La visión legal del habeas data en latinoamerica y europa
LA VISION LEGAL DEL HABEAS DATA EN LATINOAMERICA Y EUROPA
Por
Libardo Orlando Riascos Gómez
Doctor en Derecho
Universidad de Navarra (1986) y Universidad de Lleida (1999)
CAPITULO PRIMERO
I.
El HÁBEAS DATA EN ALGUNOS ESTADOS DE AMERICA LATINA
1.
ANOTACIONES PRELIMINARES
2.
EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA
REPUBLICA ARGENTINA
2.1.
Ley de Protección de datos personales en la República
de Argentina
2.1.1.
Estructura formal de la Ley
2.1.2.
Comentarios sucintos a la Ley
2.2.
Ley de protección de datos personales de la Ciudad Autónoma de
Buenos Aires
2.2.1.
Estructura formal de la Ley
2.2.2.
Comentarios sucintos a la ley
2.3.
La Ley de protección de los datos personales de la
Provincia de Neuquen
2.3.1.
Estructura formal de la ley
2.3.2.
Breves comentarios a la ley
3.
EL HABEAS DATA EN LA LEY
PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER
PERSONAL DE CHILE
3.1.
Notas preliminares: “The
right to privacy”
3.2.
Estructura formal de la ley
3.3.
Breves comentarios a la LPVP o PDP
4.
EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION
PUBLICA DE LA REPUBLICA DE PANAMA
4.1.
Estructura de la LTGP y HD
4.2.
Breves comentarios de la ley
5.
El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS
PERSONALES DE CARÁCTER FINANCIERO
5.1.
Estructura de la LPDP_HDU
5.2.
Breves comentarios a la LPDP_HDU de 2004
6.
EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE
2OO4
6.1.
Notas preliminares
6.2.
Estructura de la Ley No. 28237 o Código Procesal Constitucional
del Perú
6.3.
Breves comentarios a la parte pertinente del Hábeas Data en el
CPCP de 2004
CAPITULO PRIMERO
I.
EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS Y EN LAS
TRANSPARENCIA Y ACCESO DE LA INFORMACION PÚBLICA, EN ALGUNOS ESTADOS DE
AMERICA LATINA
1.
ANOTACIONES PRELIMINARES
Hoy por hoy, las normas de desarrollo y reglamentación del Hábeas Data
en los Estados de Latinoamérica, previamente a haber sido éste elevado a
rango constitucional ha sobrevenido en algunos casos inmerso en las
Leyes de protección de los datos o informaciones personales, cuya norma
modelo es la regulada por en el derecho continental europeo,
especialmente en las leyes teutonas de la década de los setenta, en
forma general y las leyes protectoras de los datos de España, en forma
particular. En otros eventos, la ley origen para el desarrollo
legislativo del Hábeas Data, son las leyes denominadas de “transparencia
y acceso a la información pública”; y otras pocas eventualidades, se
regula el Hábeas Data separado de las leyes de protección de datos como
de las leyes de transparencia y acceso a la información pública.
En el presente ensayo jurídico, abordaremos ejemplos típicos de
legislaciones del Hábeas data perteneciente a cada uno de estas
subdivisiones de origen que hemos planteado. No sobra advertir que si
bien la Constitucionalización del Hábeas Data en Latinoamérica comenzó a
finales de la década de los ochenta, en algunos pocos casos (v.gr.
Brasil) y principios (v.gr.
Colombia, Perú, Argentina y Ecuador) y finales de los noventa (v.gr.
Bolivia y Venezuela; así como también principios del dos mil (v.gr.
Panamá y Honduras), el
desarrollo y reglamentación legal de la institución jurídico
constitucional de igual forma se ha dado en diferentes períodos de
tiempo por variopintas razones que van desde las político-jurídicas
(razones de seguridad de Estado y de las personas), pasando por la
culturales, libertad de expresión, opinión y pensamiento hasta las de
índole financiero, económico, comercial o bancario. Esas diferencias
temporales en algunos casos han sido cortas desde la
constitucionalización hasta la reglamentación de tipo legislativo, entre
cinco y seis años (v.gr. caso Argentino); entre seis a diez años (v.gr.
El caso de Brasil, Perú, Panamá, Uruguay, México y Honduras); y, de más
de diez años (Casos en los cuales se tienen presentados varios proyectos
de ley orgánica o estatutaria de Hábeas Data, pero que todavía no acaban
de concretarse en leyes de cada Estado, v.gr. El Caso de Colombia,
Ecuador, Bolivia, Venezuela; entre otros).
2.
EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA
REPUBLICA ARGENTINA
En la Argentina con una forma de Estado sui géneris: República Federal,
existe normatividad general para la “nación”, como ordenamiento jurídico
para las regiones y ciudad autónoma de Buenos Aires. En tal virtud,
veremos a continuación la Ley General de Protección de datos para la
República Argentina, y las Leyes especiales de protección de datos para
la ciudad autónoma de Buenos Aires y para la Provincia del Neuquem.
2.1.
Ley de Protección de datos personales en la República
de Argentina
2.1.1. Estructura
formal de la Ley
La Ley 25.326 de Octubre 4 de 2000, que regula la protección de los
datos personales en Argentina, tiene la siguiente estructura formal:
Capítulo I,
relativo a las
Disposiciones Generales,
compuesto por un objetivo de la ley (artículo 1º); unas definiciones
utilizadas en el contexto de la ley y eminentemente técnicas, pero
aplicables al derecho informático, tales como: Datos personales, Datos
sensibles, Tratamiento de Datos, responsable del archivo, Datos
informatizados, Titular de los Datos, Usuario de los Datos, Disociación
de los Datos (artículo 2º).
Capítulo II,
referente a
los Principios generales
relativos a la protección de datos,
que son los que guían y orientan todo el proceso informatizado de
datos de la persona humana y caracterizan a la ley como una norma
especial aplicable a las personas físicas o naturales. Estos principios
son: a) Licitud del archivo de datos (artículo 3º); b) Calidad de los
datos (artículo 4º); c) Consentimiento (artículo 5º); d) Información
(artículo 6º); e) categoría de los datos (artículo 7º); f) Datos
relativos a la Salud (artículo 8º); g) Seguridad de los datos (artículo
9º); h) Deber de confidencialidad (artículo 10º ); i) Cesión (artículo
11); j) Transferencia internacional (artículo 12).
Capítulo III,
relativa a los
Derechos de los titulares de
datos, que no son otros que las facultades inherentes al Hábeas
Data que denominamos administrativa y el consecuente Hábeas Data
jurisdiccional en el que desemboca. En efecto, se menciona en principio
el derecho a la información que tiene toda persona para consultar sus
datos (artículo 13); el derecho de acceso de sus propios datos recabados
en bancos de datos públicos o privados (artículo 14º); contenido de la
información, la cual debe ser clara, accesible, amplia, no vinculante de
terceros y podrá suministrarse por escrito, medios electrónicos, de
imagen u otro idóneo (artículo 15º); Derecho de rectificación,
actualización o supresión de los datos, como derecho trípode y
alternativo de toda persona que se hace efectivo frente al
incumplimiento de los organismos o responsables de los bancos de datos,
a través de la “acción de
protección de datos o de habeas data” (artículo 16º); excepciones al
acceso, rectificación, actualización o supresión de datos, por
protección de la defensa nacional, orden y seguridad públicos, o de
protección de derechos o intereses de terceros (artículo 17º);
Comisiones legislativas de seguridad Interior e Inteligencia del
Congreso (artículo 18º); se
establece un principio adicional y concreto: el de gratuidad en las
gestiones de rectificación, actualización o supresión de datos (artículo
19º); Impugnación de valoraciones personales contenidas en decisiones
judiciales o actos administrativos, si revelan un perfil o personalidad
del interesado (artículo 20º).
Capítulo IV,
sobre los
Usuarios y responsables de
archivos, registros y bancos de datos. Relaciona la inscripción
en el Registro de datos, ante el cual debe realizarse por parte de todo
responsable de archivos, registros o bancos de datos públicos o privados
(artículo 21º); Archivos, registros o bancos de datos públicos (artículo
22º); bancos de datos especiales de particulares con fines
administrativos para la seguridad nacional o pública: fuerzas armadas,
de seguridad, organismos policiales y de inteligencia (artículo 24º);
prestación de servicios informatizados de datos personales por cuenta de
terceros (artículo 25º); prestación de servicios de información
crediticia (artículo 26º); Archivos, registros o bancos de datos con
fines de publicidad (artículo 27º); Archivos, registros o bancos de
datos relativos a encuestas. En las encuestas de opinión, mediciones y
estadísticas se aplica la Ley 17.622 (artículo 28º);
Capítulo V,
sobre el
Control de los datos personales del concernido.
Contiene normas referentes al órgano de control, sus facultades,
deberes y derechos frente a los titulares, usuarios y responsables del
procesamiento de datos. Es un órgano con autonomía funcional y actuará
como órgano descentralizado en el ámbito del Ministerio de Justicia y
Derechos Humanos de la Nación. Se designará por cuatro años, por el
ejecutivo (artículo 29º); Códigos de conducta para asociaciones o
entidades representativas de responsables o usuarios de bancos de datos
de titularidad privada (artículo 30º).
Capítulo VI,
relativo a las
Sanciones. Las sanciones
administrativas son imponibles por el organismo de control, sin
perjuicio de las penales o las de responsabilidad por daños y perjuicios
derivados de la inobservancia de la ley (artículo 31º); Sanciones
penales: se incorpora a la ley dos tipos penales al Código Penal
Argentino (artículo 32º).
Capítulo VII,
relativo a la
Acción de protección de datos
personales. Se relaciona la procedencia de la acción en dos
casos: a) Para tomar conocimiento de los datos almacenados en bancos de
datos públicos o privados; b) Cuando se presuma falsedad, inexactitud,
desactualización, o durante el tratamiento de la información, para
exigir la rectificación, supresión, confidencialidad o actualización
(artículo 33º); legitimación activa de acción por parte del “afectado”,
tutores o curadores o sucesores de las personas físicas directamente o
por apoderado. La Legitimación de “personas ideales”, se hace por
representante legal o apoderado. Coadyuva el Ministerio Público
(artículo 34º); legitimación por pasiva. La acción se dirige contra los
responsables y usuarios de los bancos de datos públicos y privados
(artículo 35º); Competencia: Juez del domicilio del actor. La
competencia federal, cuando se interponga en contra de archivos de datos
públicos de organismos nacionales, o cuando los archivos de datos se
encuentren interconectados interjurisdicciones, nacionales o
internacionales (artículo 36º); Procedimiento aplicable a la acción de
hábeas data, el del procedimiento de amparo común (artículo 37º);
Requisitos de la demanda escrita (artículo 38º); Trámite: Admisión de la
demanda, requerimiento a demandado, solicitud de informes, sí procede y
resolución en 5 días (artículo 39º); Confidencialidad de la información,
salvo en fuentes de información periodística y excepciones de ley
(artículo 40º); contestación del informe: razones de su aceptación o
negativa (artículo 41º); Ampliación de la demanda: 3 días (artículo
42º); Sentencia (artículo 43º); Ámbito de aplicación: De orden público y
se aplica a todo el territorio nacional (artículo 44º); El ejecutivo
reglamentará la ley (artículo 45º); Disposiciones transitorias (artículo
46º )
2.1.2.
Comentarios sucintos a la Ley
2.1.2.1.
Aspectos preliminares
Si bien la estructura de la norma especial argentina revela una
cohesionada y bien intencionada ley de protección de los datos
personales, dirigida a eliminar, restringir o minimizar la alta
permeneabilidad que hoy por hoy, tienen los medios TIC y la informática
en el pleno de derechos y libertades constitucionales y legales y
especialmente del derecho a la intimidad, la imagen, el honor y la buena
reputación. No es menos cierto, que dicha
estructura normativa como las finalidades, objetivo, principios,
mecanismos administrativos y jurisdiccionales para protegerlos, así como
las autoridades creadas para tales fines y loables propósitos no
pertenecen a la cultura y experiencia jurídica argentina, pues como
duramente lo sostiene Moeykens,
la ley No. 25.326 de noviembre de 2000, “no
es mas que una triste copia mal efectuada de la vieja LORTAD española”
[1].
En efecto, la Ley de protección de datos argentina o de Hábeas Data para
la época en que fue expedida debió el legislador, si esa era su técnica
y estilo, apegarse al texto ya no de la LORTAD de 1992 que tantas
críticas estructurales y de contenido había recibido en el derecho
ibérico y en el comparado
[2],
sino a la nueva Ley de protección de datos personales de 1999
(L.O.15/99 o LOPDP) que corregía defectos de forma y fondo
evidenciados por las varias demandas de constitucionalidad de personas,
asociaciones o del propio defensor del
_____________________
(1)
MOEYKENS, Federico Rafael.
Derecho a la libertad
informática: consecuencias del Habeas Data.
Revista de Derecho Informático. Alfa-Redi No. 046, Mayo de 2002. Vía
Internet.
(2)
Vid. RIASCOS GOMEZ, Libardo O.
El derecho a la Intimidad, la
visión ius-informática y los delitos relativos a los datos personales.
Tesis Doctoral, Universidad de Lleida, Lleida (España), p.30 y ss.
Ante este proceder del legislador argentino, podemos decir, que la Ley
de protección de datos argentina (LPDA) de 2000, acusa los mismos
defectos y falencias de la LORTAD de 1992, y por supuesto, lo más gravé
que desconoció las actualizaciones que la LOPDE de 1999 de España debió
transponer como obligación de Estado miembro de la UE y previstas en
las Directivas Europeas 95/46/CE y 97/66/CE.
Sin embargo y paradójicamente a nivel latinoamericano se pone a la
vanguardia en legislación específica sobre la materia, pues acoge el
modelo normativo europeo sobre protección de datos personales, al
transliterar la LORTAD de 1992 al derecho argentino. Efectivamente la
LORTAD recoge normativamente hablando, los lineamientos, objetivos,
principios y normas procedimentales sobre protección de los datos
personales contra los abusos del “poder
informático” previstos en las normas aplicables a la Unión Europea,
entre ellos, El
Convenio Europeo para la protección de las personas con respecto al
tratamiento automatizado de datos con carácter personal, de 1981
y las recomendaciones de la OCDE de 1980, así como también de las normas
alemanas y suizas de la década de los años setenta, sobre protección de
datos personales.
2.1.2.2.
En relación al objeto y aplicabilidad de la ley
En relación al objeto de la ley, la LORTAD especificaba en el artículo
1º que ésta
tenía por objeto limitar el uso de la informática y otras técnicas y
medios de tratamiento automatizado de los datos de carácter personal
para garantizar el honor, la intimidad personal y familiar de las
personas físicas y el pleno ejercicio de sus derechos. Con lo cual, el
objeto resulta mucho más amplio que el propuesto por la Ley de
protección de datos argentino. Objeto que fue parcialmente mutilado.
El Objeto de la nueva Ley orgánica de protección de datos española
(LO.15/99), aclara de una buena vez, lo que en la LORTAD era objeto de
interpretación y discusiones doctrinales y jurisprudenciales, vale decir
que ésta sólo se dirige a proteger los derechos fundamentales de las
personas naturales o físicas
[3]
“y especialmente de su honor e intimidad personal y familiar”,
derechos personalísimos que se reputan del ser humano, pero no de las
personas jurídicas, morales o “ideales”, como se denominan en el derecho
argentino.
