a la acción de Hábeas Data. Asimilación terminológica que parece conllevar el cambio de naturaleza jurídica del Hábeas Data peruano.

Por eso, en el presente aparte haremos un análisis sucinto de los aspectos relacionados en los artículos 61 a 65 del CPCP, con las consiguientes remisiones a la Constitución Peruana de 1993.

6.3.1.               El procedimiento de amparo específico o de Hábeas Data

Desde el punto de vista procedimental es aplicable al Hábeas Data según el artículo 65 del CPCP, el Título III relativo al “Proceso de Amparo” en toda su extensión (artículos 39 a 60 ibidem), es decir en cuanto a  la iniciación, desarrollo, sustanciación, recursos y sentencia del procedimiento de Hábeas Data, éste se tramitará conforme a las formas y ritualidades del proceso de amparo, salvo lo previsto en forma específica en los artículos 61 a 64 del CPCP, vale decir sobre objeto de la acción de Hábeas Data, las medidas cautelares y la acumulación de pretensiones, propias del proceso de Hábeas data. Lo cual quiere decir, que el proceso de Hábeas Data es mixto en el derecho peruano y está compuesto por parte genérica aplicable todos los procesos de amparo, y una parte específica, aplicable en forma exclusiva y excluyente al proceso de Hábeas Data.

El procedimiento constitucional de amparo peruano, lejos de ser un proceso sumario, expedito y altamente garantizador del derecho fundamental y garantía constitucional de Hábeas Data, se erigió en el CPCP, con una serie de etapas normales y contingentes para todo procedimiento constitucional ordinario, digno de estudiarse en una obra jurídica autónoma y separada a la presente. En tal virtud por ahora, solo nos permitimos relacionar casi gráficamente las etapas de dicho proceso para demostrar nuestra crítica.

Tiene unas etapas normales u obligatorias del proceso como son la de litis contestatio y la de juzgamiento. La etapa de litis contestatio, compuesta por la: (i) demanda con requisitos generales y especiales, plazo para su interposición, agotamiento de vías previas y excepciones mínimas a éste; y, (ii) Contestación de la demanda. La Etapa de Juzgamiento constituida por la sentencia, salvo que se haya formulado solicitud de informe oral.

Tiene como etapas contingentes o facultativas: (i) Inadmisibilidad de la demanda; (ii) desistimiento; (iii) impedimentos del juez; (iv) intervención litisconsorcial; (v) Adopción de medidas cautelares;  y,  (vi) procedimiento para represión de actos homogéneos; además de las circunstancias procesales contingentes de acumulación subjetiva de terceros y acumulación de procesos.

6.3.2.   El Objeto del procedimiento constitucional de Hábeas Data

Sobre el objeto y el extravasamiento del CPCP, respecto de la reglamentación de la garantía constitucional del Hábeas Data, previsto en el artículo 200 de la Constitución Peruana, ya nos hemos referido al hacer los comentarios pertinentes a ésta en la Parte Segunda de esta obra, y por ello, sólo adicionemos aquí, que el CPCP concreta un objetivo amplio que puede ser mejorado, si se reglamenta el artículo 200-3º  en su integridad (no sólo los numerales 5º  y 6º  del artículo 2º de la Constitución incorporado al artículo 200-3º y reglamentado en el artículo 61 del CPCP, sino también el numeral 7º ^[36]  que es omitido en dicha reglamentación legal) pues hoy por hoy, la acción de Hábeas data sólo procede en las fases de conocimiento y acceso de la información, de solicitud de actualización, rectificación y cancelación de la misma y en las eventualidades de solicitar la supresión de las informaciones o de impedir que sean sometidas a tratamiento de datos,  ciertas informaciones sensibles o privadas cuando con ellas se amenacen, vulneren o desconozcan derechos fundamentales de la persona.

El numeral 5º del artículo 2º de la Constitución Peruana de 1993, sostiene que toda persona tiene derecho: “A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional”. Y agrega el inciso 2º: “El secreto bancario y la reserva tributaria pueden levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado”.

______________________

(36)      El numeral 7º del artículo 2º de la Constitución sostiene que toda persona tiene derecho: “Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias. Agrega el inciso 2º, “Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley”. Pues en este caso también procede la acción de Hábeas Data como mecanismo idóneo y potenciado de protección y garantía constitucional y legal de los mencionados derechos fundamentales, más cuantos se hace mención a informaciones inexactas o agraviantes por cualquier medio TIC. Esto sin perjuicio e independencia que éstos derechos fundamentales tienen en ejercicio de su autonomía, protección y garantía constitucionales por medio de la acción de amparo. Si se hubiese éste numeral 7º  en el artículo 61 CPCP, los derechos fundamentales allí mencionados gozaran hoy de una protección ultrapotenciada que la necesitan ante el avance y la alta porosidad de las TIC y la informática en el derecho.

__________________________

Por su parte, el numeral 6º del artículo 2º constitucional, sostiene que toda persona tiene derecho: “A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar“.

Tanto en el numeral 5º como en el 6º, la Constitución preserva bienes jurídicos y derechos fundamentales tales como el derecho de acceso a la información pública o de interés colectivo y privada o de interés individual y el derecho a la intimidad personal y familiar. Derechos constitucionales autónomos que gozan de protección per se, por sus connotaciones especiales, su caracterización de derechos de la persona humana y jurídica (el de la información) o de personalísimos del ser humano (el de intimidad), por ser de aplicación inmediata y por estar garantizados por el Estado a toda persona habitante, residente o transeúnte en el país. Además gozan de la protección reforzada a través del mecanismo administrativo del derecho de petición ante cualquier autoridad del Estado y del mecanismo jurisdiccional de la acción de amparo, según el CPCP. Pero además, tienen un ámbito de ultraprotección, por disposición del artículo 200-3º de la Constitución, cuando entran en entronque el abuso, irregular, indebido o ilegal tratamiento de datos o informaciones personales  por medios TIC y la informática (abuso del “poder informático”). Es entonces, en este momento que los derechos fundamentales enunciados en los numerales 5, 6 y 7º del artículo 2º obtienen una ultraprotección constitucional y legal que le es negada parcialmente al los derechos constitucionales del numeral 7º , por omisión del legislador peruano o por disposición y a sabiendas de su exclusión. La doctrina peruana tiene la palabra sobre este punto.

6.3.3.   Requisitos especiales de la demanda de Hábeas Data

Ahora bien, en cuanto a los requisitos de la demanda en el “proceso constitucional de Hábeas Data”, el CPCP, redirige en principio a los requisitos generales previstos para la acción de amparo, los cuales están previstos en el artículo 42 en forma enunciativa, al emplear el término “cuando menos” para referirse a que la demanda por escrito, con sus “datos y anexos”, podrá ser presentada por quien se halle legitimado para hacerla y cuando reúna los siguientes requisitos: (i) La designación del Juez ante quien se interpone; (ii) El nombre, identidad y domicilio procesal del demandante; (iii) El nombre y domicilio del demandado, sin perjuicio de lo previsto en el artículo 7 del CPCP, sobre representación procesal del Estado; (iv) La relación numerada de los hechos que hayan producido, o estén en vías de producir la agresión del derecho constitucional; (v) Los derechos que se consideran violados o amenazados; (vi) El petitorio, que comprende la determinación clara y concreta de lo que se pide; (vii) La firma del demandante o de su representante o de su apoderado, y la del abogado.

Estos requisitos son los que normalmente se exigen para la presentación de cualquier tipo o clase de demanda ante autoridades jurisdiccionales, en cualquier Estado del mundo.

Agrega el inciso in fine del artículo mencionado, que “en ningún caso la demanda podrá ser rechazada por el personal administrativo del Juzgado o Sala correspondiente“. Nos parece que debió decir, que no podrá ser rechazada por el  jueces o jueces que son los funcionarios con jurisdicción y competencia para pronunciarse sobre la admisión, inadmisión o rechazo de la demanda, mediante providencia o decisión judicial correspondiente.

El CPCP en el artículo 62, establece unos requisitos especiales de la demanda que debe reunir la acción de Hábeas Data, además de los requisitos generales para la demanda en acción de amparo. Estos son: (i) que el demandante previamente haya reclamado, por documento de fecha cierta, el respeto de los derechos de conocimiento y acceso a la información, de actualización, rectificación o eliminación de la información inexacta, erróneo o ilegal, o de supresión o impedimento de la publicación de información sensible o privada que afecte derechos constitucionales; (ii) que el demandado se haya ratificado en su incumplimiento o no haya contestado dentro de los diez días útiles siguientes a la presentación de la solicitud tratándose del derecho reconocido por el artículo 2 inciso 5) de la Constitución, o dentro de los dos días si se trata del derecho reconocido por el artículo 2 inciso 6) de la Constitución. Excepcionalmente se podrá prescindir de este requisito cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante. Aparte de dicho requisito, no será necesario agotar la vía administrativa que pudiera existir.

Estos requisitos denominados especiales por el CPCP, en verdad, son trámites administrativos previos que debe agotar el titular de los datos o persona concernida con éstos, pues  ese es el significado que debe dársele al solicitar el artículo 62  la demostración de haber reclamado, “por documento de fecha cierta”, es decir, de haber ejercido el derecho de petición ante las autoridades, organismos o instituciones del Estado, o ante personas físicas o jurídicas de carácter particular y esperar que unas u otras, según el caso, hayan o no respondido expresa o  tácitamente (una especie de “silencio administrativo” de petición), en forma oportuna o extemporánea, dentro o no de un lapso de tiempo cierto. En fin, el primer requisito, parece sólo pedir que se demuestre que se reclamó mediante un memorial o documento, con la sola presentación y atestamiento de la autoridad o persona que recibió el memorial con sello de hora, día y fecha que de fe a la presentación.

El requisito especial segundo del artículo 62 del CPCP, parece aclarar el requisito primero. En efecto, solicita que el impetrante en acción de Hábeas Data, deba demostrar que la entidad o persona, pública o privada que lo denomina anticipadamente “demandado” cuando todavía no lo es técnica ni procesalmente  y según el caso, que ésta o  éstas, se han ratificado en su incumplimiento o no hayan contestado así: (i) dentro de los diez días útiles siguientes a la presentación de la solicitud (o petición más claro) tratándose del derecho de acceso a la información pública o privada; (ii) dentro de los dos días si se trata del derecho de la intimidad personal o familiar.