La LPDA de 2000, estipula en el inciso segundo del artículo 1º,
que la ley también será aplicable a las “personas
de existencia ideal”, previendo que también existe una especie de
derecho al honor y la intimidad de las personas jurídicas que
eventualmente pudieran ser vulnerados por los abusos del “poder
informático” o los tratamientos informatizados de los datos de aquellas.
Precisamente para evitar esa discusión que se dio en el derecho ibérico
y ahora la revive el derecho argentino, la nueva ley española de
protección de datos enfatizó en la protección de derechos fundamentales
de la persona humana. Quizá la jurisprudencia de la Corte Suprema
Argentina, examine a fondo este aspecto y pueda declarar inconstitucio
__________________
(3)
Ob., ut supra cit.
2.1.2.3.
En lo referente a las definiciones técnico-jurídicas de la ley
La LORTAD de 1992, tal como lo recoge la LPD argentina en el artículo 2º
y lo mantiene la LOPDP de 1999, en el artículo 3º,
se suministran unas definiciones técnico-jurídicas aplicables al
tratamiento de datos personales y al mejor entendimiento del objeto y
fines de la Ley de Protección de Datos. La principal diferencia entre la
LPD de Argentina, es que considera dato personal, toda información
concerniente a personas físicas e ideales, cuando la LORTAD de 1992 y la
LOPDP española de 1999, solo consideran a los efectos de la ley, la
información de las personas físicas.
El término
“Archivo, registro, base o
banco de datos”, como el conjunto organizado de
datos personales que son objeto
de tratamiento o procesamiento, electrónico o no, cualquiera fuere la
modalidad de su formación, almacenamiento, organización o acceso que
relaciona el artículo 2º, inciso 3º de la LPD argentina, resulta más
amplio y comprensible que término “fichero
automatizado”
[4]
que traía el artículo 3º, literal b, de la LORTAD, pues como
observábamos en su momento el tratamiento de datos no sólo puede darse
por medios electrónicos, informáticos o telemáticos, sino también por
medios mecánicos, escritos o tradicionales. La LOPDP española, en el
artículo 3º, literal b, corrigió dicho error y sólo mención al término
“fichero” (del francés “fichiers”, sinónimo de banco o base de datos).
La LPD argentina en el artículo 2º, inciso 7º,
define el término “titular
de los datos”, como toda persona física o persona de existencia
ideal…cuyos datos sean objeto del tratamiento previsto en la ley. Esto
en concordancia a lo dicho anteriormente que son sujetos destinatarios
de la ley, no solo las personas físicas sino también las jurídicas.
La LORTAD de 1992, en su momento ya era criticada porque definía el solo
el término “afectado”, como a
la
Persona física titular de los datos que fueran objeto del tratamiento
informatizado (electrónico o manual) previsto en dicha ley. Se
cuestionaba la acepción negativa utilizado por la LORTAD para
identificar al titular de algún derecho y por eso la LOPDP española
adicionó a dicho término el calificativo de “o
interesado”, para incluir el lado positivo del concepto de titular
de los datos.
La LPD argentina en el artículo 2º, inciso 2º,
define una institución jurídica altamente permeable y de difícil
concreción en una definición, como son los “datos sensibles”. Así lo
entendió la LORTAD de 1992 y lo ratificó la LOPDP de 1999, las cuales
prefirieron regular la institución sin nominarla expresamente en
diferentes normas relativas a los niveles
potenciados de protección de ciertos datos especiales y en tal
virtud, reglamentar lo relativo a la limitación, restricción o
prohibición de aquellos, según la fase del tratamiento informatizado o
no de los “datos especialmente
protegidos” y como consecuencia ineludible de la aplicación del
principio rector del tratamiento de datos, cual es el “consentimiento”
de titular de los datos (“afectado o interesado”, según la LOPD).
La LPD Argentina definió los “datos sensibles”, como aquellos datos
personales que revelan origen racial o étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
______________________
La Exposición de Motivos de la LORTAD de 1992, sobre el tema propuesto,
manifestaba:
Por su parte, el principio de consentimiento, o de autodeterminación,
otorga a la persona la posibilidad de determinar el nivel de protección
de los datos a ella referentes. Su base está constituida por la
exigencia del consentimiento consciente e informado del afectado para
que la recogida de datos sea lícita; sus contornos, por otro lado, se
refuerzan singularmente en los denominados «datos sensibles», como
pueden ser, de una parte, la ideología o creencias religiosas -cuya
privacidad está expresamente garantizada por la Constitución en su
artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La
protección reforzada de estos datos viene determinada porque los
primeros de entre los datos mencionados sólo serán disponibles con el
consentimiento expreso y por escrito del afectado, y los segundos sólo
serán susceptibles de recopilación mediando dicho consentimiento o una
habilitación legal expresa, habilitación que, según exigencia de la
propia Ley Orgánica, ha de fundarse en razones de interés general; en
todo caso, se establece la prohibición de los ficheros creados con la
exclusiva finalidad de almacenar datos personales que expresen las
mencionadas características. En este punto, y de acuerdo con lo
dispuesto en el artículo 10 de la Constitución, se atienden las
exigencias y previsiones que para estos datos se contienen en el
Convenio Europeo para la protección de las personas con respecto al
tratamiento automatizado de datos con carácter personal, de 1981,
ratificado por España.
Los demás términos definidos por el artículo 2º de la LPDA de 2000, son
de idéntica transliteración a los relacionados en la LORTAD de 1992.
2.1.2.4.
Los principios que orientan el tratamiento de datos
Los principios instituidos en toda ley o norma jurídica obedecen a la
utilidad suprema que de estos se hace en el contexto de la norma y las
finalidades que prestan para entender, interpretar o aplicar al caso
concreto un inciso, artículo, capítulo o título de la ley. Estos
principios sirven de guía y orientación al operador jurídico y por ello
la denodada construcción del legislador al comienzo de cada norma
jurídica.
Los principios o directrices interpretativas o integradoras de la
protección de los datos personales en el derecho argentino se plasman en
los artículos 3º a 12º de la Ley 25326 de 2000. Estos son: (i) licitud
de las bases de datos, (ii) Calidad de los datos, (iii) consentimiento,
(iv) Deber de información, (v) Categoría de datos, (vi) Datos relativos
a la Salud, (vii) Seguridad de los datos, (viii) Deber de
confidencialidad, (ix) Cesión, (x) Transferencia Internacional.
La LPD Argentina en estos temas
transcribe en su integridad y extensión lo previsto en los
artículos 4 a 11º de La LORTAD de 1992. Sin embargo, existen algunas
diferencias, particularmente sobre lo siguiente:
a)
La LPD individualiza el principio de la licitud de los “Archivos
de datos” que la LORTAD lo incluye en el principio de la calidad de
datos. La Ley Argentina, estima
que tanto en la formación, como en el tratamiento y las
finalidades las bases de datos no deben ser contrarios a la leyes o “a
la moral pública”.
b)
Si bien el principio del consentimiento se establece como regla
general en todo procedimiento o tratamiento de datos personales en la
LPD Argentina, como en la LORTAD de 1992, en la primera se instituyen
unas excepciones numerus clausus, en los que no se requiere dicho
consentimiento, al punto que la LORTAD enfatizó en las excepciones
relativas a las fuentes accesibles al público, cuando se recolecte
información para el ejercicio de las funciones de las
“Administraciones Públicas” y las que surgen en las relaciones
laborales
[ 5 ].
Por su parte, la LPD Argentina, manifiesta en el artículo 5º , numeral
2º , que no se requerirá el consentimiento del concernido cuando: (i)
los datos se obtengan de fuentes de acceso irrestricto, (ii) Se recaben
para el ejercicio de funciones propias de los poderes del Estado o en
virtud de una obligación legal, (iii) Se trate de listados cuyos datos
se limitan a nombre, documento nacional de identidad, identificación
tributaria o previsional, ocupación, fecha de nacimiento y domicilio,
(iv) Deriven de una relación contractual, científica o profesional del
titular de los datos, y resulten necesarios para su desarrollo o
cumplimiento, (v) Se trate de las operaciones que realicen las entidades
financieras y de las informaciones que reciban de sus clientes conforme
las disposiciones del artículo 39 de la Ley 21.526.
El consentimiento en la LORTAD de 1992, según el numeral 3º del artículo
6º, podrá ser revocado cuando
exista causa justificada para ello y no se le atribuya efectos
retroactivos. Este derecho de capital importancia para el titular de
los datos no fue previsto en la LPD Argentina.
c)
El deber de la confidencialidad prevista en el artículo 10º de la
LPD Argentina, se diferencia tan solo en el nombre utilizado por el
artículo 10º de la LORTAD de 1992, pues en ésta se denomina “Deber de
secreto”. En cuanto al contenido son idénticos. Resulta una adición
válida la hecha por la LPD Argentina, cuando estipula en el numeral 2º
del artículo mencionado, que “el
obligado podrá ser relevado del deber de secreto por resolución judicial
y cuando medien razones fundadas relativas a la seguridad pública, la
defensa nacional o la salud pública”.
d)
La LPD Argentina de 2000, instituye como principio importante del
tratamiento de datos personales, “la
transferencia internacional” que por regla general esta prohibida,
si los países u organismos internacionales no ofrecen niveles de
protección adecuada (y agregamos, y niveles de seguridad tecnológica y
jurídica pertinentes). Se exceptúa en los siguientes casos: (i)
Colaboración judicial internacional; (ii) Intercambio de datos de
carácter médico, cuando así lo exija el tratamiento del afectado, o una
investigación epidemiológica, en tanto se aplique un procedimiento de
disociación de la información, de modo que los titulares de los datos
sean inidentificables; (iii)
Transferencias bancarias o bursátiles, en lo relativo a las
transacciones respectivas y conforme la legislación que les resulte
aplicables; (iv) Cuando la transferencia se hubiera acordado en el marco
de tratados internacionales en los cuales la República Argentina sea
parte; y, (v) Cuando la transferencia tenga por objeto la cooperación
internacional entre organismos de inteligencia para la lucha contra el
crimen organizado, el terrorismo y el narcotráfico.
La LORTAD de 1992, le dedica a este tema el Título V, relativo al “Movimiento
Internacional de datos”, y en el artículo 32, se establece la regla
general de no podrán realizarse
____________________
hayan
sido recogidos para someterlos a dicho tratamiento con destino a países
que no proporcionen un nivel de protección equiparable al que presta la
presente Ley, salvo que, además de haberse observado lo dispuesto en
ésta, se obtenga autorización previa del Director de la Agencia de
Protección de Datos, que sólo podrá otorgarla si se obtienen garantías
adecuadas. En cuanto a las excepciones a la regla, son de idéntico tenor
a las previstas en el artículo 12º numeral 2º de la LPDA de 2000.
La LOPDP de 1999, acogiendo las críticas hechas a la LORTAD en su
momento, reestructuró la norma y en el numeral 2º del artículo 33,
agregó sobre el movimiento Internacional de Datos para estar acorde con
las Directivas 95/46/CE y 97/66/CE, que el carácter adecuado del nivel
de protección que ofrece el país de destino se evaluará por la Agencia
de Protección de Datos atendiendo a todas las circunstancias que
concurran en la transferencia o categoría de transferencia de datos. En
particular, se tomará en consideración la naturaleza de los datos de
finalidad y la duración del tratamiento o de los tratamientos previstos,
el país de origen y el país de destino final, las normas de Derecho,
generales o sectoriales, vigentes en el país tercero de que se trate, el
contenido de los informes de la Comisión de la Unión Europea, así como
las normas profesionales y las medidas de seguridad en vigor en dichos
países. Así mismo, aumento el listado de excepciones al previsto en la
LORTAD de 1992 y que ut infra
precisaremos.
2.1.2.5.
Los derechos de los titulares de los datos personales
La doctrina ha clasificado los derechos y deberes
[6]
de las personas frente a la recolección, el almacenamiento, el
tratamiento propiamente dicho y la comunicación (“circulación” o
“transferencia”) de datos, tal como lo confirma
Tanús, al recoger un
clasificación de Cifuentes de la siguiente manera: (i) Derecho
oposición, (ii) derecho de información, (iii) Derecho de acceso, (iv)
derecho de rectificación, cancelación o supresión; (v) Derecho de
tutela, (vi) Derecho a la impugnación de valoraciones; y, (vii) Derecho
de consulta. Y agregamos, el primero el derecho a conocer la información
por parte del concernido, y el último en esta clasificación, el derecho
a la oposición a la comunicación de los datos sensibles o a aquellos en
donde no ha dado su consentimiento, siendo que éste se requiere
expresamente.
Sin embargo, a efectos de nuestro ensayo nos referiremos a los derechos
que aparecen en la ley. La LPDA, en los artículos 13 a 20, expresa que
estos son: (i) Derecho a la Información, (ii) Derecho de acceso, (iii)
Derecho de rectificación, actualización o supresión; y (iv) Derecho a la
impugnación de valoraciones personales. Estos derechos son de idéntico
tenor a los previstos en los artículos 12 a 17 de la LORTAD, con mínimas
diferencias.
El Derecho a la información,
es aquél que tiene toda persona para solicitar información al organismo
de control (autónomo y descentralizado del ámbito del Ministerio de
Justicia y Derechos Humanos de la Nación, en el derecho argentino)
relativa a la existencia de bancos de datos personales, sus finalidades
y la identidad de sus responsabilidades. Igual contenido tiene el
artículo 13 de la LORTAD de 1992. La diferencia estriba en que la
información se ha
_______________________
La información que suministre (en forma escrita o por medios
electrónicos, teléfono, telemedia o cualquier otro medio idóneo) el
organismo competente argentino debe ser clara, exenta de codificaciones
y fuera necesario
acompañada de
una explicación,
en
lenguaje accesible a todos. Así mismo, la información debe ser amplia y
versar sobre la totalidad del registro perteneciente al titular, aún
cuando el requerimiento sólo comprenda un aspecto de los datos
personales. En ningún caso el informe podrá revelar datos pertenecientes
a terceros, aún cuando se vinculen con el interesado.
El Derecho de acceso de datos,
lo tienen: (i) El titular de los datos, previa acreditación de su
identidad, tiene derecho a solicitar y obtener información de sus datos
personales incluidos en los bancos de datos públicos, o privados
destinados a proveer informes; y (ii) El responsable o usuario debe
proporcionar la información solicitada dentro de los diez días corridos
de haber sido intimado fehacientemente.
Vencido el plazo estipulado en el numeral (ii), sin que se satisfaga
solicitud de información, o si se expidiera el informe, éste no es
completo, quedará expedita la acción de protección de datos o de Hábeas
Data. Esta acción es gratuita y se ejerce a intervalos no inferiores a
seis meses (12 meses en la LORTAD), salvo que se acredite un
interés legítimo al efecto.