Excepcionalmente, agrega el artículo citado,  se podrá prescindir de este requisito especial cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante.  La prueba idónea que se exige al “interesado o afectado” con el tratamiento de datos, parecería exagerada, pues la calificación de los hechos, actos, sucesos u omisiones, sí constituyen o no “inminente peligro” debe darse por el funcionario jurisdiccional que admite el amparo específico de Hábeas Data, cuando no esté regulado previamente en el ordenamiento jurídico vigente, o más aún en el CPCP, pues la carga de la prueba en estos casos debería soportarla el Estado o la persona privada que vulnere el tratamiento de datos, a falta de regulación expresa.

Como se observa, sí existen vías previas antes de la acción de Hábeas Data en el derecho peruano, que el CPCP, se empeña en decir, en el inciso in fine del artículo 62 que “no será necesario agotar la vía administrativa“. Si bien es cierto, no existen recursos administrativos contra la decisión expresa o tácita al derecho de petición (“solicitud”, “reclamo”, como lo denomina el CPCP), elevados por el interesado, afectado o titular de los datos frente a las personas o entidades públicas o privadas; no es menos cierto, que las peticiones incoadas por aquél cuando se trata de los derechos fundamentales previstos en  los numerales 5º y 6º del artículo 2º de  la Constitución Peruana, reciben una contestación tácita negativa que genera un silencio administrativo de peticiones de 10 días en el caso del derecho de acceso a la información y de dos días en el caso del derecho a la intimidad; es decir, que hay una respuesta tácita negativa, que en todo caso genera una vía administrativa –mal llamada en Colombia “gubernativa”–  que ineludiblemente debe agotarse para acudir en Hábeas Data, pues el artículo 62 expone que estos son requisitos especiales adicionales a los generales de la presentación de la demanda en acción de amparo específico o de Hábeas Data.

6.3.4.   Las medidas cautelares en el procedimiento de amparo específico de Hábeas Data

En el Título I, concerniente a las “Disposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento”   del CPCP, y más concretamente en el artículo 15, se sostiene que son viables las medidas cautelares y de suspensión del acto violatorio en los procesos de amparo, Hábeas Data y de cumplimiento, indicando con ello, que respecto al proceso de amparo específico o de Hábeas Data son viables como etapa contingente del proceso las medidas cautelares como la suspensión de la eficacia o de los efectos jurídicos del acto (particular o administrativo) acusado ^[37] .

Para la adopción de las medidas cautelares en esta clase de procesos constitucionales sumarios, el legislador peruano impuso a la autoridad jurisdiccional que se comprobara ab initio los requisitos caracterizadores de las medidas cautelares: (i) la apariencia del derecho o también conocido como elemento fumus boni iuris ^[38];  (ii)  el   peligro  en  la demora   o periculum in mora ^[39]; (iii) que el pedido cautelar sea adecuado para garantizar la eficacia de la pretensión o como lo denominamos, el elemento de la pendentia litis ^[40]; y (iv) se dictan sin audiencia de la contraparte.

Efectivamente, los anteriores elementos caracterizadores de toda medida cautelar se deben reunir al momento de la solicitud de la medida cautelar por el interesado o afectado, pero es el Juez quien en el momento de la adopción de la medida mediante providencia idónea quien evalúe y compruebe su existencia y pertinencia luego de leer los argumentos fácticos, jurídicos y probatorios esgrimidos por el solicitante, en memorial escrito conjunto o separado de la demanda y de comprobar si existe una violación o vulneración irrefragable (“palmaria” o “prima facie”, como se solicita en el derecho público colombiano en los procesos de nulidad de actos administrativos ante la jurisdicción contencioso administrativa) entre el acto acusado y el ordenamiento jurídico vigente.

La procedencia, trámite y ejecución de las medidas cautelares, según el artículo citado dependen del contenido de la pretensión constitucional intentada y del aseguramiento de la decisión final.

Tienen competencia para avocar y decretar medidas cautelares en esta clase de procesos, si la solicitud de medida cautelar tiene por objeto dejar sin efecto actos administrativos dictados en el ámbito de aplicación de la legislación municipal o regional, en primera instancia por la Sala competente de la Corte Superior de Justicia del Distrito Judicial correspondiente.

En cuanto al trámite para la adopción, ejecución y recursos de las medidas cautelares, se seguirá el previsto en los incisos 3º y 4º del mentado artículo; es decir, se aplicará el iter procesalis del CPCP, como norma especial y el Código Procesal Civil Peruano (Título IV de la Sección Quinta), como norma subsidiaria para llenar los vacíos o lagunas legales del CPCP. En efecto, ab initio el  trámite es el siguiente: De la solicitud se corre traslado por el término de tres días, acompañando copia certificada de la demanda y sus recaudos, así como de la resolución que la da por admitida, tramitando el incidente en cuerda separada, con intervención del Ministerio Público. Con la contestación expresa o ficta la Corte Superior resolverá

________________________

(37)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis Doctoral, Universidad de Navarra, Pamplona (España), 1986, p. 15 y ss.

(38)      Ob., ut supra cit.

(39)      Ob., ut supra cit.

(40)      Ob., ut supra cit.

________________________

dentro del plazo de tres días, bajo responsabilidad salvo que se haya formulado solicitud de informe oral, en cuyo caso el plazo se computará a partir de la fecha de su realización. La resolución que dicta la Corte será recurrible con efecto suspensivo ante la Corte Suprema de Justicia de la República, la que resolverá en el plazo de diez días de elevados los autos, bajo responsabilidad.

La medida cautelar se extingue, según el artículo 16 del CPCP de pleno derecho cuando la resolución que concluye el proceso ha adquirido la autoridad de cosa juzgada.

Si la resolución final constituye una sentencia estimatoria, se conservan los efectos de la medida cautelar, produciéndose una conversión de pleno derecho de la misma en medida ejecutiva. Los efectos de esta medida permanecen hasta el momento de la satisfacción del derecho reconocido al demandante, o hasta que el juez expida una resolución modificatoria o extintiva durante la fase de ejecución.

Si la resolución última no reconoce el derecho reclamado por el demandante, se procede a la liquidación de costas y costos del procedimiento cautelar. El sujeto afectado por la medida cautelar puede promover la declaración de responsabilidad.

De verificarse la misma, en modo adicional a la condena de costas y costos, se procederá a la liquidación y ejecución de los daños y, si el juzgador lo considera necesario, a la imposición de una multa no mayor de diez Unidades de Referencia Procesal.

La resolución que fija las costas y costos es apelable sin efecto suspensivo; la que establece la reparación indemnizatoria y la multa lo es con efecto suspensivo.

CAPITULO SEGUNDO

1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

CAPITULO SEGUNDO

1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

2.1.                  PRELIMINARES

2.2.                  ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977

2.2.1.               Estructura de la LFAPD

2.2.2.               Comentarios sucintos a la LFAPD de 1977

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

2.3.3.               Principios y excepciones fundamentales del tratamiento informatizado o no de los datos personales

2.3.4.   Principios del tratamiento de datos en el ámbito nacional

2.3.5.   Principios del tratamiento de datos en el ámbito internacional: Libre circulación y restricciones legítimas

2.3.6.               Excepciones a las Directrices

2.4.                  El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981

2.4.1.               Definiciones nucleares en el tratamiento informatizado o no de datos personales

2.4.2.   Principios y excepciones fundamentales  en el tratamiento y circulación datos personales

2.5.                  ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE 1999 o LOPDP

2.5.1.               Notas preliminares

2.5.2.               Estructura de la LOPDP de 1999

2.5.3.               Comentarios sucintos a la LOPDP

2.6.                  LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE

2.1.       PRELIMINARES.

Nos parece oportuno en esta parte del trabajo, hacer mención a los diferentes cuerpos normativos que regulan el tratamiento informatizado de los datos de carácter personal, a efectos de exaltar, entre otros aspectos, por un lado,  la labor que vienen cumpliendo los legisladores en los diferentes Estados de Europa continental (a título de ejemplo en Alemania, España y la Unión Europea)  por puntualizar y establecer un marco de garantías y medias de protección a los derechos involucrados en dicho tratamiento (con mayor énfasis en el derecho a la intimidad y subsidiariamente de la información, la expresión, el honor y la imagen, entre otros); y por otro, analizar, estudiar y puntualizar el derecho del Hábeas Data prevista en las principales leyes de protección de datos personales, clasificadas inicialmente en tres generaciones, según sus contenidos y evolución en la regulación del fenómeno informático en entronque con el derecho. Ampliaremos luego una cuarta generación y otra en transición, atendiendo además de lo dicho, al factor temporal, los avances significativos de iusinformática y la consideración de los Estados “paraísos informáticos” técnica como legislativamente.

En la primera generación de estas leyes se hallan las denominadas leyes pioneras en la regulación y tratamiento (informatizado o no)  de datos de carácter personal: La Ley Federal alemana de protección de datos personales y Ley Sueca “Data Lag” de 11 de mayo de 1973 ^[41].  Según Mirabelli ^[42], estas leyes son tendencialmente restrictivas puesto que se sujetan al requisito de “la autorización previa” para la creación de los “ficheros” o bancos de datos, limitando excesivamente la recolección de los “datos sensibles” e instituyendo organismos con funciones y estructura cuasi jurisdiccional para la concesión y el ejercicio del control de los mencionados banco  de  datos ^[43].  Sin embargo, como veremos más adelante la Ley Alemana, –que tomamos como prototipo de análisis de esta primera generación– por contra, se caracteriza por ser la primera en el tratamiento integral de tratamiento informatizado o no de datos personales, así como de demarcar una nueva técnica legislativa en materia de definiciones técnico-jurídicas, estructurar por vez primera los “procesos de datos” públicos y privados y crear la figura del Comisario de Protección de datos para la vigilancia, garantía y protección de los derechos fundamentales, las libertades públicas e intereses legítimos de los titulares de datos personales.