El derecho de rectificación, actualización, supresión
(“cancelación” dice la LORTAD y así lo reconoce la doctrina argentina
[ 7 ]
) y de confidencialidad
son aquellos derechos que tienen todas las personas, cuando
sea concernidas con datos o informaciones que se hayan recabado,
almacenados o administrados en bancos de datos de carácter público como
de carácter privado. En tal virtud, el responsable o usuario del banco
de datos, procederá a rectificar, actualizar, suprimir o conservar la
confidencialidad de los datos personales del concernido, realizando las
operaciones necesarias para conseguir dichos fines, dentro del plazo de
cinco días hábiles a la recepción del reclamo o de detectado el error o
la falsedad en los datos. Si se incumple éste término, habilita al
titular de los datos para que ejerza la acción de protección de los
datos o Hábeas Data.
En el evento de cesión o transferencia de datos, el responsable o
usuario del banco de datos debe notificar la rectificación o supresión
al cesionario dentro del quinto día hábil de efectuado el tratamiento
del dato.
La supresión de datos no procede cuando pudiera causar perjuicios a
terceros, o cuando existiera una obligación legal de conservar los
datos.
Durante el proceso de verificación y rectificación del error o falsedad
de la información que se trate, el responsable o usuario del banco de
datos deberá o bien bloquear el archivo, o
______________________
_____________________
Los datos personales deben ser conservados durante los plazos previstos
en las disposiciones aplicables o en su caso, en las contractuales entre
el responsable o usuario del banco de datos y el titular de los datos.
La LPDA de 2000, establece unas excepciones al derecho de acceso y de
rectificación, actualización y supresión, por parte de los responsables
o usuarios de los datos personas, mediante “decisión fundada” (o mejor,
motivada y notificada) en los siguientes casos: (i) Cuando se trate de
la función de protección de la defensa de la Nación, del orden y la
seguridad públicas, o de la protección de los derechos o intereses de
terceros; (ii) Cuando de tal modo se pudieran obstaculizar actuaciones
judiciales o administrativas en curso vinculadas a la investigación
sobre el cumplimiento de obligaciones tributarias o previsionales, el
desarrollo de funciones de control de salud y del medio ambiente, la
investigación de delitos penales y la verificación de infracciones
administrativas. El derecho de acceso se permitirá en el evento que el
titular del dato lo requiera para su defensa.
El derecho a la impugnación de valoraciones personales
consiste en la facultad que tiene toda persona para impugnar una
decisión judicial o un acto administrativo, cuando estas impliquen
apreciación o valoración de la conducta humana y a la cual sólo se
llegue como y único fundamento sea el resultado de un tratamiento
informatizado de datos personales y configure un banco de datos público
o privado. Será nulas las decisiones o actos que contravengan este
derecho.
Sobre el tema en particular, el artículo 12 de la LORTAD, fue
transvasado por la LPDA de 2000, hasta el punto que sólo se hace
referencia a los actos administrativos o “decisiones privadas”, las que
pueden impetrarse por el titular de los datos mediante los recursos
administrativos o particulares pertinentes, pero no de las “decisiones
judiciales”, pues éstas tienen otro tratamiento e impugnación jurídicos
dentro de cada proceso jurisdiccional y que por su puesto no será
pertinente o idóneo el recurso administrativo o particular. Igualmente
se transvasa la LORTAD, cuando determina que los actos que contravengan
las disposiciones de la LPDA, artículo 20, serán “insanablemente
nulos”, pues esto no esta previsto en la LORTAD y jurídicamente
resultaría improcedente el declaratoria de nulidad de una decisión
judicial en la que se haga una valoración del comportamiento de una
persona (que no “conducta humana”, como dice el artículo 20) que
suministre un “perfil o personalidad del interesado”.
En efecto, el artículo 12 de la LORTAD, sostiene: “El
afectado podrá impugnar los actos administrativos o decisiones privadas
que impliquen una valoración de su comportamiento cuyo único fundamento
sea un tratamiento automatizado de datos de carácter personal que
ofrezca una definición de sus características o personalidad”.
La LOPDP española de 1999, amplia los supuestos en los que pudiera
valorarse el comportamiento de una persona y el efecto jurídico que
podría dársele a éstas en el artículo 13, pero en ningún caso la
declaratoria de nulidad por una autoridad que no sería la competente
para hacerlo. El numeral 4º del artículo 13 sostiene:
la valoración sobre el
comportamiento de los ciudadanos basada en un tratamiento de datos,
únicamente podrá tener valor probatorio a petición del afectado.
Bien sea por vía reglamentaria de la LPDA de 2000, o por vía de
aplicación supletoria de la Ley de procedimiento Administrativa
Argentina, el ejecutivo debería prever el procedimiento administrativo
que se desata para ejercer los derechos de información, acceso y
oposición, así como de rectificación, actualización y cancelación de los
datos y igual forma del
derecho a impugnación de la valoración del comportamiento humano
mediante un tratamiento de datos, pues hasta que esto no se clarifique
el titular de estos derechos y la autoridad competente que debe conferir
y decidir, si fuere presentado un derecho de petición en concreto,
pueden proceder conforme a derecho.
El ejercicio de estos derechos ante el organismo de control de la
protección de datos, bien podría instituir lo que llamamos el Hábeas
Data administrativo, pues una vez agotado los trámites, procedimientos o
términos procesales, podrá acudirse al Hábeas Data jurisdiccional, que
en la LPD Argentina de 2000, se posibilita no por agotamiento previo de
esas vías administrativas, sino por incumplimiento de las autoridades
competentes del control a resolver en el término prefijado por la LPDA,
o por el simple transcurso del tiempo, sin resolución alguna, es decir,
por la configuración de una especie de silencio administrativo negativo
de plazo brevísimo: (i) Diez (10) días para ejercer la acción de Hábeas
Data, cuando no se hace efectivo el derecho de acceso a la información
del titular de los datos; (ii) Cinco (5) días para ejercer el Hábeas
Data, cuando no se hace efectivo el derecho de rectificación,
actualización o cancelación de los datos.
2.1.2.6.
Sobre la prestación de servicios de solvencia patrimonial o
crediticia
La LPDA de 2000, regula el tema de la “prestación
de servicios de información crediticia” en el artículo 26 de
parecida redacción al artículo 28 de la LORTAD y artículo 29 de la LOPDE
de 1999, sobre la prestación de
servicios de solvencia patrimonial o crediticia.
El dato
financiero,
como hemos
tenido oportunidad
de decirlo en
otro de nuestros
trabajos[8],
se entiende aquella
información concerniente a una persona determinada o determinable tiene
características económicas, comerciales, tributarias, o en general de
índole financiera, bien sea en el ámbito privado o en el público, se
puede decir genéricamente que el dato es financiero, pues según el
diccionario el término financiero puede definirse como lo
“perteneciente o relativo a la
Hacienda pública, a las cuestiones bancarias y bursátiles o a los
grandes negocios mercantiles”
[ 9 ],
con lo cual se entiende que los datos financieros engloban
terminológicamente a los efectos de este ensayo, lo que entendemos por
dato económico, comercial, bancario, bursátil
y tributario público y privado.
Las Leyes de protección de datos española de 1992 y 1999, regulan esta
clase especial de datos de la persona humana tan solo desde el ámbito
privado, tal como lo confirma la ubicación de los artículos 28 y 29,
respectivamente. En efecto, las normas hacen parte integrante del Título
IV, relativo a la “Disposiciones Sectoriales”, Capítulo II, “Ficheros
de titularidad privada”.
En cambio, la LPDA al no ubicar formalmente bajo un título o
capítulo de la ley que determine qué clase de información financiera
regula, deberá entenderse que lo hace en el ámbito privado y público,
indistintamente, aunque los contenidos sigan siendo de la información
financiera de carácter privado de la norma origen: la LORTAD.
La LPDA de 2000, expone en el artículo 26, que en la prestación de
servicios de información crediticia sólo pueden tratarse los siguientes
datos personales: (i) Los de carácter patrimonial relativos a la
solvencia económica y al crédito, obtenidos de fuentes accesibles al
público (vale decir, los de dominio público, sin restricción o
limitación alguna que no sea un pago por la contraprestación
[10]
) o procedentes de informaciones facilitadas por el interesado o con su
___________________
(8)
RIASCOS GOMEZ, Libardo O.
Los datos personales de carácter
financiero en los proyectos de ley estatutaria de Hábeas Data de origen
parlamentario y gubernamental en Colombia.
Ensayo jurídico para la Revista Electrónica Española de Derecom,
Universidad de Valladolid (España). Vía Internet En:
www.derecom.com.es
(9)
Ob., ut supra cit.
(10)
AA.VV.
Microsoft® Encarta® 2007.
© 1993-2006 Microsoft Corporation. Reservados todos los derechos.
El tratamiento o procesamiento de estos datos financieros, en el derecho
argentino deberán observar las siguientes reglas: (i) A solicitud del
titular de los datos, el responsable o usuario del banco de datos, le
comunicará las informaciones, evaluaciones y apreciaciones que sobre el
mismo hayan sido comunicadas durante los últimos seis meses y el nombre
y domicilio del cesionario en el supuesto de tratarse de datos obtenidos
por cesión; (ii) Sólo se
podrán archivar, registrar o ceder los datos personales que sean
significativos para evaluar la solvencia económica financiera de los
afectados durante los últimos cinco años. Dicho plazo se reducirá a dos
años cuando el deudor cancele o de otro modo extinga la obligación
debiéndose hacer constar dicho hecho; y (iii) La prestación de servicios
de información crediticia no requerirá el previo consentimiento del
titular de los datos a los efectos de su cesión, ni la ulterior
comunicación de ésta, cuando estén relacionados con el giro de las
actividades comerciales o crediticias de los cesionarios.
Los datos personales de carácter privados recabados en los
correspondientes bancos de datos, tanto en la legislación española de
1992 como en la legislación
argentina de 2000, hacen énfasis en los realizados con fines de
publicidad, los relativos a encuestas o investigaciones y los destinados
a la prestación de servicios de información de solvencia patrimonial y
crediticia. La LORTAD de 1992, incluía también los relativos a los
abonados a los servicios de las telecomunicaciones y otros servicios
prestados a la comunidad. Por su parte, la LOPD española de 1999, se
ratifica los anteriores, reestructura los bancos de datos en los que se
incluye información de acceso al público e incluye entre ellos, a los
que figuren en el censo promocional, las listas de personas o grupos
profesionales, los colegios profesionales, entre otros. Así como también
los tratamientos con fines de publicidad y prospección comercial y censo
promocional.
Sin embargo, es innegable que los asuntos que más nutren la
jurisprudencia de la Corte Suprema de Justicia de la República argentina
son los de índole financiero, especialmente en la labor crediticia de
las entidades o instituciones bancarias privadas más que públicas, como
tuvimos oportunidad de ponerlo en evidencia en el trabajo ut supra
citado
[ 11 ].
Todo por cuanto desde el nacimiento mismo de los proyectos de ley que
trataban de regular el Hábeas Data como derecho y garantía
constitucional previsto en las respectivas constituciones, el énfasis
que se marcaba por la alta sensibilidad de los destinatarios de la
información (usuarios, responsables de los bancos de datos
y con mayor razón el titular de los datos personales), consistía
en la información financiera
[12].
Aunque también hay que reconocer que en unos Estados Latinoamérica, más
que en otros, se ha convertido en un obstáculo real
_____________________
(11)
Según el artículo 3º de la LOPD de España de 1999, para evitar
confusiones terminológicas definió a las fuentes accesibles al público
en el literal
j), así: “Aquellos ficheros cuya
consulta puede ser realizada por cualquier persona, no impedida por una
norma limitativa, o sin más exigencia que, en su caso, el abono de una
contraprestación. Tienen la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los
términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los
datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público, los Diarios y Boletines oficiales
y los medios de comunicación”.
(12)
RIASCOS GOMEZ, Libardo O.
Los datos personales de carácter
financiero… Ob., ut supra cit.
(13)
La historia legislativa sur
y centro americana cuando de la reglamentación del derecho y garantía
constitucional del Hábeas Data se trata, ha mostrado la propensión a
reglamentarlo haciendo énfasis en el dato financiero, fiscal,
tributario, tarifario o de servicios públicos más que en cualquier otra
arista del dato personal. Así se demuestra en los variopintos proyectos
de ley orgánica o especial que en su momento los Estados de Argentina,
Perú, Chile, Uruguay, Paraguay, excepto el Brasil cuya motivación e
inspiración constitucional del Hábeas Data hunde sus raíces en el
Constitucionalismo Portugués y en el ámbito de la seguridad e
información ciudadana, los secretos de Estado y las actividades
desbordantes, por decirlo menos, de la policía política, a juicio de DE
ABREU DALLARI, Dalmo. En:
RIASCOS GOMEZ, Libardo O.
Los datos personales de carácter
financiero… Ob., ut supra cit.
En Colombia por ejemplo, quizá el dato financiero haya sido la mayor
piedra en el zapato, a la hora de expedir una Ley relativa a la
reglamentación integral del Hábeas Data, aunque los diversos proyectos
de ley de diferentes orígenes (parlamentario, gubernamental, defensoría
del pueblo, entre otros), algunos no logren hacer el tránsito
legislativo inicial, otros se queden en la etapa de control
constitucional previo, por vicios de forma (por ser proyectos de ley
estatutaria que tienen un procedimiento legislativo especial) y los
últimos no logren el puntillazo legislativo final por errores o vicios
de trámite legislativo, pero ninguno de ellos por estudio del contenido
total o parcial. Esta labor la ha hecho la doctrina al develar los
contenidos con muchas falencias, parcializados, descontextuados, con
transliteraciones y mutilaciones de leyes extranjeras, o con exagerados
énfasis de un solo tipo de dato personal: el financiero.
2.2. Ley
de protección de datos personales de la Ciudad Autónoma de Buenos Aires
Mediante la Ley No. 1845, se reglamenta la protección de datos
personales de la ciudad autónoma de Buenos Aires, la cual ha sido
“vetada parcialmente” por el Decreto 1914 de 2006, de 29 de Diciembre.
2.2.1. Estructura
formal de la Ley
La estructura formal de la ley es la siguiente:
Título I,
relativo a las “Disposiciones
Generales”: El Objeto de la ley: la regulación del tratamiento
informatizado de los datos de las personas físicas e “ideales” dentro de
la ciudad de Buenos Aires (artículo 1º);
Ámbito de aplicación: Se extiende a los bancos de datos públicos
de entidades y organismos nacionales y descentralizados presentes en la
ciudad de Buenos Aires, bien pertenezcan
al poder ejecutivo, legislativo y judicial (artículo 2º);
Definiciones de términos técnico jurídicos de:
Datos personales,
Datos sensibles,
Archivos, Registros, Bases o Bancos de Datos,
Tratamiento de datos,
Titular de los datos,
Responsable del Archivo, Registro, Base o Banco de Datos, Encargado del
Tratamiento, Usuario de Datos,
Fuentes de Acceso Público Irrestricto (artículo 3º)
Título II,
referente al “Régimen de los
Archivos, registros o bases o bancos de datos”
Creación de archivos, registros, bases o bancos de datos, con fines y
propósitos lícitos y socialmente aceptados (artículo 4º); Tratamiento de
datos personales efectuados por terceros. Vetados incisos 1º y 2º
por del Decreto1914/05. El inciso 3º hace referencia a los
contratos de prestación de servicios de tratamiento de datos personales
deben contener niveles de seguridad exigidos por la ley (artículo 5º).
Título III,
sobre los “Principios
Generales de la protección de los datos personales”: (i) Calidad
de los datos; (ii) consentimiento; (iii) Datos sensibles; (iv) Datos
relativos a la salud; (v) Cesión de Datos; (vi) Transferencia
interprovincial; (vii) Transferencia internacional,
artículos 6º a 12º.
Título IV,
relativo a “Los derechos de
los titulares de los datos personales”, estos son: (i) Derecho
de información; (ii) Derecho de acceso; (iii) Derecho de rectificación,
actualización y supresión; (iv) Excepciones: Orden o Seguridad pública,
derechos o intereses de terceros. Artículos 13º
a 15º.
Título V,
referente a “Las obligaciones
relacionadas con los datos personales asentados en archivos, registros o
bancos de datos” Son: (i) confidencialidad; (ii) Seguridad; (iii)
Obligaciones del responsable del banco de datos; (iv) obligaciones del
encargado del tratamiento de datos; (v) Obligaciones del usuario de
datos; (vi) valoraciones. Artículos 16º a 21º.
Título VI,
concerniente al “Control”:
El defensor del Pueblo (artículo 22) Funciones de registro de la
Defensoría: (i) Incisos 1º, 2º y 13º
vetados por el decreto mentado; (ii) La demás vigentes (artículo
23). Conocimiento de los bancos de datos por toda persona (artículo
24º).
Titulo VII,
concerniente a las
“Infracciones”: infracciones administrativas que desconozcan los
principios, obligaciones y derechos del tratamiento de datos personales
por usuarios y responsables de los datos (artículo 25º).
Titulo VIII,
relativa a las
“Sanciones”: (i)
Responsabilidad de los responsables, usuarios o cesionarios de los
bancos de datos del sector público de la ciudad de buenos Aires. (ii)
Inmovilización de archivos, registros o bancos de datos. Artículos 26º y
27º
Titulo IX,
sobre
la “Acción de Protección de
Datos”: procede: (i) conocer los datos almacenados en bancos de
datos del sector público en la ciudad de Buenos Aires; y (ii) En caso de
infracción de la ley y la ley 25236, solicitar la rectificación,
actualización, confidencialidad y supresión de datos. Exceptúan las
fuentes periodísticas (Artículo 28º); Legitimación por activa: todo
“afectado”, curador, tutor y sucesores de las personas físicas; las
personas “ideales”, por representación legal o apoderado (artículo 29º);
La legitimación por pasiva. Vetada por el decreto citado (artículo 30º);
Jurisdicción y procedimiento aplicado (artículo 31º); Requisitos de la
demanda (artículo 32º); Trámite (artículo 33º); confidencialidad de la
información (artículo 34º); contestación del informe (artículo 35º);
ampliación de la demanda (artículo 36º); Sentencia (artículo 37º).
Titulo X,
concerniente a “Las
disposiciones particulares”: (i) Prestación de servicios sobre
solvencia patrimonial y crediticia; (ii) Privacidad laboral en el ámbito
del sector público de la ciudad de Buenos Aires; (iii) Disposiciones
transitorias.
2.2.2.
Comentarios sucintos a la ley
La Ciudad Autónoma de Buenos aires, reguló la protección de los datos en
la Ley No. 1.845 de 2005 o LPD de CABA, siguiendo los parámetros y
estructura de la Ley de protección de los datos de Argentina: Ley No.
25.326 de Octubre 4 de 2000. En tal virtud, los comentarios realizados a
ésta ley son válidos para la presente. Sin embargo, se debe aclarar que
la LPD de CABA, se expidió con el propósito claro de reglamentar el
Hábeas Data solo en el sector público, tal como quedó plasmado en el
objetivo y campo de aplicación de la ley (artículos 1º y 2º).
En efecto,
la LPD de CABA, tiene por objeto y
dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos
personales referidos a personas físicas o de existencia ideal, asentados
o destinados a ser asentados en archivos, registros, bases o bancos de
datos del Sector Público de la Ciudad de Buenos Aires, a los fines de
garantizar el derecho al honor, a la intimidad y a la autodeterminación
informativa, de conformidad a lo establecido por el artículo 16 de la
Constitución de la Ciudad Buenos Aires.
Cuando los datos se refieran a información pública y no a datos
personales será de aplicación la ley 104 de la Ciudad de Buenos Aires,
es decir,
Ley No. 104 de 1998, relativa al acceso a la información pública, pues
toda persona tiene derecho, de conformidad con
el principio de publicidad de
los actos de gobierno, a solicitar y a recibir información completa,
veraz, adecuada y oportuna, de cualquier órgano
del estado presente en la ciudad de Buenos Aires.
A efectos de los comentarios de la presente ley nos referiremos a dos
temas no tratados en la LPDA de 2000. Estos son: (i) El organismo de
control previsto en la ley para la protección y garantía del Hábeas Data
y los derechos fundamentales vinculados con éste; y (ii) Sanciones e
Infracciones con motivo del tratamiento de datos.
2.2.2.1.
La Defensoría del Pueblo como organismo de control de la
protección de datos
La Ley de Protección de datos personales de la ciudad Autónoma de Buenos
Aires (LPD de CABA, designa como organismo de control de los datos
personales a la Defensoría del Pueblo.
Según el artículo 137 de la Constitución de la Ciudad Autónoma de Buenos
Aires, de 1º de Octubre de 1996, la Defensoría del Pueblo es uno de los
organismos de Control de la ciudad autónoma de carácter unipersonal e
independiente con autonomía funcional y autarquía financiera, que no
recibe instrucciones de ninguna autoridad.
Es su misión la defensa, protección y promoción de los derechos humanos
y demás derechos e intereses individuales, colectivos y difusos
tutelados en la Constitución Nacional, las leyes y esta Constitución,
frente a los actos, hechos u omisiones de la administración o de
prestadores de servicios públicos.
Por su parte, el artículo
22 de la LPD de CABA, al designar como organismo de control a la
Defensoría del Pueblo le confiere unas atribuciones específicas sobre la
protección de los datos personales, aparte de las funciones
constitucionales previstas en el transcrito artículo.
Estas funciones son: (i)
Llevar un Registro de los archivos, registros, bases o bancos datos
creados por el Sector Público de la Ciudad de Buenos Aires. A tal fin,
establecerá el procedimiento de inscripción, su contenido, modificación,
cancelación, y la forma en que los ciudadanos podrán presentar sus
reclamos, de conformidad con lo establecido en el art.4 inc.3 de la
presente Ley; (ii) Garantizar el acceso gratuito al público de toda la
información contenida en su Registro;
(iii)
Velar por el cumplimiento de las disposiciones de la presente ley y por
el respeto de los derechos al honor, la autodeterminación informativa y
la intimidad de las personas;
(iv)
Formular advertencias, recomendaciones, recordatorios y propuestas a los
responsables, usuarios y encargados de archivos, registros, bases o
bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los
efectos de lograr una completa adecuación y cumplimiento a los
principios contenidos en la presente Ley; (v) Proponer la iniciación de
procedimientos disciplinarios contra quien estime responsable de la
comisión de infracciones al régimen establecido por la presente Ley;
(vi) Recibir denuncias; (vii) Formular denuncias y reclamos judiciales
por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo
estipulado en la presente ley por parte de los responsables, usuarios
y/o encargados de los archivos, registros, bases o bancos de datos del
Sector Público de la Ciudad de Buenos Aires; (viii) Representar a las
personas titulares de los datos, cuando éstos se lo requiriesen, a fin
de hacer efectivo el derecho de acceso, rectificación, supresión y
actualización, cuando correspondiere, por ante el archivo, registro,
base o banco de datos; (ix) Asistir al titular de los datos, cuando éste
se lo requiera, en los juicios que, en virtud de lo establecido en la
presente ley, entable por ante los tribunales de la Ciudad de Buenos
Aires; (x) Elaborar informes sobre los proyectos de Ley de la Ciudad de
Buenos Aires que de alguna forma tengan impacto en el derecho a la
privacidad y protección de los datos personales; (xi) Elevar un informe
anual a la Legislatura sobre el desarrollo de la protección de los datos
personales en la Ciudad de Buenos Aires; (xii) Cuantas otras le sean
atribuidas por normas legales o reglamentarias.
Por su parte, el Decreto 1914 de 29 de diciembre de 2006, vetó las
siguientes funciones: (i) Autorizar y habilitar la creación, uso y
funcionamiento de los archivos, registros, bases y bancos de datos
personales del Sector Público de la Ciudad de Buenos Aires de
conformidad con lo preceptuado en la presente ley; (ii) Establecer los
requisitos y procedimientos que deberán cumplimentar los archivos,
registros, bases o bancos de datos del Sector Público de la Ciudad de
Buenos Aires relativos al proceso de recolección de datos, diseño
general del sistema, incluyendo los mecanismos de seguridad y control
necesarios, equipamiento técnico, mecanismos adoptados para garantizar
los derechos de acceso, supresión, rectificación y actualización así
como demás extremos pertinentes; (iii) Colaborar con la Dirección
Nacional de Protección de Datos Personales y con los correspondientes
organismos de control provinciales en cuantas acciones y actividades
sean necesarias para aumentar el nivel de protección de los datos
personales en el Sector Público de la Ciudad de Buenos Aires.
Estas funciones vetadas a la Defensoría del pueblo corresponden a los
incisos 2º, 3º y penúltimo del artículo 22 de la LPD de CABA. Las
razones jurídico constitucionales que suministra el Decreto 1914 para el
veto, estriban en explicar que la Defensoría del Pueblo si bien es un
organismo de control (no ejecutivo ni reglamentario) que no pertenece a
las tres ramas del poder público, tiene su autonomía funcional y
autarquía financiera y no recibe de instrucciones de ninguna autoridad.
Además, se considera:
a)
Que la gestión de gobierno en general hace indispensable la
utilización de herramientas registrales o de bases de datos conforme lo
permite el desarrollo tecnológico alcanzado, por lo que buena parte del
instrumental que utilizan los tres poderes de Gobierno se nutre de la
generación de bases de datos que, compartiendo con el espíritu de la
ley, necesariamente deben ser controladas para evitar un avance estatal
sobre la privacidad y derechos que la Constitución de la Ciudad
garantiza a las personas que habitan en nuestro territorio,
independientemente de la protección que otorga la Constitución y Ley
Nacional;
b)
Que no obstante lo expuesto, del análisis de los párrafos 2°, 3°
y penúltimo del referido artículo se advierte que la norma ha conferido
a la Defensoría del Pueblo de la Ciudad de Buenos Aires facultades
propias del Poder Ejecutivo que exceden la natural esfera de control que
debe ejercer el citado organismo, para incursionar en las
correspondientes a la administración activa, relacionadas con la
implementación y ejecución de las políticas gubernamentales;
c)
Que las estipulaciones del mismo, al otorgar facultades
ejecutivas al órgano de control -la Defensoría del Pueblo de la Ciudad
de Buenos Aires-, a través de la creación del Registro de Datos
Personales que funcionaría en su órbita, devienen exorbitantes, toda vez
que el referido registro concentra la capacidad de autorizar y habilitar
la creación, uso y funcionamiento de los archivos, registros, bases y
bancos de datos personales del sector público de la Ciudad;
estableciendo los requisitos y procedimientos que deberán cumplimentar
dichos archivos, registros, bases y bancos de datos personales,
relativos al proceso de recolección de datos, diseño general del
sistema, mecanismos de seguridad y control, etc.;
d)
Que en este aspecto, la ley que se analiza avanza sobre la
competencia natural del órgano ejecutivo, al atribuir a la Defensoría
del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la
normativa reglamentaria, vulnerando de esta manera flagrantemente lo
normado por el art. 102 de la Constitución de la Ciudad de Buenos Aires,
que ha otorgado en forma expresa dicha atribución al Poder Ejecutivo;
e)
Que según surge del artículo referido el registro que se crea, no
sólo determinaría eventualmente qué conformación técnica deberían tener
los registros o bases de datos del sector público de la Ciudad, sino que
además debería habilitar su funcionamiento;
f)
Que de no observarse el artículo 23 en los párrafos señalados, la
Defensoría del Pueblo debería autorizar, sólo a modo de ejemplo el
funcionamiento de las constancias de datos del Padrón de Contribuyentes
y el Registro de Contribuyentes de la Dirección General de Rentas, las
bases de prestatarios de servicios de taxis y remises; el Sistema de
Seguimiento de Juicios de la Procuración General (SISEJ); las bases de
permisionarios en cementerios; el Registro Único de Proveedores (RUP),
todas las bases de datos del Registro Civil, el sistema único de mesa de
entradas (SUME), etc.;
g)
Que ello implicaría supeditar todo el funcionamiento de la
administración a la autorización de un órgano de control independiente,
la Defensoría del Pueblo;
h)
Que si bien se comparte el espíritu de la ley sancionada, en
cuanto al necesario control que debe instrumentarse en esta materia
sobre la actividad administrativa del subsector estatal, e
independientemente del poder de gobierno que esté a cargo de su
implementación, corresponde señalar que tanto la actividad de
reglamentación del sistema, como la de habilitación de los registros o
bases, atribuida a un "Registro" creado en la órbita de la Defensoría
del Pueblo, podría subvertir el orden constitucional.
Sin embargo, la Defensoría del Pueblo, a tenor del artículo 24 de la LPD
de CABA, está habilitada,
ante el pedido de un interesado o de oficio ante la sospecha de una
ilegalidad, a verificar el cumplimiento de las disposiciones legales y
reglamentarias en orden a cada una de las siguientes etapas del uso y
aprovechamiento de datos personales: (i) legalidad de la recolección o
toma de información personal;
(ii)
legalidad en el intercambio de datos y en la transmisión a terceros o en
la interrelación entre ellos; (iii) legalidad en la cesión propiamente
dicha; y,
(iv)
legalidad de los mecanismos de control interno y externo del archivo,
registro, base o banco de datos.
Todo lo anterior, por
cuanto toda
persona podrá conocer la existencia de archivos, registros, bases o
bancos de datos personales, su finalidad, la identidad y domicilio del
responsable, destinatarios y categorías de destinatarios, condiciones de
organización, funcionamiento, procedimientos aplicables, normas de
seguridad, garantías para el ejercicio de los derechos del titular de
los datos así como toda otra información registrada.
2.2.2.2.
Infracciones y Sanciones en el tratamiento de datos
A tenor del artículo 25 de la LPD de CABA, se consideran infracciones en
el tratamiento de los datos personales, las siguientes de carácter
administrativo:
1)
Realizar el tratamiento de datos desconociendo los principios
rectores del tratamiento, ut supra analizados en la Ley de Protección de
Datos Argentina, que son los mismos de la presente ley, artículos 6º a
12º .
2)
Incumplir las obligaciones de confidencialidad, seguridad,
obligaciones del responsable del banco de datos, obligaciones del
encargado del tratamiento de datos, obligaciones del usuario y
valoraciones (artículos 16 a 21 de la ley)
3)
No proceder a solicitud del titular de los datos, o del Organismo
de Control a la supresión, rectificación y actualización de los datos
personales en los supuestos, tiempo y forma establecidos en esta ley.