En una segunda generación de leyes protectoras de los datos personales se destacan la de Francia en 1974, Noruega en 1978, Luxemburgo en 1981, etc. Por paralelo y con idénticos propósitos, surgen normas de ámbito internacional (La Recomendación de la OCDE de 1980) y Comunitario Europeo propuestas por el Consejo de Europa (El Convenio de Estrasburgo de 1981).  Las leyes en esta etapa se caracterizan por el sistema de “la notificación” y no de la autorización como requisito a priori para crear bancos de datos. Además, se introduce la figura del responsable del fichero o banco de datos ^[44],  se  ingresa en la técnica legislativa de la conceptualización de los términos técnico cerrados y abiertos utilizados en las nuevas

______________________________

(41)     La Data lag Sueca, según el profesor ORTI, “estableció un sistema de Registro de ficheros informatizados, exigiéndose la inscripción con carácter constitutivo, necesaria para obtener la autorización para crear un fichero, y a la que se condicionaba la inclusión en el Registro. Este requisito fue sustituido más tarde por el sistema de la mera notificación e inscripción registral, que es el seguido en la ley española” Cfr. ORTI VALLEJO, Antonio. Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y tratamiento informáticos de datos personales. Particular atención a los ficheros de titularidad privada). Ed. Comares, Peligros (Granada), 1994, p.14.

(42)       MIRABELLI, “Banche dati e contemperamento degli interessi”, Bance dati telematica e diritti della persona, Cedam, Padova, 1984, pág. 160. Citado por ORTI V. Ob. cit., p. 11.

(43)       En ésta etapa de clasificación de normas de protección de datos personales, nacieron por doquier varias leyes  en Europa y América.. Se destacan entre ellas la Ley Francesa de 6 de Enero de 1978, conocida como  “Loi relative à l´informatique, aux fichiers et aux libertés”, y la “Privacy act de 31 de diciembre de 1974, que fueron el prototipo de otras que les siguieron. Entre ellas, la Ley Noruega de Junio 9 de 1978, la de Luxemburgo de 30 de Marzo de 1979, la Suiza de 1981.

(44)     Ob. ut supra cit. p. 11.

______________________________

tecnologías de la información y la comunicación (TIC) que inciden  en el derecho y se instituye, a partir de éstas, los denominados “principios fundamentales de la protección de datos”, tanto  en  el tratamiento,  almacenamiento, difusión como en  la “libre circulación de datos de carácter personal“. Aspectos capitales en el procedimiento informatizado de datos que se evidenciaron más en las normas de ámbito internacional y comunitario, antes que en las leyes estatales, como precisaremos.  

Por ello, tomaremos de ésta generación dos prototipos de legislación sobre el tratamiento informatizado de datos: La Recomendación del Consejo de la OCDE de Septiembre 30 de 1980,  por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales y  El Convenio Europeo de Estrasburgo de 28 de Enero de 1981″, relativo a la “protección de las personas con respecto al tratamiento automatizado de datos de carácter personal”. Convenio incorporado por todos los Estados Europeos en sus respectivos ordenamientos jurídicos internos a través de normas jurídicas de trasposición. En España, el Convenio se ratificó mediante instrumento de  Enero 27 de 1984 (BOE. 15-11-1985, núm. 274) e ingresó al ordenamiento jurídico interno no sólo como mecanismo de interpretación de derechos humanos (art.10.2 CE), sino como una verdadera norma jurídica con fuerza legislativa desde aquélla época (art.96.1 CE).

En la “tercera generación”, se ubican las normas jurídicas nacidas en la década de los noventa, muy a pesar de que las propuestas e iniciativas venían manejándose desde la década anterior. En esta se ubican la “La ley española de regulación del tratamiento automatizado de datos de carácter personal”, de 29 de Octubre de 1992, conocida también como LORTAD, reformada en 1999, por la “Ley Orgánica de Protección de Datos” o  LOPD, Ley 15 de 1999;  como también la “Privacy and data Protection Bill 1994 (NSW) o Ley de protección de la intimidad y los datos personales en Australia. Esta generación de leyes se caracteriza según Orti Vallejo ^[45], siguiendo a Pérez Luño, por ser más “liberalizantes del uso de ficheros de datos personales” y establecer un amplio marco de principios, derechos y obligaciones para las personas naturales, jurídicas, públicas y privadas.

Una cuarta generación de normas surge con la expedición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta generación se caracteriza por plantear como epicentro el principio-derecho de la libre circulación de datos personales entre los países miembros de la Unión Europea e incluso entre países terceros, previo el lleno  de  unos  requisitos sine qua nom; la consagración de principios, derechos (como  el de información y de Hábeas data) y  obligaciones  en  todas  las fases, etapas o ciclos informáticos del procedimiento informatizado de datos, cuando se realiza con soportes, medios y aplicaciones informáticas electrónicas y telemáticas  y la plasmación del llamado derecho de oposición al tratamiento informatizado de datos personales, como un derecho personalísimo de los titulares de los datos personales.

Finalmente, una quinta generación o generación de leyes protectoras de datos específicas en tránsito, constituida por Estados que no disponen de normas especiales en la protección de datos personales, pero en cambio disponen de diversas normas jurídicas generales, mecanismos, procedimientos administrativos (iniciados por el derecho de petición y desarrollados y concluidos con los recursos ordinarios y extraordinarios de reposición, apelación, queja y revocatoria, respectivamente) y procedimientos jurisdiccionales de índole constitucional, contencioso-administrativo, civil y penal dirigidas a proteger los datos personales. Si bien estos Estados no se halla en Europa continental e insular, ello no obsta para que los

______________________________

(45)          ORTI VALLEJO, A. Ob. cit., p. 18

___________________________________

lmencionemos por ahora en esta clasificación. A título de ejemplo, se encuentra el Estado Colombiano pues se han venido adelantado juicios de defensa y protección de derechos y libertadas fundamentales con base en la aplicación directa de la Constitución que elevó a rango constitucional el Hábeas Data como acción, recurso, garantía o proceso constitucional.  Y esto último muy a pesar de que se acaba de expedir la Ley 1266 de 2008, conocida como “Ley de Habeas Data en Colombia”, tema en el que nos ocuparemos en un artículo aparte.

En  todo caso, estos Estados con este conjunto de normas e instituciones jurídicas, propenden por la efectiva protección de los derechos fundamentales, en todos los ámbitos incluidos aquellos que se presentan en el tratamiento informatizado de datos. Quizá por ello, en puridad jurídica no existen “Estados paraísos informáticos” por el sólo hecho de no tener normas específicas que regulen la tensión-relación de la  informática, los medios TIC y  los derechos humanos, pues el vacío normativo específico lo han llenado con normas procesales y sustantivas generales aplicables al tratamiento de datos personales en desarrollo jurisprudencial suministrado al Hábeas Data por los Tribunales o Corte Constitucional en sus variados fallos de defensa y tutela de los derechos a la intimidad, la imagen, la información, el buen nombre entre otros (v.gr. Sentencias de la Corte Constitucional: T-414-1992, Ago.T-444-92 de 7Jul.,T-127-1994, de 15 de Mar, T-022/1993, de 29 Ene., T-413-1993, de 29 de Sep., T-097/1995, de 3 de Mar, SU-082 y 089/1995, de 1 de Marz., C.C. Sent. T-552/1997, de 30 de Oct, entre muchas otras citadas ut supra y las que citaremos ut infra.

A continuación no referiremos a las Leyes de protección de datos Alemana, Española y las que rigen en la Unión Europea (UE).

2.2.       ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977 ^[46].

Esta Ley Federal es el resultado de la estructuración y promulgación de la Ley perteneciente al Land de Hesse de 7 de Octubre de 1970, primera en regular todo lo atinente al tratamiento informatizado de datos que “utilizaban los servicios administrativos del Land” y de la ley de la Renania-Palatinado ^[47]

La Ley Federal de protección de datos, no sólo fue la pionera a nivel internacional en regular legislativamente el tratamiento informatizado de los datos personales, sino que es la primera y la única, incluso hasta épocas actuales, en tratar integralmente todo lo atinente al tratamiento informatizado los datos personales, tanto en el ámbito público como privado; así como también en regular los aspectos civiles, penales y derecho público derivados del ejercicio, protección y transgresión de los derechos que ostentan los titulares de los datos, ante las autoridades civiles, administrativas y punitivas.

2.2.1.   Estructura de la LFAPD

La Ley Federal Alemana de protección de los titulares de los datos, el 20 de diciembre de 1990, recibió una nueva redacción en su texto y que en esencia su contenido y su “concepción sigue siendo igual a la de 1997” ^[48]. Por ello, estudiaremos brevemente el texto de 1977. Esta ley (en adelante LFAPD), tiene cinco secciones de las que destacaremos los aspectos que tienen que ver con el objeto de nuestro trabajo. Son:

______________________

(46)      Texto completo en AA.VV. Documentación informática. Serie Amarilla. Tratados Inter. núm.2.

(47)      ORTI VALLEJO, A. Ob. cit. pág. 12

(48)      Según Heredero Higueras, citado por ORTI VALLEJO, Ob. ut supra cit., pág. 12-13.

_______________________

SECCION PRIMERA: Disposiciones generales: En las que se refiere a los cometidos y objeto de la ley,  definiciones,  admisibilidad del “proceso de datos”, derechos del “afectado”; y “secreto de los datos, medidas técnicas y de organización”.

SECCION SEGUNDA: Proceso de datos de autoridades y otros servicios públicos: ámbito de aplicación; elaboración de datos personales por cuenta ajena; almacenamiento y modificación de datos; comunicación de datos dentro del sector público; comunicación de datos a “entes” ajenos a un sector público; Publicidad de los datos almacenados; Facilitación de información “al afectado”; Rectificación, bloqueo y cancelación de datos; Ejecución de la protección de datos en la Administración Federal; Disposiciones administrativos de carácter general; nombramiento de un Comisario Federal de Protección de datos; situación jurídica del Comisario Federal de Protección de Datos; Funciones del Comisario Federal de Protección de Datos; Reclamaciones del Comisario Federal de Protección de Datos; y, Recurso ante el Comisario Federal de Protección de Datos.

SECCION TERCERA: Proceso de datos de entes no público para uso interno: Ámbito de aplicación; modificación de datos; facilitación de información al afectado; Rectificación, bloqueo y cancelación de datos; Designación de un Comisario de Protección de Datos; Funciones del Comisario de Protección de Datos; y, Autoridad de tutela.

SECCION CUARTA: Proceso de datos realizado con finalidad mercantil para entes no públicos: Ámbito de aplicación; Almacenamiento y comunicación de datos; modificación de datos; facilitación de información al “afectado”; Rectificación, bloqueo y cancelación de datos; elaboración de datos personales para su difusión en forma “anonimizada” (o simplemente anónima); elaboración de datos personales por cuenta ajena; Comisario de Protección de Datos; Deber de denuncia; y,  Autoridad de tutela.

SECCION QUINTA: Normas punitivas y sancionadoras: Acciones punibles, y, Infracciones de Policía.

SECCION SEXTA: Disposiciones transitorias y  finales: Disposiciones finales; Aplicación de la Ley de Procedimiento Administrativo; Disposiciones subsistentes; “Cláusula Berlinesa”; y entrada en vigor.

2.2.2.               Comentarios sucintos a la LFAPD de 1977

Son muchos y variados los temas los que aborda la Ley alemana, sin embargo, destacaremos a nuestros efectos investigativos los siguientes, los cuales los dividiremos así: a) Las definiciones técnico-jurídicas o ius-informáticas; b) El Comisario de Protección de los Datos; y c) El Sistema Punitivo y Sancionador en materia de datos.

2.2.2.1.            Definiciones técnico-jurídicas o ius informáticas

La Ley Federal Alemana del tratamiento de datos personales, inaugura en su condición de pionera, la técnica legislativa que posteriormente se extendiera en toda norma jurídica estatal y comunitaria de iniciar el texto legislativo con un glosario de términos técnico-jurídicos cerrados, cuyas definiciones son de aplicación necesaria para todo operador jurídico de la ley. Las definiciones contenidas en la Ley de 27 de Enero de 1977, son ius-informáticas, por referirse a la órbita jurídica tanto al derecho público como al derecho privado y en particular,  al tratamiento informatizado de datos dominado por la informática.

Las diversas definiciones las podemos agrupar por su contenido y afinidad con el  fenómeno tecnológico de la informática (entendida como la ciencia del tratamiento lógico, sistematizado e informatizado de cualquier unidad de información o datos) y el derecho, en los siguientes: a) Definiciones sobre los sujetos del tratamiento de datos; b) Definiciones aplicables al “Habeas Data” y al proceso de datos personales; y, c) Definiciones aplicables al procedimiento informatizado de datos.

2.2.2.1.1.         Definiciones sobre los sujetos del tratamiento de datos

Pertenecen a este grupo las definiciones de “Datos personales”, “tercero” y “ente almacenante”. Datos personales se consideran las indicaciones concretas acerca de condiciones personales o materiales de una persona natural determinable (o “afectado” aunque en puridad mejor llamado sería: el interesado o  titular de los datos). Estos datos personales como información perteneciente a cualquier persona física, incluye tanto la contenida en método no informáticos, como en aquellos a los que se les ha aplicado la técnica, tratamiento o procedimientos informatizados o “procedimientos automáticos“, como lo denomina la Ley Federal Alemana de Protección de Datos. Se excluyen no del concepto de datos personales sino del ámbito de aplicación de la LFAPD, los datos personales elaborados por empresas auxiliares de la prensa, radio o cinematografía, exclusivamente para uso interno en relación con la difusión (Art. 1 in fine LFAPD), salvo en lo atinente a las “medidas técnicas y de organización” que éstas deben implementar para garantizar los derechos e intereses legítimos de los titulares de los datos de conformidad con LFAPD ^[49].

Tercero, es toda aquella persona o entidad (“ente”) ajena a la entidad almacenante, a excepción de los interesados o de aquellas personas y entidades  (Autoridades públicas, personas jurídicas, sociedades u otras agrupaciones, etc.) que obraren por “encargo” dentro del ámbito de vigencia de la LFAPD.

________________________

(49)    “Si se elaboraren automáticamente datos personales, deberá adoptarse para la aplicación de los preceptos de la presente ley medidas que en función de la índole de los datos personales que hubieren de ser protegidos fueren idóneas para: l. impedir a personas no autorizadas el acceso a los equipos de proceso de datos con los cuales fueren elaborados los datos personales (control de acceso a los equipos); 2. Impedir que las personas ocupadas en la elaboración de datos personales retiren sin autorización soportes de información (control de salidas); 3. Impedir la introducción no autorizada en memoria de datos personales, así como la toma de conocimiento, modificación o cancelación no autorizadas de datos personales ya almacenados (control de memorias); 4. Impedir que personas no autorizadas utilicen sistemas de proceso de datos a partir de los cuales se comunicaren datos personales valiéndose de dispositivos automáticos o en los cuales se introdujeren datos personales valiéndose tales dispositivos (control de usuarios); 5. Garantizar que las personas con derecho a usar un sistema de proceso de datos puedan acceder mediante dispositivos automáticos exclusivamente a los datos personales que estuvieren comprendidos dentro del ámbito de su facultad de acceso (control de acceso a los datos) ; 6. Garantizar que se pueda comprobar y determinar en qué puntos es posible comunicar datos personales valiéndose de dispositivos automáticos (control de la comunicación); 7. Garantizar que se pueda comprobar y determinar a posteriori que datos personales, en qué momento y por quien fueron introducidos en sistemas de proceso de datos (control de la introducción en memoria); 8. Garantizar que en los datos personales que fueren elaborados por cuenta ajena sólo puedan serlo de conformidad con las instrucciones del comitente (control de encargos); 9. Garantizar que en los supuestos de comunicación de datos personales, así como en los casos de transporte de los correspondientes soportes de información, estos no puedan ser leídos, modificados o cancelados sin autorización (control del transporte de datos); 10. Configurar la organización interna de las autoridades o empresas de tal manera que la misma responda a las exigencias de la protección de datos (control de la organización)”.

_____________________

Y, finalmente,  Entidad Almacenante, se consideran como tales cualquiera de las personas naturales o jurídicas o entidades que almacenaren datos por sí mismo o encomendare a otro su almacenamiento. Estas son: a) Las diversas Autoridades o entidades públicas (pertenecientes al Estado, a los Municipios, mancomunidades de municipios y cualesquiera otras personas jurídicas de derecho público sujetas a tutela estatal. Art. 7 LFAPD); y,  b) Personas naturales o jurídicas, sociedades u otras agrupaciones de personas de derecho privado, para uso interno (se exceptúan de ésta aparte las personas de derecho privado que desempeñan “funciones propias de la Administración Pública”. Art.22 LFAD), o las que realicen “con carácter regular y por cuenta ajena”  actividades con “finalidad mercantil” (en esta se incluyen las empresas de derecho público, con idéntica finalidad. Art. 31 LFAPD).

2.2.2.1.2          Definiciones aplicables exclusivamente al Hábeas Data y al proceso de datos personales

Si bien como recuerda el profesor González Navarro, citando a Heredero Higueras ^[50], el derecho de acceso, aún antes de la promulgación de las leyes de protección de datos, fue bautizado como habeas data, por considerarlo como una modalidad de acción exhibitoria análoga a la del habeas corpus del derecho anglosajón, no debemos olvidar que el derecho de acceso a los datos, sobre todo los informatizados o sometidos en parte o en todo a tratamiento o procedimientos “automatizados”, conlleva un grupo de derechos concomitantes y subsiguientes al ejercicio del derecho de acceso, tales como: el derecho a conocer la existencia de datos que le conciernan a la persona y que se hallen almacenados (“storage”) y contenidos en un fichero, banco de datos o simplemente en un “archivo” o registro informatizado (o simplemente “file” anglosajón), bien sean procesados con o sin su consentimiento; así como también el derecho a consultarlos, si fuere del caso, por cualquier método, técnica o medio informático, electrónico o telemático, dentro de conformidad con el ordenamiento jurídico vigente sobre la materia. Como consecuencia, de ello podrá, independientemente de los recursos (básicamente jurisdiccionales), solicitar la revisión, rectificación, actualización, modificación y, llegado el caso, la cancelación, borrado y  bloqueo de los datos personales que le conciernen.

En consecuencia, pertenecen a este segundo grupo de definiciones, las siguientes: almacenar, comunicar, modificar y cancelar datos personales.

Almacenar datos personales, en términos iusinformáticos, consiste en recoger, registrar o conservar en un soporte de información con miras a su ulterior utilización. El “almacenamiento” de datos, según la LFAPD constituye una fase del procedimiento informatizado de datos que abarca una etapa previa, como es la recolección; una etapa concomitante, como es la del registro; y una etapa posterior, como es la conservación de datos. Todas ellas interdependientes, pues faltando una de éstas no se puede completar el fenómeno o actividad de almacenamiento.

La LFAPD, establece la subsidiariedad de ésta, cuando existan  leyes especiales federales sobre los datos personales almacenados en registros informatizados (art.45), destacando con ello la etapa de almacenamiento y tratamiento informatizado de los datos. Así a título de ejemplo, se aplicará  la ley especial sobre la general en  la guarda de secreto sobre noticias obtenidas oficialmente o en el ejercicio profesional; p. e., el art. 12 de la Ley de Estadísticas para fines Federales, de 3 de septiembre de 1953 ^[51].