4)
Obstaculizar o impedir el derecho de acceso reconocido en esta
ley al titular o al Organismo de Control en los supuestos, tiempo y
forma que la misma estipula.
5)
Ceder datos personales en infracción a los requisitos que se
establecen en el artículo 10º de la LPD de CABA.
6)
Crear archivos, registros, bases o bancos de datos, ponerlos en
funcionamiento y/o iniciar el tratamiento de datos personales sin el
cumplimiento de los requisitos establecidos en la LPD de CABA.
7)
No cumplimentar los demás extremos o requisitos que esta ley
establece, así como aquellos que el organismo de control establezca en
ejercicio de su competencia.
8)
Obstruir las funciones que la LPD de CABA, le reconocen al
organismo de control.
9)
Tratar los datos de carácter personal de un modo que lesione,
violente o desconozca los derechos a la privacidad, autodeterminación
informativa, imagen, identidad, honor así como cualquier otro derecho de
que sean titulares las personas físicas o de existencia ideal.
Estas sanciones, serán aplicadas de conformidad
con las condiciones y procedimientos que al efecto se establezca
en la reglamentación a la LPD de CABA. Dichas infracciones
deberán graduarse en relación a
la gravedad y extensión de la violación y de los perjuicios derivados de
la infracción, garantizando el principio del debido proceso.
Por su parte, el artículo 26 de la LPD de CABA, establece un régimen
sancionador correctivo y preventivo de carácter administrativo, cuando
se constituya una de las infracciones anteriormente enlistadas.
Como régimen general de responsabilidad se establece que los
responsables, usuarios, encargados o cesionarios de archivos, registros,
bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires
que en forma arbitraria obstruyan el ejercicio de los derechos que la
presente ley le reconoce a los ciudadanos serán considerados incursos en
falta grave.
Consecuentemente, el régimen sancionatorio administrativo
correspondiente deviene de la comisión de alguna de las infracciones
tanto previstas en el LPD de CABA, como en las previstas en la Ley de
Protección de Datos de Argentina (Ley 25.326). Esto sin perjuicios de
las responsabilidades administrativas, por daños y perjuicios y/o de las
sanciones penales que pudieran corresponder, el organismo de control
dictará resolución recomendando al órgano del cual dependa
jerárquicamente el archivo, registro, base o banco de datos en el que se
hubiera verificado la infracción: (i) La adopción de las medidas que
proceda adoptar para que cesen o se corrijan los efectos de la
infracción. Dicha resolución se comunicará al responsable del archivo,
registro, base o banco de datos, al órgano del cual dependa
jerárquicamente, al titular del dato y, cuando corresponda, a los
encargados del tratamiento y cesionarios de los datos personales; y (ii)
La aplicación de las pertinentes sanciones administrativas a los
responsables de la infracción individualizando al responsable, los
hechos y los perjudicados.
Si el que comete la infracción a la LPD de CABA, es un tercero encargado
de realizar tratamientos de datos personales en virtud a un contrato
celebrado de acuerdo a lo previsto por el art. 5º de la LPD de CABA
[14],
de acuerdo al tipo de infracción de que se trate, serán de aplicación
con respecto al contratista infractor, las sanciones establecidas por la
Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones.
Finalmente, aclara la LPD de CABA, que cumplida la recomendación del
Organismo de Control, el Poder Ejecutivo deberá abrir un sumario
administrativo para determinar si existió o no una infracción a la
presente ley y dicha conclusión deberá ser informada a la Defensoría del
Pueblo.
En los eventos constitutivos de
infracción 5º y 6º,
anteriormente relacionados (sobre cesión de datos y creación de bases de
datos sin requisitos legales), según el artículo 27 de LPD de CABA,
el organismo de control podrá requerir al órgano del cual dependa
jerárquicamente el archivo, registro, base o banco de datos en el que se
hubiera cometido la infracción, la cesación en la utilización o cesión
ilícita de los datos personales y, en caso de corresponder,
la inmovilización del archivo,
registro, base o banco de datos hasta tanto se restablezcan los
derechos de los titulares de datos afectados.
Esta inmovilización de bases de datos, técnica y jurídicamente
constituye una especie de medida cautelar que podrá ser adoptada por el
organismo de control del cual dependa jerárquicamente el administrador o
responsable del banco de datos.
2.3.
La Ley de
protección de los datos personales de la
Provincia de Neuquen
Mediante la Ley No. 2.307 de 7 de Diciembre de 1999, se regula el
“Régimen de la Acción de Hábeas
Data” en
la Provincia Argentina de Neuquen. Ley fue promulgada el 30 de Diciembre
de 1999 y se publicó el 4 de febrero de 2000, fecha en la cual entró en
vigencia
2.3.1. Estructura
formal de la ley
El Régimen jurídico de la Acción de Hábeas Data, como intitula la ley,
se halla reglamentado a nivel provincial, haciendo énfasis en
el objeto primordial de la ley,
por el cual sostiene que la acción de hábeas data procederá cuando se
requiera conocer los datos de una persona que consten en forma de
registro, archivo o banco de datos de organismos públicos o privados
destinados a proveer informes, como así también para conocer la
finalidad a que se destina esa información, si ha sido comunicada a
terceros, a quiénes y a qué efectos y para requerir su ratificación,
actualización o cancelación.
Asimismo, procederá contra la inclusión de aquellos datos que tiendan a
discriminar a
las
_________________________
La ley utiliza una estructura normativa de intitulado
de normas, sin dividir o subdividirla en Libros, Títulos,
Capítulos, como lo hacen las leyes de la República Argentina y la de
Ciudad de Buenos Aires, sobre la protección de datos personales.
Están legitimados para ejercitar la acción de Hábeas Data, toda persona
física o jurídica (artículo 2º), y es competente para conocerla todo
Juez Civil del lugar donde se encuentre el banco de datos (artículo 3º),
previa intimación al responsable del banco podrá accionarse ante el Juez
(artículo 4º). El requirente estará asistido de asesores técnicos o
jurídicos (artículo 5º), se entenderá silencio del requerido, si no
contesta en el plazo de 5 días, si es persona privada, o 15 días si es
persona pública (artículo 6º).
La acción se interpone dentro de los 60 días siguientes a la
notificación de la negativa del responsable del banco de datos (artículo
7º). El trámite es el previsto en la ley y supletoriamente en el proceso
“sumarísimo” del Código de procedimiento civil y comercial (artículo
8º). La demanda reúne unos requisitos formales mínimos (artículo 9º). A
petición de parte o de oficio, pueden adoptarse medidas cautelares como
la no publicación o cesión de datos a terceros, mientras se tramite el
proceso (artículo 10º). Se puede ampliar la demanda en cualquier momento
del proceso (artículo 11º). Se da traslado de la “acción” al demandado
por 5 días (persona privada), o 10 días si es pública
par que conteste (artículo 12º). Se abre a prueba el asunto por
un término prudente, sino es de puro derecho (artículo 13º).
Sin necesidad de alegatos previos, se produce la sentencia
(artículo 14º). Se impondrá costas al vencido en el proceso (artículo
17º)
Dentro de los dos días hábiles de notificación de la sentencia o
resolución de medidas cautelares se podrá interponer el recurso de
apelación, según el C.P.C. y Co. (artículo 15º).
La acción de habeas data deja subsistente las demás acciones pertinentes
que quepan en estos casos (artículo 16º). Está exenta de tributo alguno
y de sellado (artículo 18º)
2.3.2. Breves
comentarios a la ley
El legislador provincial de Argentina haciendo uso de la reserva de ley
para regular materias de ámbito nacional en todo aquello que no ha sido
objeto de regulación integral, o mejor aún que no esté reglamentado en
forma clara, amplia o pertinente, expidió la Ley 2307 de Diciembre 7 de
1999, relativa al régimen de la acción de Hábeas Data en la provincia de
Neuquen.
Efectivamente el legislador provincial entiende que la parte sustantiva
de la Ley No. 23.326 de 2000, de Protección de datos de Argentina es
amplio, claro y suficiente, sobre todo en el campo de aplicación de la
ley a los titulares, usuarios y responsables o administradores de los
archivos, registros o bancos de datos personales tanto los de
titularidad privada como los de titularidad pública. Así mismo, lo
referente al objeto y finalidades de la ley, como también a la
infaltable relación de definiciones o conceptos utilizados en el
tratamiento de datos personales y para conseguir un mejor entendimiento
del objeto y fines de ley especial sobre datos o informaciones de la
persona humana. Definiciones cerradas, técnica y jurídicamente
comprensibles sobre Datos personales, datos sensibles; Archivo,
registro, base o banco de datos; tratamiento de datos, responsable del
banco de datos, datos informatizados, titular de los datos, Usuario de
los datos y disociación de datos.
Igualmente, entiende el legislador provincial que es materia
omni-comprensible lo atinente a los principios generales que deben
observar quienes son sujetos destinatarios de la ley en todo tratamiento
o procesamiento de datos personales de carácter público o de carácter
privado. Principios que permean no solo el tratamiento propiamente dicho
de los datos personales, sino todas las fases del tratamiento de datos
(recolección, selección, almacenamiento y comunicación
[15]),
como sostuvimos en la segunda parte de este ensayo jurídico. Esos
principios son: (i) Calidad de los datos, (ii) Consentimiento, (iii)
Deber de ser informado, (iv) categorización de datos, (v) Datos
relativos a la salud, (vi) Seguridad
de Datos, (vii) Cesión de datos, (viii) Transferencia internacional de
datos.
La ley provincial de Neuquen se dedica a puntualizar aspectos
procedimentales de la protección de datos personales, pues desde su
intitulado clara e inequívocamente hace relación al régimen de la Acción
de Hábeas Data y comienza por exponer el objeto de aquella, al exponer
que ésta solo cabe en dos oportunidades: (i) Cuando se trata de la
aprehensión y conocimiento de los datos del concernido y almacenadas en
los bancos de datos públicos o privados; y (ii) Cuando el concernido, ha
conocido previamente que los datos o informaciones almacenadas en un
banco de datos público son inexactas, faltas o no conformes al
ordenamiento jurídico, podrá ejercitar las facultades del Hábeas Data de
rectificación, actualización y supresión de los datos.
La ley procesal de Hábeas Data de Neuquen a partir del artículo 2º hasta
el 19º, puntualiza aspectos procedimentales del proceso “sumarísimo”
originado en la acción de Hábeas Data, más desde el punto de vista de
los breves lapsos de tiempo de cada una de las etapas jurisdiccionales
(Etapas normales de: La litis contestatio: demanda y contestación; etapa
probatoria, y etapa de juzgamiento, y la etapa contingente de “medidas
cautelares”) desarrolladas por el Juez civil del lugar donde se halle el
banco de datos, que desde la reestructuración del proceso mismo, pues
como lo sostiene la ley comentada, supletoriamente se aplica al proceso
de Hábeas Data, las reglas y etapas del proceso “sumarísimo”
previsto en el Código Procesal Civil y Comercial argentino.
Los brevísimos términos jurídicos que se establecen para cada etapa
procesal comulgan con el espíritu, objeto y finalidades de la ley sobre
datos personales tratados o informatizados en bancos de carácter público
y privado; así como la efectividad, agilidad y pertinencia de las
facultades inherentes al Hábeas Data ejercitadas por el concernido con
las informaciones o datos personales. Este avenimiento de términos
procesales es concordante con la actividad jurisdiccional que
preferentemente avoca el conocimiento de esta clase de procesos en el
cual se le suministra un margen de discrecionalidad temporal para la
determinación de la etapa probatoria, así como un compás de
discrecionalidad funcional para adoptar o no medidas cautelares en el
proceso.
Las medidas cautelares en todo proceso jurisdiccional o administrativo, como mecanismos procesales que persiguen garantizar la terminación efectiva del proceso mediante sentencia, así como tutelar preventiva y realmente los derechos del demandante o titular de unos derechos o intereses jurídicos pendientes de decisión definitiva, pueden ser adoptadas a instancia de parte o ex officio por parte de la autoridad judicial o administrativa [16]. En el proceso originado por la acción de Hábeas Data, el juez dispone de la facultad discrecional de adoptar medidas cautelares en el proceso, si previamente no han sido solicitadas por el demandante o interesado. Al respecto, cabe exaltar la labor del legislador de Neuquen, porque efectiva
__________________________
(16)
Vid. RIASCOS GOMEZ, Libardo O.
Las medidas cautelares en el
procedimiento administrativo. Tesis doctoral, Universidad de
Navarra, Pamplona (España), p. 430 y ss.
y precautelativamente se tutela los derechos del concernido con los
datos o también demandante
en el proceso de Hábeas data, porque a pesar de ser un proceso brevísimo
en trámites y términos procesales, la instauración de medidas cautelares
precave daños y perjuicios mayores, suspende los que se estuvieren
produciendo en menor escala o mejor aún, evita que pudieran producirse
si el proceso “sumarísimo” demore más de lo debido y por diferentes
razones aún las no imputables a las partes o al juez.
El Juez, a instancia de parte o de oficio, una vez
presentada la demanda y en cualquier estado del proceso,
podrá decretar
precautelarmente medidas de no innovar a efectos que el demandado se
abstenga de realizar publicidad o cesión de los datos a terceros; así
como también, si procede, disponer el secuestro de los elementos que
contengan la información hasta la terminación del proceso. Estas medidas
cautelares documentales materiales de publicitación, comunicación y
aprehensión de datos o informaciones personales buscan garantizar
cautelar y eficazmente los derechos del concernido o titular de los
derechos sobre los datos recabados en bancos de datos públicos y
privados mientras dura el proceso (pendentia
litis) y hasta su terminación efectiva mediante sentencia.
La Sentencia pronunciada por el Juez, en esta clase de procesos, se
expedirá dentro del plazo de cinco (5) días de permanencia del
expediente en el despacho judicial. La sentencia que admita las
pretensiones del demandante, “librará el respectivo mandamiento que
dispondrá: (i) la expresión concreta del particular, sea persona física
o jurídica, o de la autoridad estatal a quien se dirija y con respecto a
cuyos registros, archivo banco de datos se ha concedido la acción, (ii)
la determinación precisa de lo que debe o no hacerse; y (ii) el plazo
para su cumplimiento, que no podrá excederse de cuarenta y ocho (48)
horas.
Vale decir, que el Juez en principio, deberá declarar e identificar
inequívocamente al legitimado por pasiva: el usuario o al responsable
del banco de datos, bien sea público o privado; y también, al legitimado
por activa que será toda persona titular de un derecho o interés
jurídico sobre los datos o informaciones que a él le conciernen, a
efectos de viabilidad, pertinencia y declaratoria de derechos en el
proceso originado por la acción de Hábeas Data. Así mismo, determinará a
manera de condena, las actividades de hacer y no hacer respecto de los
datos personales cautelados, y finalmente, ordena el cumplimiento de la
determinación activa u omisiva en un lapso brevísimo de 48 horas, por
parte de la autoridad, entidad u organismo del Estado, o de la persona
privada, según fuere procedente y de conformidad con la sentencia.
3.
EL HABEAS DATA EN LA LEY
PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER
PERSONAL DE CHILE
3.1.