___________________

(50)      GONZALEZ NAVARRO, Francisco. Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994, Pamplona, p. 179

(51)      Otros ejemplos son: a) Sobre limitación del examen de documentos por terceros; p. e., el articulo 61, párrafo  segundo y tercero de la ley de estado civil de las personas; b) Sobre examen del expediente personal por los funcionarios o empleados; p e., el artículo 90 de la ley federal de funcionarios; el artículo 83 de la ley de Organización de Empresas; c) Sobre el deber de las autoridades de informar a los ciudadanos de los datos almacenados acerca de los mismos; p. e., el artículo 1.325 de la Ordenanza Imperial del Seguro; g) Sobre difusión, rectificación y cancelación de los datos referidos a personas incluidos en Registros públicos; p. e., los artículos 19, 23, 27, segundo párrafo; y d) Sobre la obligación de elaborar datos referidos a personas en la rendición de cuentas, comprendidas la contabilidad y otras anotaciones; p.e., los artículos 38 a 40, 42 a 47 del Código de Comercio. Texto completo de la LFAPD., en AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2º

____________________

La LFAPD, al hacer mención a los derechos que tiene el “afectado”  (por titular de los datos, en términos positivos y no en términos negativos, tal y como lo prevé la ley) dentro del llamado “proceso de datos”, se  hace expresa referencia a los derechos derivados del acceso y consulta de la información y subsecuente, todos ellos componentes del derecho fundamental del habeas data. Los derechos subsecuentes son: a) La información acerca de los datos almacenados en relación con la persona; b) La Rectificación de los datos almacenados en relación con su persona, cuando los mismos fueren inexactos; c) El bloqueo de los datos almacenados en relación con su persona cuando no pudiere determinarse su exactitud o inexactitud, o cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento; y d) La cancelación de los datos almacenados en relación con su persona, si su almacenamiento no había sido admisible o bien ‑-a elección, además del derecho de cancelación-‑ cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento.

Comunicar, en términos de la LFAPD, es una especie cualificada (dirigida a “terceros”) del género informar (que la ley denomina derecho de “facilitación de información al afectado”, considerado como un derecho fundamental, no absoluto que tiene el titular de los datos personales, tanto en el proceso de datos público ^[52], como en el privado ^[53], puesto que se prevé expresas excepciones al ejercicio del mismo), puesto

__________________________

(52)    Se facilitará al afectado, si así lo solicitare, información acerca de los datos almacenados con relación a su  persona. En la solicitud deberá detallarse la índole de los datos personales sobre los cuales deba facilitarse la información. El servicio o ente almacenante determinará el procedimiento, en especial la forma de facilitar información según las conveniencias del servicio… No precederá la facilitación de la información en los siguientes supuestos: 1. si la información perjudicare el legítimo cumplimiento de las tareas comprendidas en la competencia del servicio almacenante; 2. si la información perjudicare a la seguridad o al orden públicos o causare detrimento a la Federación o a un Estado; 3. si los datos personales o el hecho de su almacenamiento hubieren de ser mantenidos en secreto en virtud de norma jurídica o por razón de su esencia, en especial en razón del interés legítimo preponderante de un tercero ; 4. si la información hiciere referencia a la comunicación de datos personales a las autoridades mencionadas en el artículo 12, segundo párrafo, apartado 1. La facilitación de la información estará sujeta al devengo de una tasa… (art. 13 LFAPD).

(53)  Si se almacenaren por primera vez datos referentes a la persona del afectado, deberá este ser informado de  ello, a menos que hubiera tenido conocimiento del almacenamiento por otros medios. El afectado podrá exigir información acerca de los datos almacenados con relación a su persona. Si los datos fueren objeto de tratamiento automático, el afectado podrá exigir asimismo información acerca de las personas y servicios a los cuales fueren transmitidos regularmente sus datos. Deberá señalar la clase de los datos personales sobre los cuales debiere ser facilitada la información. La información se facilitara por escrito, siempre que no procediere otra forma de facilitación de información en razón de especiales circunstancias. Podrá exigirse por la información una retribución, la cual no Podrá exceder de los gastos directamente imputables a la facilitación de la información. No Podrá exigirse retribución en los casos en que por circunstancias especiales existiere motivo fundado para creer que se ha llevado a cabo un almacenamiento inexacto o ilícito de datos personales, o en los casos en que la información facilitada hubiera revelado que los datos personales debieren ser rectificados o, en virtud de lo dispuesto en el artículo 27, tercer párrafo, proposición segunda, semi-proposición primera, hubieren de ser cancelados. Los párrafos primero y segundo no regirán en la medida en que: 1. el dar a conocer datos referidos a personas pudiera crear un peligro considerable para el objeto social o los fines del ente almacenante, y no obstaren a ello intereses legítimos del afectado, 2. el servicio público competente con relación al ente almacenante hubiere observado que el dar a conocer datos referidos a personas podría poner en peligro la seguridad o el orden públicos o causar otros perjuicios para el bien de la Federación o de un Estado, 3. los datos personales hubieren de ser mantenidos en secreto en virtud de una norma jurídica o por razón de su esencia, en especial a causa de intereses legítimos preponderantes de una tercera persona, 4. los datos personales hubieren sido tomados de fuentes de acceso general, 5. los datos personales que, en virtud de lo dispuesto en el artículo 27, segundo párrafo, proposición segunda, estuvieren bloqueados porque sobre la base de disposiciones legales, estatutarias o contractuales, no pudieren ser cancelados a tenor de lo dispuesto en el artículo 27, tercer párrafo, proposición primera (art. 26 LFAPD).

_________________________

que comunicar se entiende la acción de dar a conocer a  terceros  datos  almacenados  u obtenidos directamente mediante un proceso de datos, tanto si fueren datos difundidos por el ente almacenante, como si son datos conservados por la entidad para su examen, en especial para su búsqueda automática (art. 4-2). En este sentido, la comunicación de datos personales, con el lleno de los requisitos previstos en la ley,  bien puede hacerse a personas como entidades públicas tanto en los procesos de datos de carácter público (art. 11), como en los procesos de índole privada (art. 32).

Cancelar,  es  la acción de hacer irreconocibles datos ya almacenados: cualquiera que fuere el procedimiento empleado a tal efecto. En tanto   modificar, se considera la acción de transformación del contenido de datos ya almacenados (art. 4-3 y 4-4). En el caso de los datos de carácter privado, la modificación de los datos personales será admisible dentro del marco de los fines de una relación contractual o de una relación de confianza análoga a la relación contractual creada, respectivamente con el titular de los datos, o en la medida en que fuere necesaria para salvaguardar intereses legítimos de la entidad almacenante, y no existiere motivo fundado para creer que de ello pudieren resultar perjuicios para los intereses dignos de protección del interesado (art. 25).

La Rectificación, bloqueo y cancelación de datos, son tres acciones íntimamente ligadas y subsecuentes por la consideración de sí los datos almacenados, son: a) inexactos o se duda sobre su exactitud. El in dubio pro date, como podríamos llamarlo siempre favorece al titular de los datos.  b) Si han sido almacenados de forma ilícita, c) Si los datos dejado de ser necesarios para los fines para los cuales fueron almacenados; y, d) porque así “lo exige” el titular de los datos (“afectado”).

Sin embargo, la rectificación de los datos sólo es procedente en el caso de no ser exactos los datos personales (art. 14 y 27 ab initio).

Se procederá al bloqueo de datos, cuando su exactitud fuere discutida por el titular de los mismos y no fuere posible determinar su exactitud ni su inexactitud. Igualmente serán bloqueados los datos cuando su conocimiento hubiere dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas a éste encomendadas, a menos que fueren imprescindibles para fines científicos, para fines probatorios, “intereses preponderantes del servicio almacenante o de un tercero”, o por consentimiento del titular de los datos. Esto rige para los datos con carácter público como los de carácter privado

La cancelación de datos, en los datos de carácter público,  procederá cuando su conocimiento hubiera dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas comprendidas dentro de su competencia y no existieren motivos fundados para creer que la cancelación pudiera causar perjuicio a intereses dignos de protección del titular. Igualmente serán cancelados los datos si su almacenamiento hubiere sido ilícito o cuando así lo exigiere el interesado. En los datos de carácter privado, además de los anteriores casos, procederá la cancelación cuando así lo exigiere el interesado, en los datos referentes a condiciones de salud, acciones punibles, infracciones de policía, así como a concepciones religiosas o políticas, si su exactitud no pudiere ser probada por la entidad almacenante (art.14 y 27 in fine).

El habeas data y el grupo de derechos subsecuentes rigen para los titulares de datos cuando sean almacenados tanto en un “proceso de datos de autoridades y otros servicios públicos” (art.7 y ss LFAPD), o procesos informatizados de carácter público, como en los  “procesos de datos de entes no públicos para uso interno” (art. 22) y los “procesos de datos realizados con finalidad mercantil para entes no públicos”, vale decir de carácter privado o que se reputan privados a los efectos de la LFAPD, respectivamente  (v.gr. el caso de las “empresas públicas de derecho público”, art.31).

2.2.2.2.            Definiciones aplicables al proceso informatizado de datos

La LFAPD, estructura tres procesos de datos, a saber: a) El Proceso de datos de autoridades y servicios públicos (arts.  7 a 21); b) El proceso de datos de “entes” no públicos para uso interno (arts. 22 a 30); y c) El proceso de datos realizado con finalidad mercantil para entes no públicos (arts. 31 a 40). En estos procesos de datos de naturaleza jurídica de derecho público y de derecho privado, respectivamente,  rige por igual etapas o fases, principios, derechos y deberes de los titulares de los datos, a pesar de estar regulados por separado, pues la misma norma reiterada como innecesariamente los reglamenta para cada uno, con específicas diferencias. V.gr. sobre el derecho de “facilitación de información al afectado” (arts. 14, 27 y 34), con cuasi similar contenido para cada uno de los procesos.

Interesa a los propósitos de la investigación, desentrañar las etapas ínsitas en dichos procesos, cara a la estructuración del procedimiento informatizado de datos informáticos.

En efecto, las etapas o fases inmersas en el  proceso alemán de datos  inmersa en las tres clases de procesos de datos son: a) La etapa de recolección o de “elaboración” de datos; b) La etapa de almacenamiento; c) La etapa de conservación e inscripción en un  registro (público, privado o mixto, según fuere el caso); y d) La transmisión  o  comunicación de datos; y e) Rectificación, bloqueo y cancelación de datos.

La LFAPD, al hablar del proceso de datos, en general, estipula que a éste debe someterse los titulares de los datos o interesados, si así está previsto en una ley o norma jurídica en forma expresa o si el interesado así lo consiente en forma escrita, “siempre que no procediere otra forma en razón de especiales circunstancias” (art. 3 LFAPD).