Notas preliminares: “The right to
privacy”
Mediante la Ley No. 19.628 de Agosto 28 de 1999, el legislador del
Estado Chileno expidió la “Ley
sobre Protección de la vida privada o protección de datos de carácter
personal”
[17],
en la cual se desarrolla y reglamenta el Hábeas Data, con el propósito
central de proteger y garantizar a todas las personas el derecho a la
intimidad personal y familiar o en términos de la primera etapa de
regulación normativa del derecho europeo insular y anglosajón:
The right to privacy. Derecho
a la privacidad o vida privada que luego se trasladó a las leyes de
protección de datos de la Europa continental, especialmente Francesa,
Italiana, portuguesa y española. Sólo hasta la expedición de las
Directivas Europeas de protección de los datos de carácter personal,
Números 95/46/CE y 97/66/CE, se sustituyó el término de privacidad por
el de derecho a la intimidad de las personas.
__________________________
(17)
Texto completo de la ley En:
http://www.sernac.cl/leyes/
En el derecho latinoamericano, aún hace tránsito en las diferentes
legislaciones, incluida la Chilena el término
ius civilista del derecho a
la privacidad, como un derecho personalísimo de todo ser humano que
hunde sus raíces históricas en el trabajo doctrinal de los juristas
norteamericanos
Warren and Brandeis, quienes
para estructurar The right to
privacy, parten del análisis de uno de los fundamentales principios
del Common Law, que sostiene:
todo individuo debe gozar de
total protección en su persona y en sus bienes. Así mismo, los
juristas de la época se preguntaron si existía o no un principio common
law que permita invocarse para amparar la
privacy, y en tal virtud
analizan estos aspectos: (i) La evolución de la concepción jurídica,
efectos y alcances de los derechos a la vida, la libertad y la propiedad
de todas las personas; (ii) La sentencia del Juez Cooley (1888), sobre
el denominado derecho “a no ser molestado” –The
right to be alone--, cuando se invaden
“los sagrados recintos de la vida privada y hogareña”, con la toma
de fotografías por parte de empresas periodísticas sin el consentimiento
de los fotografiados; y (iii) El escrito de
El Godkin, sobre “The rights of
the cittizen: to his reputatation” de junio de 1890, en donde se
evidencia el peligro de una invasión de la privacidad por parte de los
periódicos de la época, sobre todo, cuando se hacía comentarios sobre la
vida personal y familiar del ciudadano Warren en detrimento de su
reputación, poniéndolo “en ridículo” ante la sociedad o violando en
términos más recientes, “su intimidad legal”
[18].
Es clásica la distinción entre el término privacidad y el concepto
intimidad, que salió a relucir en la Exposición de Motivos de la LORTAD
de 1992
[19],
más no en el contenido normativo de la misma, que siempre se refirió al
derecho a la intimidad, tal como la Constitución Española de 1978, lo
había hecho en su momento en el artículo 18-4. Hoy por hoy, la discusión
es bizantina, pues el término privacidad ha quedado subsumido en una de
las esferas más lejanas al núcleo del derecho a la intimidad.
En su momento, la doctrina ibérica dominante evidenció la
distinción y su poca utilidad a los efectos de la protección y garantía
de un derecho fundamental de la persona humana, como lo era la intimidad
y dentro de la cual se hallaba la concepción civilista de la privacidad
(entre otros: González Navarro,
González Pérez, García de Enterría, Entrena Cuesta). La E.M., de la
LORTAD sostenía en uno de sus apartes: “Nótese
que se habla de la privacidad y no de la intimidad. Aquella es más
amplia que ésta, pues en tanto la intimidad protege la esfera en que se
desarrollan las facetas más singularmente reservadas de la vida de la
persona –el domicilio donde realiza su vida cotidiana, las
comunicaciones en las que se expresa sus sentimientos, por ejemplo-- ,
la privacidad constituye un conjunto, más amplio, más global, de facetas
de la personalidad que aisladamente consideradas, pueden carecer de
significación intrínseca pero que, coherentemente enlazadas entre sí,
arrojan como precipitado un retrato de la personalidad del individuo que
éste tiene derecho a mantener reservado”.
La ley de protección de los datos chilena, haciendo eco a esa primera
etapa del derecho europeo en las que surgimiento la mayoría de las leyes
de ese tipo, recogió el término de la vida privada y la privacidad como
eje fundamental de su protección y garantía, y quizá por ello es la
única a nivel latinoamericano, hasta el momento que intituló su ley con
ese sello inconfundible de la
protección a la vida privada, aunque en los actuales momentos debemos
entender que se refiere al derecho a la intimidad, ya no solo personal
sino también de carácter familiar, pues la evolución de la institución
The privacy lleva más de un
siglo.
________________________
(19) E.M.
LORTAD de 1992. AA.VV.
Colección de discos compactos de
Aranzadi. Ed.
Aranzadi, Pamplona, 1997.
3.2.
Estructura formal de la ley
La Ley No. 19.628 de 28 de Agosto de 1998, “sobre protección a la vida
privada o protección de los datos de carácter personal”, está dividida
en Títulos y artículos; artículos extensos sin titulación alguna y algo
confusos en el contenido y redacción para un iniciado en derecho
informático. La estructura es la siguiente:
Un Título Preliminar,
relativo a las “Disposiciones
Generales”, artículos 1º a 3º, en los cuales se describe el
objeto, campo de aplicación,
algunas definiciones técnico-jurídicas de uso corriente en el
contexto de la norma, tales como: (i) Almacenamiento de datos;
(ii) Bloqueo de datos; (iii)
Comunicación o transmisión de datos;
(iv) Dato caduco; (v)
Dato estadístico; (vi)
Datos de carácter personal o datos personales; (viii) Datos sensibles,
(ix) Eliminación o
cancelación de datos; (x) Fuentes accesibles al público; (xi)
Modificación de datos; (xii) Organismos públicos, las autoridades,
órganos del Estado y organismos; (xiii) Procedimiento de disociación de
datos; (xiv) Registro o banco de datos; (xv) Responsable del registro o
banco de datos; (xvi) Titular de los datos; (xvii) Tratamiento de datos.
En el extenso titulo preliminar, también se hace referencia a la
recolección de datos con objetivo de publicidad, censos promocionales o
“sondeos de opinión pública”, los que se advierte serán obligatorios o
facultativos previo información, comunicación o notificación a los
encuestados, preguntados o consultados. Deja a salvo los derechos de los
titulares de esos datos y su derecho a la oposición, tanto en
recolección como en la comunicación de los mismos.
El Título I,
concerniente a “la utilización
de datos personales”,
se trata en los artículos 4º a 11º.
En estos se hace referencia al tratamiento y recolección de
datos, al consentimiento por escrito requerido para ello, la
revocabilidad de la autorización, la no exigencia del consentimiento
para algunos tratamientos de datos (artículo 4º); requisitos para el
tratamiento de datos a través de la comunicación o medios TIC (“Red
electrónica”). No aplicabilidad a los datos accesibles al público
(artículo 5º); sobre la
eliminación, cancelación y bloqueo de datos personales (artículo 6º);
Deber de secreto de los responsables de los bancos de datos (artículo
7º); Tratamiento de datos por “mandato escrito”--memorial poder--
(artículo 8º); Utilización de los datos para los fines previstos, salvo
los de fuentes de acceso al público (artículo 9º); No son objeto de
tratamiento los datos sensibles, salvo lo dispuesto en la ley o con el
consentimiento del titular (artículo 10º); Diligencia de “cuidado” o
conservación de los datos por los responsables de los bancos de datos
(artículo 11º ).
El Título II, relativo a “los
derechos de los titulares de datos”, se desarrolla en los
artículos 12º a 16º. Derecho a la información que tiene toda persona,
así como el derecho a la “modificación”, si los datos son inexactos,
erróneos, equívocos o incompletos. Así mismo a la eliminación,
cancelación y bloqueo de datos (artículo 12º); Los anteriores derechos
no pueden limitarse por acto o convención alguna (artículo 13º); derecho
acceso al banco de datos administrado por diferentes organismos
(artículo 14º); Excepciones a los derechos de información, acceso,
eliminación o cancelación por tratarse de actividades fiscalizadoras del
Estado, por seguridad o interés nacionales (artículo 15º); Acción y
procedimiento de amparo ante las autoridades judiciales civiles
competente, tras la negativa a contestar la petición de la información,
la cancelación, el acceso o la eliminación de datos (artículo 16º).
El Título III, concerniente a “la
utilización de datos personales relativos a obligaciones de carácter
económico, financiero, bancario o comercial”, está contenido en
los artículos 17 a 19. Deber de información de los responsables de los
bancos de datos financieros a los usuarios o titulares, siempre que
consten en títulos valores, documentos o contratos y éstos contengan
obligaciones claras, expresas y exigibles (artículo 17º); No se podrá
comunicar datos transcurridos 7 años después de haber sido exigible una
obligación o 3 años después de haber ocurrido su pago o extinción por
otro modo (artículo 18º); Caducidad de los datos (artículo 19º).
El Título IV, relativo al “tratamiento
de datos por organismos públicos”, se desarrolla en los
artículos 20º al 22º. El
tratamiento de datos por organismos públicos se hace conforme a la ley y
no requiere el consentimiento del particular (artículo 20º); No se
podrán comunicar datos relativos a la condena por delitos, infracciones
administrativas o faltas disciplinarias, salvo que estuviese prescrita
la acción o la pena (artículo 21º);
El Servicio de Registro Civil e Identificación llevará un registro de
los bancos de datos personales a cargo de organismos públicos (artículo
22º).
El Título V,
concerniente a “la
responsabilidad por las infracciones a esta ley”.
En el artículo 23, se reglamenta la responsabilidad por el daño moral y
material devenida del indebido uso de los bancos de datos por parte de
los destinatarios de la ley (usuarios y responsables de los bancos de
datos), sin perjuicio de la responsabilidad administrativa,
disciplinaria o penal a que hubiere lugar.
En las “Disposiciones
Transitorias”, se aclara que: (i)
Los titulares de los datos personales registrados en bancos de datos
creados con anterioridad a la entrada en vigencia de la presente ley
tendrán los derechos que ésta les confiere; y (ii) Las normas que
regulan el Boletín de Informaciones Comerciales creado por el decreto
supremo de Hacienda Nº 950, de 1928, seguirán aplicándose en todo lo que
no sean contrarias a las disposiciones de esta ley.
3.3.
Breves comentarios a la
LPVP o PDP
La ley
“sobre Protección de la vida privada o protección de
datos de carácter personal”
de 1998 o
LPVP o PDP Chilena, desde su intitulado no se matricula en una escuela,
doctrina o modelo de ley relativa a la reglamentación del Hábeas Data.
Ni siquiera esta denominación se halla presente en el contexto de la
ley, como tampoco, y esto sí es paradójico, la expresión “vida privada”,
“privacidad” o su homónimo contemporáneo: “La intimidad”, que el objeto
de tutela jurídica según el intitulado de la ley no se halla en la parte
normativa de la ley en forma expresa.
Por la deficiente redacción de la ley de protección de datos Chilena, no
podemos encuadrarla en el modelo europeo continental o insular o propio
latinoamericano, pues hay de todos un poco y nada exclusivamente de
alguno de ellos. En momentos parecería seguir el modelo europeo
continental, pues tiene elementos constitutivos de aquél, cuando acoge
el sistema de definiciones técnico-jurídicas aplicables al tratamiento
de datos, pero se aleja de éste, cuando no menciona en el título
preliminar, los principios rectores de todo tratamiento (electrónico o
manual) de datos personales, aunque en el contexto de las normas
reiteradamente se refiere al “consentimiento” que lo asimila a la
“autorización por escrito” dada por el titular de los datos; así como
también, a la calidad de los datos, a la licitud, al secreto y la
confidencialidad, a la categoría de datos (generales, especiales y
sensibles), seguridad y comunicabilidad de los datos, entre otros, sin
decir expresamente que son principios del tratamiento de datos, sino que
implícitamente hacen parte de la redacción de la norma.
3.3.1. Objeto de la
LPVP o PDP
A tenor del artículo 1º de la LPVP o PDP Chilena de 1998, tendrá por
objeto regular todo
tratamiento de datos de carácter personal
que se recaben “en
registros o bancos de datos por
organismos públicos o por particulares”, se exceptúan
aquellos “que se efectúe en
ejercicio de las libertades de emitir opinión y de informar, el que se
regulará por la ley a que
se refiere el artículo 19, Nº 12, de la Constitución Política” de
1980, es decir, aquellas referidas a la libertad de expresión o a la
libertad de prensa, pues del contenido de la norma constitucional citada
devela aquellas libertades inmersas dentro de las de emitir opiniones y
la de información, al expresamente mencionar los derechos, deberes y
responsabilidades de los diferentes medios de comunicación (radio,
televisión, periódicos, revistas, etc.,)
En ejercicio de la LPVP o PDP Chilena, toda persona “puede
efectuar el tratamiento de datos personales”, cuando la norma
debería sostener que a través de todo tratamiento de datos se protege y
garantiza “el pleno ejercicio de
los derechos fundamentales de los titulares de los datos y de las
facultades que esta ley les reconoce”, pues el titular de los
datos o informaciones personales en principio es el sujeto principal de
la protección y garantía de sus derechos y libertades, y aunque éste
también tenga deberes constitucionales y legales no solo para con el
tratamiento de datos sino para el derecho de los demás, el no abuso de
los derechos y libertades propias, el Estado tiene como finalidad
primera la protección y garantía de los derechos fundamentales a toda
persona, natural o jurídica, nacionales o extranjeros, residentes o
transeúntes.
Aunque se ha hecho un común denominador de todas la leyes de protección
de datos de carácter personal el que se manifieste que la norma se
expide para restringir o limitar el abuso del “poder informático”
utilizado por las nuevas tecnologías de la información y la comunicación
(TIC) y la informática, de cara a proteger expresos derechos
constitucionales como la Intimidad, la honra, el honor, la buena imagen,
la voz, la buena reputación, etc., la LPVP o PDP Chilena, a pesar de
exponer en su intitulado la protección genérica de la “vida privada”, en
éste punto de objeto de la ley no se manifiesta ni sobre su único
objetivo de tutela constitucional, ni menos sobre el común denominador
de derechos protegidos por las leyes de datos personales. Quizá
interpretando los términos: “el pleno ejercicio de los derechos
fundamentales de los titulares de los datos” que trae la
LPVP o PDP Chilena que relaciona en la parte
in fine del artículo 1º, que
es de idéntico tenor al artículo 18-4 de la Constitución Española,
podemos deducir, que genéricamente se halla protegida la vida privada y
los demás derechos constitucionales mencionados. Por su parte, el
artículo 19-4 de la Constitución Chilena de 1980, asegura la protección
a toda persona de la “vida privada y pública”, lo cual ratifica que por
vía de interpretación sistemática se entienden tutelados los derechos
fundamentales de la persona humana incluida la “vida privada” en
concepto de las normas chilenas.
Objeto de especial atención le dedica la LPVP o PDP Chilena, a la
información recabada por medio de encuestas, “estudios
de mercado o sondeo de opinión pública u otros instrumentos semejantes”,
según el artículo 3º de la mencionada ley, pues dedica a éstas un
reforzado cuadro de protección, al establecer por un lado, el derecho de
toda persona involucrada en esta clase de tratamiento de datos
personales en la fase de
recolección, a ser informado sobre el carácter obligatorio o facultativo
de las respuestas; y por otro lado, deberá manifestarse inequívocamente,
“el propósito para el cual se
está solicitando la información”. Y
además, por si fuera poco, deberá: (i) omitir las señas que puedan
permitir la identificación de las personas consultadas, cuando se
comuniquen los resultados de los instrumentos de encuesta, estudio,
sondeo o semejantes; y, (ii)
tener en cuenta que el
titular puede oponerse a la utilización de sus datos personales
con fines de publicidad, investigación
de mercado o encuestas de opinión.
En el tratamiento de datos personales, la LPVP o PDP Chilena, establece
como regla general el consentimiento de la persona para poder
efectuarlo. Ese consentimiento o “autorización” deberá constar por
escrito, aunque podrá ser revocado, sin efecto retroactivo o
ex nunc, pero en todo caso la
revocatoria también constará por escrito.
Por excepción, según el artículo 4º de la mencionada ley, no se requiere
autorización para aquel tratamiento de datos personales, en los
siguientes casos: (i) cuando los
datos que se recolecten provengan de fuentes accesibles al público; (ii)
cuando sean de carácter económico, financiero, bancario o comercial;
(iii) cuando se hallen en listas que sólo contengan la pertenencia de
una persona a un grupo determinado, su profesión o actividad, sus
títulos académicos, dirección o fecha de nacimiento; (iv) cuando sean
necesarios para comunicaciones comerciales de respuesta directa o
comercialización o venta directa de bienes o servicios; (v) cuando “el
tratamiento de datos personales que realicen personas jurídicas privadas
para el, uso exclusivo suyo (sic),
de sus asociados y de las entidades a que están (sic)
afiliadas, con fines estadísticos, de tarificación u otros de beneficio
general de aquellos”.
3.3.2. Demasiadas
definiciones técnico-jurídicas del tratamiento de datos
Si bien es una constante las definiciones de términos técnico-jurídicos
en las leyes de protección de datos o de Hábeas Data, tal como lo hemos
comentados ut supra desde las
legendarias leyes de protección de datos de Alemania y Suiza en la
década de los años setenta del pasado siglo; entre otras razones, porque
este tipo de leyes conjugan aspectos de las tecnologías de la
información y la comunicación (TIC), la informática jurídica
(telemática, telegestión, cibernética y electrónica) y concepciones
jurídicas sustantivas y procedimentales; no es menos cierto que el
legislador deba abusar de ellas en el número y extensión de
conceptualización, como aparece en la LPVP o PDP Chilena de 1998.
Si el propósito primero de
las definiciones técnico-jurídicas de ésta clase de leyes, es aclarar la
utilización y pertinencia de las mismas en el contexto de la ley, así
como precisar conceptualmente cada una de las definiciones suministradas
a fin de evitar confusiones, indebidas interpretaciones o equívocas
aplicaciones por el operador jurídico de la norma, éstos propósitos de
diluyen si se proporcionan demasiadas definiciones y de entre ellas
pudiera presentarse colisiones conceptuales como parece suceder en la
LPVP o PDP Chilena.
En efecto, la ley mencionada define lo que se entiende por dato
personal, dato sensible, dato caduco, dato estadístico.
El dato personal, universalmente se ha entendido como toda información
de la persona humana identificada o individualizada, como identificable.
Esta información sólo se predica de las personas físicas o naturales. Se
infiere entonces, que el titular de los datos, es la persona natural o
física y no es necesario definir como la hace la ley Chilena, al “titular
de los datos”.
La regla general es la información o dato personal. Sin embargo existen,
algunos datos sobre protegidos en la legislación mundial, porque afectan
al núcleo esencial de la intimidad (o privacidad en términos de la Ley
chilena), tales como el origen racial o étnico; tendencias políticas,
religiosas, filosóficas, sindicales; circunstancias especiales de la
salud, la vida sexual, entre otras, que se consideran como datos
sensibles de la persona humana y por ello, los estados potencian los
niveles de protección en estos casos, no permitiendo por ejemplo, la
recolección y tratamiento posterior, libre del consentimiento del
titular de los datos, o más aún está prohibido, aún con el
consentimiento del titular. Como se observa aquí lo importante es
definir que entendemos por consentimiento del titular, más que cuántos
ejemplos podemos dar de datos denominados esenciales como se empeña en
relacionar la Ley Chilena, pues existen legislaciones de protección de
datos, como la española por ejemplo, donde el consentimiento se
convierte no sólo en una simple definición, sino un principio rector del
tratamiento de datos que lo ilumina y determina en todas sus fases. En
la ley Chilena esta definición de consentimiento no aparece expresamente
en el artículo 2º dedicado a las definiciones, pero si se utiliza en
varios artículos de la Ley con el nombre de “autorización del titular”.
En cuanto al dato caduco, definido por la Ley Chilena como aquel “que
ha perdido actualidad por disposición de la ley, por el cumplimiento de
la condición o la
expiración del plazo señalado para su vigencia o, si no hubiere norma
expresa, por el cambio de
los hechos o circunstancias que consigna”, es una construcción que
se originó en la jurisprudencia del Tribunal Constitucional Español y
que ha ido variando con el fortalecimiento de la jurisprudencia, que hoy
considera que los datos no caducan sino que se transforman de positivos
a negativos, o de éstos a neutros, con el simple transcurrir del tiempo.
De otra parte, caducan sólo las acciones o recursos procesales
jurisdiccionales o administrativos por la no utilización de aquellos por
su titular o por quien demuestre interés legítimo dentro de un término
preestablecido por la ley. Por ello, no pueden caducar los datos o
informaciones personales, porque estas
per se son intemporales, el
valor agregado que le damos de ser información positiva, negativa o
neutra a nuestros intereses, tiene una connotación altamente subjetiva
que puede fundarse en intereses financieros, políticos, sociales,
culturales, científicos, etc., aunque en el ámbito de las leyes de
protección de datos siempre se ha hecho énfasis en el valor agregado
estrictamente financiero (económico, comercial, bancario, bursátil,
etc.,), pues es en el ámbito donde más tiene aplicabilidad el concepto
de “caducidad del dato” o “dato caduco”. Más aún, ni siquiera en éste
solo ámbito del valor agregado, las legislaciones universales se han
puesto de acuerdo en qué término exactamente se produce la caducidad del
dato; unas mencionan 3, 5, 7 o 9 años después de cumplida una condición
resolutoria determinada, del pago del crédito, de notificado el
cumplimiento de la obligación, entre otras posibilidades de cumplimiento
o incumplimiento de una obligación económico-jurídica.
En consecuencia, la definición del “dato caduco” al ser altamente
cambiante en la doctrina y la jurisprudencia sobre el tema, no parece
conveniente petrificarla, como se hace en el artículo 2º de la comentada
ley.
Con el dato estadístico, definido por la LPVP o PDP Chilena, como “el
dato que, en su origen, o como consecuencia de su tratamiento, no puede
ser asociado a un titular
identificado o identificable”, resulta pleonástico e innecesario,
pues como la mayoría de leyes de protección de datos del mundo, incluida
la Ley Chilena, definen que debe entenderse como “procedimiento de
disociación de datos” (“todo
tratamiento de datos personales de manera que la
información que se obtenga no pueda asociarse a persona
determinada o indeterminada”) de donde se infiere que el dato
estadístico es un ejemplo de aplicabilidad de dicho procedimiento de
disociación, con lo cual resulta intrascendente pronunciarse nuevamente
cuando ya se ha definido en qué consiste la disociación de datos.
Resulta cuando menos, sorprendente que la Ley Chilena se esmere en
definir el dato estadístico que constituye una excepción a la aplicación
del principio rector del tratamiento de datos denominado del
consentimiento de las personas y deje de lado la conceptualización del
dato financiero, al cual le dedica el Título III y tres extensos
artículos de la LPVP o PDP.
No solo sorprende porque
también el dato financiero está excluido del principio general del
consentimiento o “autorización” del titular de los datos para el
tratamiento de cualquier dato de carácter personal, como lo está el dato
estadístico de menos valor agregado y de perfil más bajo, por ser un
dato disociado, que el del dato financiero, que es un dato personal
individualizado o individualizable, sino además porque sólo protege al
dato financiero en la fase de comunicación (circulación, transferencia o
cesión) de datos y no en la recolección, selección, almacenamiento y
registro de datos, pues en esta no se requiere “autorización” expresa y
escrita del titular de los datos.
Por otro lado, resultan innecesarias las definiciones de “organismos
públicos”, entidades o instituciones del Estado, cuando no son términos
técnico-jurídicos aplicables exclusivamente a la
LPVP o PDP Chilena y son de conocimiento y aplicación general al
derecho chileno, más aún existe una norma de ámbito nacional que
explica, la estructura, organización y funcionamiento del Estado en
desarrollo y regulación de la Constitución sobre el tema, es la Ley Nº
18.575, “Orgánica Constitucional
de Bases Generales de la Administración del Estado”, que explica con
más amplitud y profundidad lo que debe entenderse por organismos
públicos e instituciones, organismos o entidades del Estado, que una ley
específica en datos personales que tiene otros objetivos y fines
programáticos.
4.
EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION
PUBLICA DE LA REPUBLICA DE PANAMA
La República de Panamá mediante la Ley 6º de 22 de Enero de 2002,
expidió la ley que intitula: “normas
para la transparencia en la gestión pública, establece la acción de
Hábeas Data y otras disposiciones”
[20].
Con lo cual es la única ley en Latinoamérica que regula el fenómeno
jurídico de Hábeas Data en una misma ley que incorpora dos derechos
fundamentales autónomos como son, por un lado, el derecho a la
información y la garantía constitucional de su acceso a cualquier medio
mediante el cual se recabe, recolecte o almacene (electrónico,
informático o manual o escrito); y por otro, el derecho y garantía
constitucional de Hábeas Data. En varios países latinoamericanos como
Argentina, Perú, Ecuador, Chile, Uruguay e incluso Colombia que prepara
desde hace años su Ley de Hábeas Data, regulan los mencionados derechos
constitucionales en estatutos jurídicos diferentes.
Veamos a continuación que ventajas y desventajas trae la regulación
integral del derecho a la información y su garantizado acceso público y
privado y el derecho de Hábeas Data.
4.1.
Estructura de la LTGP y HD
Ley No.6 de 22 de enero de 2002, se estructura formalmente en Capítulos
y artículos sin intitulados.
En el artículo 1º de la Ley para “la
transparencia en la gestión pública, establece la acción de Hábeas Data
y otras disposiciones” de Panamá (o LTGP y HD), relaciona un amplio
catálogo de definiciones jurídicas relativas al derecho de la
información y sus derechos fundamentales conexos, pero omite hacer sobre
las definiciones técnico-jurídicas aplicables al tratamiento de datos o
informaciones personales o al conjunto de facultades inherentes al
Hábeas Data, que según el intitulado es también objeto de protección y
garantía jurídica de la ley, aunque por la omisión parecería más un tema
que raya la ajenidad con la norma su inclusión.
En efecto, se define el
Código Ético, como el “conjunto
de principios y normas de obligatorio cumplimiento, con recomendaciones
que ayudan a los miembros de una organización a actuar correctamente”;
el Derecho de Libertad de Información, como
aquel “que tiene cualquier
persona de obtener información sobre asuntos en trámites, en curso, en
archivos, en expedientes, documentos, registros, decisión administrativa
o constancias de cualquier naturaleza en poder de las instituciones
incluidas” en la LTGP y HD de Panamá.
Luego profundiza, sin a nuestro juicio necesario hacerlo, en las definiciones de “ética”, “información”, “información confidencial”, “información de acceso libre”, “información de acceso restringido”, “institución”, “persona”, “principio de acceso público”, “principio de publicidad", "rendición de
______________________
(20)
Texto completo En:
http://www.defensoriadelpueblo.gob.pa/
____________________
cuentas” y “transparencia”.
Definiciones todas que en una ley que regula el derecho de acceso y
transparencia de la información públicas, sin el aditamento del Hábeas
Data, es válido y hasta cierto punto explicable, pero igualmente en este
punto, retórico.
En el
Capítulo II, relativo a
la
“Libertad
y Acceso a la Información”, la LTGP y HD de Panamá, describe en
los artículos 2º a 7º, la
titularidad, legitimidad, características, requisitos, autoridades y
formas de acceso del derecho a la información que tiene toda persona,
bien sea por escrito, en forma verbal o a través de los nuevos medios de
información y comunicación electrónica o informática. Así mismo, explica
como los funcionarios encargados de recepcionar las peticiones de
información, están obligados a contestar por escrito en el término de
treinta (30) días calendario.
En el
Capítulo III,
concerniente a la “Obligación
de Informar por Parte del Estado”,
en los artículos 8º a 12º, se
regula los deberes y las obligaciones de informar al público en general,
y a los peticionarios en particular, por parte de las entidades,
organismos y dependencias del Estado, en especial sobre Contratación
Pública del Ministerio de Economía y Finanzas y de la Contraloría
General de la República. Así mismo, se establece los mecanismos y
canales de información entre los particulares y el Estado; los
instrumentos de información tradicional, documental escrita o
electrónica y la forma de entregar información por escrito, en
formularios o por vía
Internet.
En el Capítulo IV,
referente a la
“Información Confidencial y de
Acceso Restringido”,
prevista en los
artículos 13º a 16º, la
LTGP y HD de Panamá, relaciona la no revelación o divulgación (o
“descubrimiento”, como se dice en el derecho anglosajón) de la
información confidencial de las personas humanas que hacen parte tanto
del núcleo “duro” o esencial de la intimidad, como las concernientes a
la “vida privada” de las personas, a los asuntos penales, policivos,
médicos, correspondencia escrita y electrónica y a las conversaciones
telefónicas, entre muchas otras informaciones. En el caso de la
información judicial, se establece la reserva salvo el caso del
concernido y las partes que intervienen en éste.
La información de acceso restringido, es decir, “todo
tipo de información en manos de agentes del Estado o de cualquier
institución pública, cuya divulgación haya sido circunscrita únicamente
a los funcionarios que la deban conocer en razón de sus atribuciones”,
no podrá ser revelada por un período de diez (10) años, “contado
a partir de su clasificación como tal, salvo que antes del cumplimiento
del período de restricción dejen de existir las razones que justificaban
su acceso restringido”.
Se relaciona como información de acceso restringido, la relativa a: (i)
la seguridad del Estado; (ii) los secretos comerciales; (iii) la
información sobre procesos realizados por el Ministerio Público, las
fuerzas militares y de policía, la Dirección de Aduanas y la Contraloría
General de la Nación; (iii) información sobre yacimientos mineros y
petrolíferos; (iv) información documental diplomática; (v) procesos y
documentos judiciales penales y policivos; (vi) documentos e información
de la Presidencia, Vicepresidencia y “gabinete” ministerial; (vii)
Transcripciones y documentos de la Asamblea Legislativa.
La negación de entrega de información de información de acceso
restringido o reservada, deberá ser motivada y por escrito por parte de
la entidad del Estado que así proceda
[21].