Igualmente, interesa aquí  destacar los conceptos estructurales del derecho de habeas data y el de “archivo informatizado” que están íntimamente ligados con el concepto de proceso de datos. En efecto, se considera archivo informatizado, una colección de datos estructurados de manera homogénea, susceptibles de ser obtenidos y ordenados de conformidad con determinadas características y, en su caso, reordenados y explotados de conformidad con otras características determinadas, cualquiera que fuere el procedimiento empleado a tal efecto, sin se consideren comprendidos los expedientes y las colecciones de expedientes, a menos que los mismos pudieren ser reordenados y explotados por procedimientos automáticos (art. 1-3).

Ahora, pasemos a ver otros aspectos capitales del procedimiento informatizado de datos alemán que aún hoy, tienen relevancia y discusión doctrinal no pacífica.

2.2.2.3.            El Comisario de protección de datos: Un Ombudsman ^[54] en el sector público y un veedor ciudadano en el sector privado

La figura del Comisario de datos personales en el proceso de datos alemán se estructura, cualifica y funciona, según la clase de proceso (público o privado) ante el cual se nombra o se designa por parte de las autoridades públicas federales o las personas privadas competentes, según fuere el caso y ámbito competencial.

2.2.2.3.1.         El Comisario Federal de protección de datos en el sector público

El nombramiento del Comisario Federal de protección de datos en “los procesos de datos de autoridades y otros servicios públicos”, se realiza por el Presidente Federal a propuesta del Gobierno Federal. El nombramiento se extingue por expiración del plazo de mandato y por destitución, previo trámite legal y la entrega de un “instrumento fehaciente” extendido por el Presidente Federal.

______________________

(54)     ORTI VALLEJO, A. Ob. ut supra cit., pág. 13

______________________

El designado como Comisario prestará su juramento y cumplirá un plazo de cinco (5) años y su régimen jurídico será el de derecho público. Jerárquicamente depende el Ministerio Federal del Interior, quien podrá entre otras atribuciones, encomendar a un sustituto del Comisario, cuando el titular se viere impedido para ejercer el cargo.

El Comisario Federal de Protección de Datos, tiene las siguientes funciones:

1. a) De cumplida ejecución y de asesoramiento sobre leyes de protección de datos. En consecuencia, velará por  la  observancia  y  cumplimiento  de  la LFAPD; así como de otros preceptos sobre protección de datos a los cuales  están obligados las autoridades públicas y otros servicios públicos de la Federación, para corporaciones, instituciones y fundaciones de derecho público, etc. Se exceptúa de esta previsión los Tribunales, en la medida en que estos no conocieren de negocios contencioso-administrativos. A este efecto podrá formular recomendaciones en orden al mejoramiento de la protección de datos, pudiendo en especial asesorar al Gobierno Federal y a los distintos Ministros, así como a las restantes autoridades públicas en todo lo tocante a la protección de datos.

1. b) De Emisión de dictámenes e informes. Si fuere requerido a ello por “la Dieta Federal Alemana” o por el Gobierno Federal, el Comisario Federal deberá emitir dictámenes e informes. Asimismo elevara anualmente a la Dieta Federal Alemana una memoria de sus actividades.

1. c) De solicitud de auxilio a autoridades y servicios públicos. El Comisario podrá solicitar a las autoridades y servicios públicos le faciliten información en relación con las preguntas que éste formulare, así como facilitarán el examen de toda clase de documentos y expedientes que guardaren relación con la elaboración de datos  referidos a  personas, especialmente los datos almacenados y los programas de ordenador. Y, como consecuencia, permitirán  en todo momento el acceso a  todos los locales oficiales.

1. d) De Registro. EI Comisario Federal llevará un registro de los archivos explotados automáticamente, en los cuales se almacenaren datos referidos a personas. Dicho registro se limitará a contener un cuadro general de la naturaleza de los archivos y de los fines para los cuales fueren empleados. El registro podrá ser examinado por toda persona. Las autoridades, servicios y entidades públicas, estarán obligadas a denunciar al Comisario Federal los archivos explotados automáticamente por las mismas. Quedan exentos de esta obligación: La Oficina Federal de Defensa Constitucional, el Servicio Federal de Investigación y el Servicio de Contraespionaje Militar (art. 19).

1. e) De reclamaciones. Si el Comisario Federal de Protección de Datos observare que con ocasión del proceso de datos personales se atenta contra LFAPD, o contra las normas jurídicas de protección de datos, formulará una reclamación ante la autoridad suprema federal competente, si se tratare de la Administración Federal; ante la Dirección del Ferrocarril Federal, si se tratare de este; ante la Dirección o, en su caso, ante el órgano que tuviere atribuida la representación, si se tratare de corporaciones, instituciones o fundaciones de Derecho público directamente dependientes de la Federación, así como si se tratare de agrupaciones de tales corporaciones, instituciones y fundaciones; y la intimara a que se pronuncie dentro de un plazo que el mismo fijara (art. 20).

1. f) De protección de los derechos de los titulares de datos personales. Toda persona podrá acudir al Comisario Federal de Protección de Datos si fuere de la opinión de que en el curso del tratamiento de sus datos personales realizado por las autoridades, servicios y entidades públicas, a excepción de los Tribunales, siempre que estos no conocieren de negocios contencioso‑administrativos, han lesionada los derechos de aquellas (artículo 21).

2.2.2.3.2.         El Comisario de protección de datos en el sector privado

La LFAPD, si bien distingue los “procesos de datos de entes no públicas para uso interno” y los “procesos de datos realizados con finalidad mercantil para entes no públicos”, no procede de idéntica manera, cuando menos, respecto de las funciones generales y especiales que el Comisario de Protección de los datos en el sector privado debe cumplir en uno y otro procesos.

En efecto, cuando se trata de procesos de datos de entes no públicos para uso interno, la designación del Comisario de Protección de datos se realizará, según el art. 28 de la LFAPD, por las personas, sociedades y otras agrupaciones de personas de derecho privado que sometan a tratamiento (o elaboraren) automáticamente datos personales y a tal efecto ocuparen con carácter permanente, por regla general, a cinco trabajadores por lo menos, deberán nombrar por escrito, lo más tarde dentro de un mes después de iniciar su actividad, a un Comisario de Protección de Datos. Igual se procederá si se ocupare con carácter permanente a veinte trabajadores.

El Comisario de Protección de Datos dependerá directamente del propietario, de la Dirección, del gerente o de otra persona a quien correspondiere la dirección en virtud de disposición legal o estatutaria. En la aplicación de su pericia profesional en materia de protección de datos no estar sujeto a instrucciones superiores. No podrá ser objeto de perjuicios por razón del cumplimiento de sus funciones.

El Comisario de Protección de Datos, cuando se trata de “procesos de datos realizados con finalidad mercantil para entes no públicos”, se designará por las personas, sociedades y otras agrupaciones de personas de derecho privado, o en su caso, por las empresas de derecho público que concurrieren en el mercado, según el art. 38 de la LFAPD. En cuanto a las funciones generales y especiales, éste Comisario cumplirá, en cuanto fuere procedente, las que se atribuyen al Comisario en el proceso de datos de entes no públicos para usos internos.

En tal virtud, El comisario de Protección de Datos, para uno y otro proceso de datos, cumple en su ámbito competencial idénticas  funciones generales a las atribuida al Comisario Federal de Protección de Datos; vale decir, que velará por la observancia, cumplimiento y conocimiento de la LFAPD; así como de otras disposiciones relativas a la protección de datos. A tal efecto podrá acudir en casos de duda a la Autoridad de tutela (autoridades administrativas o jurisdiccionales, según el caso).

Como funciones especiales tendrá: ii) De veeduría y vigilancia de datos, fines, destinatarios y equipos. En tal virtud, llevará un estado de la clase de los datos personales almacenados, así como del objeto social y los fines para cuya realización o cumplimiento fuere necesario conocer tales datos, de sus destinatarios regulares y la clase de los equipos de tratamiento automatizado de datos que estuvieren instalados; (ii) De veeduría de medios informáticos. Velará por la regularidad de la aplicación de los programas de ordenador con cuya ayuda debieren ser tratados los datos personales; y, (iii) De veeduría profesional. Prestan asesoramiento en la selección de las personas que se hubieren de ocupar en el tratamiento de datos los personales.

2.2.2.3.3.         El sistema punitivo y sancionador en materia de datos previsto en la LFAPDE

Siendo la LFAPD, una ley de ámbito federal, su carácter es de ley general, por tanto, se aplicará subsidiariamente en caso de ausencia de ley especial o para llenar vacíos o lagunas legislativas si existieren otras leyes de protección de datos de ámbito federal (art. 45). En materia punitiva se aplicarán preferentemente a la LFAPD, a título de ejemplo las siguientes disposiciones: a) Sobre el derecho a negarse a extender certificaciones o a facilitar información por razones personales o profesionales en procedimientos judiciales (arts. 52 a 55 de la Ordenanza Procesal Penal); b) Sobre la obligación, limitación o prohibición del almacenamiento, difusión o publicación de indicaciones pormenorizadas sobre personas (art. 161 de la Ordenanza Procesal Penal); y, c) Secreto profesional (v.gr. secreto médico. Art. 203 Código Penal).

Sin embargo, la LFAPD, se aplicará con carácter general en los casos expresamente previstos como hechos punibles (delitos y contravenciones) contra el tratamiento (informatizado o no) de datos personales.

1. Delitos (art. 41 LFAPD):

1. a) Atentados contra los datos personales que no son de dominio público.

Se considera como hecho punible investigable a instancia de parte el que sin la debida autorización: 1. comunicare o modificare, o 2. recuperare o se procurare a partir de archivos encerrados en depósitos adecuados, datos referidos a personas y protegidos por la LFAPD, que no fueren de dominio público, será castigado con pena de privación de libertad de un año como máximo o con pena de multa.

1. b) Tipo Agravado por el lucro o por perjuicio a otro.

Si el autor, realizare una cualesquiera de la anteriores conductas y además  obrare por precio o con el propósito de procurarse a si mismo o a otro un lucro o de causar perjuicio a otro, la pena será privativa de libertad de dos años como máximo o de multa.

2. Contravenciones o “Infracciones” de policía (art. 42 Ibídem). Obra con dolo o culpa quien:

1. a) Por falta de información al interesado de almacenamiento de datos que le conciernen. No informar al interesado (“afectado”), sobre el almacenamiento de datos personales que le conciernen por primera vez,  a menos que hubiere tenido conocimiento del almacenamiento por otros medios. Igual incumplimiento se dará, si por primera vez fueren comunicados datos acerca de la persona interesada, siendo que debía ser informada de su almacenamiento, a menos que hubiere tenido noticia de éste por otros medios.

1. b) Por falta de designación, teniendo la obligación de hacerlo, de un Comisario de Protección de datos. Por incumplimiento de designar un Comisario de Protección de datos, por parte de las personas, sociedades y agrupaciones de derecho privado que sometan a tratamiento informatizado datos personales y que ocuparen permanentemente trabajadores (cinco o veinte)

Igual, sucederá cuando se incumple la obligación de designar Comisario de Protección de datos por  parte de las personas, sociedades y agrupaciones de derecho privado dentro de los procesos de datos realizado con finalidad mercantil para entes no públicos.

1. c) Por falta de adjunción de motivos que justifiquen un interés legítimo para la comunicación de datos. Si el destinatario no justificare los motivos y la existencia de un interés legítimo y los medios que lo acreditaren en forma fidedigna y detallada para que sea admisible la comunicación de datos personales.

1. d) Por falta de cumplimiento del “deber de denuncia”. Cuando las personas, sociedades y otras agrupaciones de personas de derecho privado, así como sus filiales y sucursales, teniendo la obligación de formular en tiempo oportuno (un mes) denuncia, no lo hacen. Igual incumplimiento se verificará, si estas personas no facilitaren al formular tal declaración los datos necesarios o no los facilitaren correctamente o de manera incompleta.  Estos datos se refieren a la determinación del propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y sobre personas encargadas de la dirección del tratamiento de datos y sus direcciones (art.39-2 y 3 LFAPD)^[55].

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

Si bien es cierto Alemania, Suecia, Francia; entre otros Estados europeos, habían afrontado no solo teórica sino prácticamente el complejo mundo del tratamiento informatizado o no de datos de carácter personal, como el movimiento, flujo o circulación de datos entre países, expidiendo leyes sobre la materia; no es menos cierto también, que éstos esfuerzos legislativos resultaban aislados e incomprensibles incluso en el contexto de una Europa unida, pregonada y defendida desde hacía tres décadas antes con la suscripción de Francia y Alemania con la llamada “declaración o Plan Shuman” de 1950, y subsiguientemente la suscripción del “Tratado del Carbón y el Acero” de 1951–CECA–, por los países bajos, Italia, Bélgica, Luxemburgo y la entonces República Federal Alemana (RFA). Mucho más, resultaba incomprensible cuando dichos Estados  habían apostado por una Comunidad de Estados europeos, de origen económico sí, pero luego su radio ampliado a los aspectos sociales, laborales, culturales, políticos, legislativos; y en fin, en un futuro no muy lejano,  alcanzar lo que siempre buscaron: un gran Estado Europeo unido con una sola Constitución, como lo teorizaba el profesor alemán de la Universidad de Münster, Martín Seidel ^[56].

Pese a ello, el profesor Davara ^[57], sostiene que desde 1967 en Europa existía “conciencia europea sobre protección de la privacidad” (por la traducción literal de la “privacy” anglosajona) y para ello relaciona varias recomendaciones surgidas en el seno del Consejo de Europa, el cual constituyó una comisión consultiva para estudiar las tecnologías de la información y su potencial agresividad a los más elementales derechos de la persona, entre los que estaba la Intimidad. Entre las más destacadas están; (i) La Resolución 509 de 1958, de la Asamblea del Consejo de Europa,

________________________

(55)     LFAPD. ART. 39.  Deber de denuncia. Las personas, sociedades y otras agrupaciones de personas que se  mencionan en el artículo 31, así como sus filiales y sucursales, deberán dar cuenta de la iniciación de su actividad ante la autoridad de tutela competente dentro del plazo de un mes. Al Llevar a cabo la denuncia, deberán comunicarse al Registro llevado por la Autoridad de tutela los siguientes datos: 1. nombre o denominación del ente; 2. propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y personas encargadas de la dirección del tratamiento de datos; 3. dirección; 4. objeto social o fines del ente y del tratamiento de datos; 5. naturaleza de los equipos utilizados para el tratamiento automatizado de datos; 6. nombre del Comisario de Protección de Datos; 7. naturaleza de los datos personales almacenados por el ente o por encargo suyo; 8. en caso de comunicación regular de datos personales, destinatarios y naturaleza de los datos comunicados. El primer párrafo regirá en cuanto fuere procedente para la terminación de la actividad, así como para la modificación de los datos facilitados en virtud de lo dispuesto en el segundo párrafo.

(56)      Vid., RIASCOS GOMEZ, Libardo O. Los denominados recursos ante los tribunales de Justicia de la UE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, pág. iii y 1.

(57)      DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997, pág. 56-61.

__________________________

sobre “Derechos Humanos y los nuevos logros científicos y técnicos”, (ii) Las recomendaciones del Comité de Ministros del Consejo de Europa de 1973 y 1974, sobre la creación de bancos de datos en el sector privado y público, respectivamente, (iii) En Septiembre de 1980, la Recomendación de la OCDE, sobre el flujo internacional de datos, protección a la intimidad y las libertades fundamentales, (iv) Recomendación del 30 de abril de 1980, relativa a la enseñanza, la investigación y la formación en materia de “informática y derecho”, (v) La Recomendación del 18 de septiembre de 1980, relativa al intercambio de informaciones jurídicas en materia de protección de datos, (vi) La Recomendación del 23 de enero de 1981, relativa a la reglamentación aplicable a los bancos de datos médicos automatizados, (vii) La Recomendación del 23 de Septiembre de 1983, relativa a la protección de los bancos de datos de carácter personal utilizados con fines de investigación científica y de estadísticas, (viii) La Recomendación de 23 de enero de 1986, relativa a la protección de los datos de carácter personal utilizados con fines de seguridad social”.

Con base en éstos o por inspiración de aquellos, algunos Estados Europeos expidieron sus propias normas de ámbito nacional, relativas al tratamiento informatizado de datos, con marcadas diferencias tanto en la conceptualización de los términos técnico-jurídicos (datos, fichero, banco de datos, tratamiento “automatizado”, etc.), como en lo referente a la enunciación y enumeración de principios, derechos, deberes y excepciones al tratamiento y la protección de los datos, lo cual indicaba que no existía univocidad en los temas referidos, en el grado y categorías de protección que estilaban dispensar a los datos de carácter personal sometidos a tratamiento informatizado en uno y otro país, ni menos el ámbito de los derechos fundamentales que en éste se involucraban si no era únicamente el de la intimidad.

Orti Vallejo ^[58] , estima que esta etapa de legislación estatal de protección de datos, se caracteriza por la preocupación de tutelar la intimidad de la persona, como lo acredita  el  hecho  de  que  se  protejan las informaciones consideradas sensibles, que son aquellas que tienen una más inmediata incidencia sobre la vida privada y sobre el datos produjo dos enclaves actualmente vigentes: por un lado, el matrimonio de las leyes de protección de datos aparentemente únicamente con el derecho a la intimidad, produjo a partir de ésta época una identificación casi plena sustentada en la argumentación de que la informática atentaba directa y plenamente  a la intimidad y no al conjunto de derechos y libertades fundamentales, tal como se revelaría en las diversas normas protectoras de datos personales;  y por otro lado, considerar al derecho de habeas data como una sola emanación del derecho anglosajón del habeas corpus y de  aplicación exclusiva al tratamiento de la información manual o mecanizada, sino también,  a todo procedimiento de tratamiento de datos personales de carácter  informatizada. Esto replanteaba el tradicional de  “derecho de acceso” a la información que tiene toda persona sobre los datos que le conciernen, así como los facultades subsecuentes, de conocimiento, consulta, rectificación, bloqueo y cancelación de información o datos personales que sean erróneos, inexactos o  ilegales.

De ésta época, tomaremos como prototipo de análisis y estudio las normas supraestatales o comunitarias de protección de datos personales que tendieron desde aquella  época  hasta los actuales momentos por la normatización y normalización del tratamiento informático de datos personales, la protección integral de los derechos, libertades públicas (o “individuales”) e intereses legítimos. En efecto, abordaremos la Recomendación del Consejo de la OCDE, del 23 de Septiembre de 1980, cuyo ámbito se extiende a los Estados de la Comunidad Europea (hoy, UE) y los algunos Estados de Oriente y Occidente. Así mismo, el Convenio de Estrasburgo de 28 de Enero de 1981, el cual creó un espíritu normalizador de todo cuanto existía en Europa sobre tratamiento informatizado de datos personales.

__________________________

(58)     ORTI VALLEJO. A. Ob. ut supra cit., pág. 15

__________________________

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

La OCDE (Organización de Cooperación y Desarrollo Económico), creada en 1948, como organización de cooperación preferentemente económica entre Estados Europeos que hoy forman la UE (Unión Europea), EE.UU y Canadá (1960), Japón (1964), Finlandia (1969), Australia (1971) y Nueva Zelandia (1973). Sin embargo, las funciones de esta organización internacional de Estados también se dirige desde su nacimiento hasta la actualidad a proyectar, planear, desarrollar, emitir conceptos, sugerencias y recomendaciones sobre diferentes aspectos de la vida que inciden de alguna manera en lo económico, tales como las estrategias, políticas y directrices sobre la protección de derechos fundamentales, libertades públicas e intereses legítimos de las personas naturales, jurídicas, públicas o privadas, según fuere el caso, con miras esencialmente ha facilitar la armonización de las legislaciones nacionales de los diferentes Estados que componen la OCDE.

En éste último orden de ideas, la OCDE recomendó a sus Estados Miembros, sin perjuicio de sus legislaciones internas sobre la materia ^[59], unas directrices sobre la protección de todo derechos fundamentales, como el de la intimidad, las “libertades individuales”, y sobre el derecho a la información  que  tiene toda persona  y ” conciliar  valores fundamentales aunque susceptibles de entrar en conflicto, tales como la intimidad y el libre flujo de la información” (Preámbulo del Convenio). Esta recomendación previos los proyectos y estudios, por parte de las comisiones y subcomisiones de expertos respectivas se concretó en lo que se conoce como “Recomendación Adoptada por el Consejo de la OCDE  (con base en los arts. 1 (c), 3 (a) y 5 (b) del Convenio relativo a la OCDE, de 14 de diciembre de 1960) del 23 de Septiembre de 1980, “por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales”.

El Texto de la Recomendación propuesto al Consejo por el Comité de Política Científica y Tecnológica, fue aceptado por los Estados Miembros de la OCDE, entre los que Estaba España, Alemania Occidental, Austria, Bélgica, Dinamarca, EE.UU., Finlandia, Francia, Grecia, Italia, Japón, Luxemburgo, Noruega, Nueva Zelandia, los Países Bajos, Portugal, Suecia y Suiza; en tanto que, Islandia, Turquía y el Reino Unido  adhirieron a la Recomendación,  el 21 de enero de 1981 y el 27 de Octubre d e  1981,  respectivamente, no sin mantener su abstención por lo que se había sostenido en la sesión de 23 de Septiembre de 1980.

________________________

(59)    El artículo 5 del Convenio de 14 de diciembre de 1969, de la OCDE, expresa: “Con miras a alcanzar sus objetivos, la Organización, podrá: a) adoptar decisiones que, salvo disposición en contrario, vincularan a todos los miembros: b) formular recomendaciones a los miembros; c) concertar acuerdos con sus miembros, con Estados no miembros y con organizaciones internacionales”. Por su parte, el articulo 18 del Reglamento de Procedimiento de la OCDE, de julio de 1976, dispone: “a) Las decisiones de la Organización, adoptadas de conformidad en los artículos 5, 6 y 7 del Convenio, podrán ser: (i) decisiones obligatorias para sus miembros, y que estos ejecutarán previo cumplimiento de los procedimientos que requieren sus constituciones; (ii) decisiones por las que fueren aprobados acuerdos concertados con sus miembros, con Estados no miembros y con organizaciones internacionales; (iii) decisiones de orden interno relativas al funcionamiento de la Organización, que se denominaran resoluciones; (iv) decisiones por las que se hicieren comunicaciones a Estados no miembros o a organizaciones. b) Las Recomendaciones de la Organización, formuladas de conformidad con lo dispuesto en los artículos 5, 6 y 7 del Convenio, serán sometidas a la consideración de los miembros para que estos procedan a su ejecución si lo estimaren oportuno,  c) los textos de las Decisiones o de las Recomendaciones a que se alude en los apartados a), (i) y b) que anteceden, deberán incluir una referencia al artículo 4- a) o al artículo 5-b), respectivamente”. Citado por RIVERA LLANO, A. Ob.cit., p.178.

______________________

La Recomendación de la OCDE, constituye un documento de capital importancia para aquella época e incluso con plenas y claras incidencias en la actualidad, tanto en las legislaciones internacionales como en las comunitarias europeas  ^[60]. El documento preparado por un grupo heterogéneo de expertos de diferentes Estados de Occidente y Oriente del mundo, es un fiel, serio, oportuno y claro diagnóstico y recetario de los innumerables hechos, sucesos, problemas, conflictos y proposición de sugerencias y soluciones a los mismos, sobre todo lo atinente al flujo internacional de datos entre países miembros de la OCDE y la protección de los derechos fundamentales como el de la intimidad (aunque no en todo su contexto, pues sólo se destaca la visión iusinformática de la intimidad), como hace énfasis el preámbulo, el texto y contexto y  las Memorias Explicativas (en adelante M.E.) de la Recomendación; además del conjunto de las llamadas libertades individuales (surgidas en la historia del constitucionalismo del liberalismo anglo-francés, y que hoy se consideran como un ámbito importante de los derechos fundamentales) ^[61],  dentro de las cuales se encuentra el hoy llamado “derecho de habeas data”, el derecho a la información y  los  derecho de impugnación y recurso que tiene toda persona contra decisiones administrativas o judiciales.

La Recomendación de la OCDE, en el anexo correspondiente  a las “directrices sobre protección de la intimidad y de los flujos de datos de carácter personal a  través de las fronteras”, estructura las cinco partes en las que se compone. Estas están referidas a las generalidades, Los principios fundamentales a aplicar en el ámbito interno, los principios fundamentales aplicables en el ámbito internacional: libre circulación y restricciones legítimas, la aplicación de los principios en el ámbito interno; y, la cooperación internacional.

________________________________

(60)     El profesor destaca esa importancia de la Recomendación de la OCDE, pero más dirigida a la vocación legislativa de los Estados Miembros que con vocación europeísta, y más aún, internacionalista, tal y como fue su origen y presentación. DAVARA RODRIGUEZ, Miguel. Manual de Derecho Informático. Ob.cit., pág. 57.

(61)         La importancia mundial que han adquirido los derechos fundamentales en el ámbito del derecho constitucional español a tenido relevancia muchísimo antes del reconocimiento constitucional en 1978, tal y como lo sostiene SEMPERE, al referirse a la “Tutela constitucional de los derechos fundamentales de la personalidad”, y en especial al derecho a  la intimidad  prevista en el art. 18 CE, que en el momento de la entrada en vigor del texto constitucional ya existía un cuerpo consolidado de doctrina y jurisprudencia con el reconocimiento y tutela de los derechos del honor, la intimidad, la imagen; entre otros. En igual forma, se suma a ello, que con carácter preconstitucional la protección de los derechos fundamentales, tanto en el ámbito penal (doctrina del T.C., sobre los delitos de injurias y animus iniuriandi y una nueva regulación del C.P.) como en el ámbito de la tutela civil (L.O.1/1982, de 5 de Mayo), así como en relación con la compatibilidad de uno u otro tipo de tutela y la posibilidad de elección, entre ellos, por el interesado. Tal reconocimiento determina, al menos, cuatro consecuencias a destacar: 1. El reconocimiento de los derechos privados de la personalidad mencionados en el artículo 18 como derechos fundamentales. El mismo conlleva una doble consecuencia. Por un lado, afirmar que ya no tiene mucho sentido hablar de estos derechos como derechos subjetivos de naturaleza privada, sino como derechos fundamentales de la personalidad, tal como lo sostiene DIEZ PICAZO. Por otro lado, en el ejercicio y limitaciones de estos derechos debe aplicarse la doctrina del T.C., sobre los derechos fundamentales. 2. Exigencia de garantía frente al legislador ordinario. Se concretaría en el respeto por parte de las leyes que regulen el ejercicio de estos derechos, de un contenido mínimo esencial (art. 53.1 CE). Concepto éste jurídicamente indeterminado cuyo control corresponde, en último término, al TC (art.12), a través del recurso de inconstitucionalidad, recurso con el que se garantiza la primacía de la C.E. –arts. 161.1. a) CE y 27 y 55.2 de la L.O.T.C. 3. Cualificación de la intervención del legislador: reserva de la ley orgánica. Implica que la ley que desarrolle el ejercicio de estos derechos, tanto en su aprobación como modificación, se ajuste a un procedimiento y quórum especiales (art. 168 CE), dado que se trata de leyes orgánicas (art. 81 y 82 CE). 4 . Habilitación de tutela especial ante el Tribunal Constitucional: Recurso de amparo…. SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen. Ob.ut supra cit. p. 390 y ss.

_____________________________

A nuestros efectos destacaremos, los siguientes temas: a) las definiciones en el tratamiento informatizado de los datos personales y, b) los principios y excepciones fundamentales del tratamiento informatizado de los datos, tanto en el  ámbito nacional como en el  ámbito internacional, y dentro de éste especialmente, el principio denominado de la libre circulación de datos personales y las restricciones legítimas.

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

Siguiendo el criterio –generalizado en la década de los ochenta– la Recomendación de la OCDE, prevé una serie de definiciones ius-informáticas, tales como, Responsable del fichero, datos de carácter personal y flujos internacionales de datos de carácter personal. Se abstiene de definir lo que debe entenderse como “tratamiento automático de datos”, pese a que en el preámbulo y en el apartado tercero referido a los “grados de sensibilidad de los datos”, se menciona expresamente. Las razones, entre muchas otras,  son: limitar al máximo las definiciones; y en el caso específico,  porque resulta difícil hacer una distinción clara entre tratamiento “automático y no automático de la información” ^[62] y porque las directrices no están dirigidas exclusivamente al tratamiento de datos de carácter personal con “ordenadores” (o “automático”),  aunque curiosamente esto fue la punta del iceberg que convocó la reunión, estudio y planteamiento de las recomendaciones ahora comentadas ^[63].

La persona física a la que se refiere la definición tiene que gozar de una habilitación legal para decidir, sobre el contenido y utilización de los datos, independientemente de si los datos han sido o no obtenidos, registrados, tratados o difundidos por dicha persona o por una persona que obra en su nombre. El responsable del fichero puede ser una persona física o jurídica, una autoridad u organismo público.

La definición excluye, por tanto a: a) las autoridades competentes para conocer autorizaciones o licencias y los organismos que autorizan el tratamiento de la información pero son competentes para decidir sobre qué actividades deben llevarse a cabo y para que fines; b) las empresas de

_____________________________________________

(62)       Cfr. MEMORIA EXPLICATIVA (M.E) Punto 34. “Tratamiento automático y no automático de datos”. Las actividades que la OCDE había venido dedicando a la protección de la intimidad y a otros ámbitos conexos estaban centradas en el tratamiento automático de la información y en las redes de ordenadores. El grupo de expertos considero con especial atención la cuestión de si el alcance de estas directrices debía o no quedar limitado al tratamiento automático e informatizado de los datos de carácter personal. Este enfoque puede justificarse por razones diversas, tales como los especiales peligros que llevan consigo para las libertades individuales la automatización y los banco de datos informatizados, el creciente predominio de los métodos de tratamiento automático de la información, en especial en el contexto de los flujos internacionales de datos, así como el marco especifico de la política de la información, de la informática y las comunicaciones, dentro del cual hubo de cumplir su mandato el grupo de expertos. AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2.