_________________________
En el Capítulo V,
concerniente a la “Acción de
Hábeas Data” contenida
en los artículos 17 a 19, La Ley panameña, describe la legitimación del
Hábeas Data para toda persona natural o física, cuando solicita
información a él concernida y se encuentren en “manos” de las entidades
del Estado o sea tratadas o procesadas por éstas a través de mecanismos
electrónicos y ésta información sea negada o insuficiente o
inexactamente entregada. Así mismo, menciona a las autoridades
judiciales competentes y el procedimiento constitucional de amparo
específico o de Hábeas Data informativo. Finaliza, indicando que el
proceso será sumario, sin formalidades y sin presencia de abogado y
respecto a la sustanciación, impedimentos, notificaciones y
apelaciones, se aplicarán las normas que para estas materias se regulan
en el ejercicio de “la acción de
Amparo de Garantías Constitucionales”.
En el Capítulo VI,
relativo a las
“Sanciones
y Responsabilidades Personales de los Funcionarios”,
previsto en los artículos 20º a
23º describe la
responsabilidad del funcionario judicial que desatiende “el recurso de
Hábeas Data”, sancionándolo la primera vez con multa por desacato, y con
destitución, sí reincide. El perjudicado con la negativa de información
por Hábeas Data, podrá demandar civilmente al funcionario público por
daños y perjuicios, sin perjuicio de las acciones penales o
disciplinarias que quepan.
En el Capítulo VII, concerniente a la
“Participación
Ciudadana en las Decisiones Administrativas y
sus Modalidades”,
contenidas en los artículos 24º
y 25º, describen los mecanismos de participación ciudadana en las
acciones y gestiones públicas de las entidades del Estados,
especialmente en obras civiles, valorización, zonificación, tarifas y
servicios públicos. Así mismo establece las modalidades tales como la
consulta y audiencias públicas, foros, talleres y participación directa
ante la Instituciones públicas. Por los contenidos del capítulo bien
podría tratarse de una norma que quebranta el principio de “unidad
legislativa y de materia”, pues si bien en la solicitud y entrega de
información se requiere la participación efectiva de la ciudadanía, no
necesariamente debería haberse legislado sobre éste tópico en forma como
lo hizo la Ley de acceso a la información y Hábeas Data de Panamá, pues
constituye un “mico legislativo”.
En el Capítulo VIII,
relativo a la “Fiscalización
del Cumplimiento por el Órgano Legislativo”,
previsto en el artículo 26º,
la ley obliga a las entidades del Estado que anualmente
incorporen en su memorias de informe al órgano legislativo, el número de
peticiones de información resueltas y negadas, así como la listas de los
actos administrativos en los que tuvo participación la ciudadanía.
En el Capítulo IX,
concerniente al “Código
de Ética”, previsto en
el artículo 27º, se establece la obligatoriedad de todas las entidades
del estado, pertenecientes a cualquiera de las tres ramas del poder
público, del nivel nacional, regional y local, para que en el término de
seis (6), si ya no lo tienen, adopten un Código de Ética para el
correcto ejercicio de la función pública que será publicada en la Gaceta
Oficial.
En el Capítulo X,
relativo a las “Disposiciones
Finales”, previsto en
los artículos 28º y 29º,
establece la tabla de vigencia de la ley.
4.2.
Breves comentarios de la ley
4.2.1. La acción o
“recurso” de amparo específico de Hábeas Data
La LTGP y HD de Panamá en el Capítulo V, regula lo que inicialmente
denomina “Acción de Hábeas Data”,
pero que en el contenido normativo del capítulo cambia su denominación
por “recurso
de Hábeas Data”.
Esta ley panameña, como se ha dicho antes hace énfasis en la regulación
amplia del derecho de acceso a la información pública contenida en
documentos escritos, tradicionales y electrónicos (archivos o bases de
datos), por parte de cualquier persona concernida con ésta y tan solo
cuando ésta información es negada o entregada insuficiente o
inexactamente por parte de la entidad, organismo, institución o
dependencia del Estado, perteneciente a una cualquiera de las tres ramas
del poder público u organismos autónomos o semiautónomos, nace para el
peticionario, el consultante o solicitante de información, la
posibilidad de accionar o recurrir ante las entidades jurisdiccionales,
en Hábeas Data, para hacer respetar y garantizar su derecho a la
información en los términos que establece el ordenamiento jurídico
vigente, a través de un procedimiento breve y sumario, sin formalidades
mayores que las que establece la LTGP y HD de Panamá y sin necesidad de
abogado.
Esto por cuanto, como lo explica el Presidente de la Asamblea
Legislativa Panameña, la “nueva
ley es un instrumento moderno que reconoce el derecho de cada uno de
ustedes a exigir la información que sea del caso, sin tener que dar
justificación o explicación sobre esa petición, y en un plazo no mayor
de 30 días que, salvo algunas situaciones específicas, podría extenderse
sólo otros 30 días”
[22].
Cuando la información que es el derecho privilegiado en el derecho
panameño es desconocido o quebrantado por las organismos, entidades,
autoridades o dependencias del Estado, toda persona tiene derecho a
recurrir al Hábeas Data, “que
no es más que un mecanismo que tendría el ciudadano para “garantizar su
derecho de acceso a la información”, cuando el servidor público titular
“no le haya suministrado lo solicitado” o le haya entregado algo de
manera “insuficiente o en forma incorrecta”
[23].
Por su parte, a Presidenta del Gobierno Panameño
[24],
al comentar la LTGP y HD, reconocía la importancia de esta ley, en
particular cuando crea “la acción
jurisdiccional de Habeas Data
mediante la cual, cualquier persona, podrá recurrir ante la
justicia ordinaria y exigir el respeto a su derecho a ser informado de
una actuación pública”, de
las gestiones y realizaciones públicas en contratación estatal, en
servicios públicos, en actividades tributarias, de valorización, de
tarifas e incluso de gestiones efectivas contra la corrupción y las
actividades ilegales, todo ello en beneficio de la mayor transparencia
del Gobierno y las entidades del Estado para con sus ciudadanos y
personas que pudieran ser afectadas por acción, omisión o
extralimitación de funciones públicas.
La acción o recurso de Hábeas Data
regulado en la LTGP y HD, se introdujo en el derecho público
panameño, para proteger y garantizar primigéneamente el derecho de
acceso a la información pública que tiene toda persona humana, pero
también para garantizar de contera, “la
imagen, la privacidad, el honor, el derecho a la autodeterminación de la
información y libertad de información de una persona”
[25].
Como analizamos en la Parte Segunda de este ensayo jurídico, la
Constitución Panameña con la reforma de 2004, resulta mucho más avanzada
que la Ley que la reglamentó, pues los artículos 43 y 44 de la
Constitución garantizan el derecho de acceso a la información tanto
pública o de interés colectivo como de carácter privado siempre
que repose en bases de datos o registros a cargo
de servidores públicos o de
personas privadas que presten servicios públicos y que ese acceso no
haya sido limitado por disposición escrita y por
mandato de la Ley, así como para
exigir su tratamiento leal y rectificación.
___________________
(22)
Mensaje del Excelentísimo Señor
Presidente de la Asamblea Legislativa, Rubén Arosemena, en torno a la
Ley de Transparencia en la gestión Pública.
En:
http://www.defensoriadelpueblo.gob.pa/
(23)
En dirección electrónica, ut supra cit
(24) La
Sra. Presidente de Panamá en la época, Mireya Moscoso.
En:
http://www.defensoriadelpueblo.gob.pa/
(25)
Según el Colegio de Abogados de Panamá. En:
http://www.defensoriadelpueblo.gob.pa/
Pero además y en forma
integral y completa, la Constitución Panameña, confiere a toda persona
el derecho de promover “acción de Hábeas Data”, en los siguientes casos:
(i)
con miras a garantizar el
derecho de acceso a su información personal recabada en
bancos de datos o registros
oficiales o particulares, cuando estos últimos traten
de empresas que prestan un
servicio al público o se dediquen a suministrar
información; (ii)
para hacer valer el derecho
de acceso a la información pública o de acceso libre, de conformidad
con lo establecido en esta
Constitución; y,
(iii) podrá solicitar que
se corrija, actualice,
rectifique, suprima o se mantenga en confidencialidad la información o
datos que tengan carácter
personal.
La reglamentación y desarrollo legal de los artículos 43 y 44 de la
Constitución en la LTGP y
HD de Panamá, es parcial porque por un lado, sólo desarrolla el acceso a
la información pública por toda persona; y por otro establece el
mecanismo jurisdiccional del Hábeas Data con algunas reglas procesales
mínimas propias y otras, que son las mayoritarias nacen en la remisión
legislativa al “Código Judicial de Panamá”, libro IV, Titulo III, sobre
“Amparo degarantías Constitucionales”, en lo que “respecta
a la sustanciación, impedimentos, notificaciones y apelaciones”,
como lo dispone el artículo 19 de la LTGP y HD.
El legislador panameño, perdió la oportunidad de reglamentar en forma
amplia, integral y verdaderamente efectiva el proceso sumario originado
en la acción de Hábeas Data, tal como se había facultado por la reforma
constitucional de 2004, en el inciso
in fine del artículo 44 y
procedió en su entender mejor a la labor remisoria que a la tarea de
creación legislativa de un proceso breve, expedito y altamente
garantísta de los derechos fundamentales
ut supra mencionados. En tal
virtud, el proceso constitucional originado en la acción de Hábeas Data
actualmente es de naturaleza jurídica mixta, pues por un lado, la
Constitución estableció que éste sería sumario y sin necesidad de
apoderado judicial y que serían competentes los tribunales judiciales
que determine la ley; y por otro, según la LTGP y HD, en cuanto a la
sustanciación, impedimentos, notificaciones y apelaciones
del “proceso sumario”, se regirán por los artículos 2615 a 2632
del Código Judicial que regulan el proceso de amparo de garantías
constitucionales.
El proceso de amparo específico de Hábeas Data en consecuencia tiene una
naturaleza jurídica de tertium
genus, porque se estructura inicialmente como un “proceso sumario”
específico para el Hábeas Data, pero que se complementa por un proceso
judicial apto para la protección y garantía de derechos fundamentales a
través de instituciones jurídico-procesales aplicables al
proceso de amparo, cuyas características y peculiaridades en el
derecho público panameño, como lo hemos observando al leer los artículos
mencionados del Código
Judicial, no son prenda de garantía de la mayor eficacia, sumariedad,
claridad normativa y más aún, de ser un instrumento jurisdiccional
expedito para garantizar y proteger los derechos fundamentales de la
persona sólo contra entidades u organismos del Estado
[26],
con el mínimo de formalidades procedimentales y sin necesidad de
apoderado judicial.
________________________
(26)
Actualmente la acción de amparo
no procede contra los acciones, actos o decisiones de los
particulares cuando desconozcan o quebranten el ordenamiento jurídico
vigente, tal como sí es posible en el derecho comparado. El autor en su
obra, señala como “en
el Derecho Constitucional tradicional, se consideraba que los derechos y
garantías que la Constitución consagra a favor de los habitantes de una
nación se establecían como una protección a los mismos frente a posibles
abusos del Estado. Es decir, se estimaba que sólo el Estado podía violar
los derechos fundamentales de los particulares y por ello, nuestra Carta
Magna, entre muchas otras del área, señala que el Amparo cabe contra
órdenes de hacer o no hacer dictadas por funcionarios. Pero, en la
actualidad, se ha hecho evidente que los particulares pueden también
violar los derechos de otros particulares”. Y por eso cuestiona el
actual sistema jurídico panameño que no permite elevar acciones de
amparo frente a la actividad contraria al derecho realizada por parte de
las entidades o personas particulares. En: BLANDON FIGUEROA,
José.
El amparo contra particulares.
http://www.pa-digital.com.pa/
_________________________
Según una autorizada doctrina, “La
acción de amparo de garantías constitucionales lejos de cumplir su
función protectora de los derechos individuales, incumple su misión por
la multiplicidad de presupuestos legales y jurisprudenciales que se le
han incorporado y que han desnaturalizado su razón de ser, así como la
voluntad del constituyente”
[27].
Se ha convertido en una “acción inaccesible” por parte de las personas
que hacen uso de ella para tutelar sus derechos fundamentales y
especialmente el de Hábeas Data que venimos
comentando.
En efecto, como lo constata el abogado y docente universitario
De León
Batista, al respecto
sostiene: “venimos
observando que la mayoría de las acciones de amparo de garantías
constitucionales ni siquiera las admite el tribunal competente de la
causa por el hecho de que no cumplen una serie de formalidades o
requisitos”
[28].
En la Parte Segunda de este ensayo, analizamos brevemente los cuadros
estadísticos relacionados por el tratadista
Pérez Jaramillo
[29],
en los que demuestra que desde la entrada en vigencia de la LTGP y HD de
Panamá hasta Mayo de 2003, se había rechazado sesenta (60)
acciones de Hábeas Data por parte de la Corte Suprema de
Justicia, basado en diversos argumentos, casi todos de índole formal,
pues a título de ejemplo, se rechazaron por: (i) Once, porque no
demostró “el interés legítimo, es decir, no es persona interesada”; (ii)
Nueve, no se “solicita información y solicita otra petición”; (iii)
Cinco, porque la “autoridad ha respondido la solicitud, aunque el
peticionario no lo considera así”; (iv) Cinco, porque “al interponer la
acción de Hábeas Data no se presentaron originales sino copias y se
omiten formalidades”; (v) Tres, porque “la autoridad alega no tener la
información y dice que corresponde a otra entidad”; (vi) Tres, porque
“el peticionario presentó Hábeas Data, antes de 30 días”; (vii) Tres,
porque “la autoridad a la que se hace petición no es funcionario
público, aunque labore para una empresa mixta”; (viii) Tres, porque la
“información fue calificada de ´acceso restringido´.
Según el artículo 18 de la
LTGP y HD, tienen competencia y jurisdicción para avocar y resolver
acciones de Hábeas data de carácter público, de conformidad con el nivel
de la entidad administrativa y del funcionario
titular o responsable del banco de datos, así: (i)
los Tribunales Superiores que conocen de la acción de Amparo de
Garantías constitucionales, cuando el funcionario titular o responsable
de registro, archivo o banco de datos, tenga mando y jurisdicción a
nivel municipal o provincial; y (ii) El Pleno de la Corte Suprema de
Justicia,
en el evento de que
el titular o responsable del registro, archivo o banco de datos tenga
mando y jurisdicción en dos o más provincias o en toda la República.
Vale decir entonces, que los órganos judiciales competentes
para conocer el proceso de amparo originado en la acción de
Hábeas Data en Panamá, son
de naturaleza colegiada o plural, bien sea que el asunto se conozca a
nivel local y regional, o bien se trate de asuntos interprovinciales o
nacionales. Las autoridades judiciales individuales a nivel de jueces
municipales, provinciales o de Circuito, entre otros, están ausentes de
esta clase de procesos según la ley comentada. Sin embargo, se hace
necesario un reglamentación urgente sobre este tópico, pues así la
naturaleza del proceso sumario de amparo de derechos fundamentales que
pretende ser expedito debería prever el conocimiento y resolución
judicial por jueces
____________________
(27)
PORCELL D., Kenia I.
El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I
y II)
Abogada Asistente Secretaría de Asuntos Legales,
Procuraduría General de la Nación.
En:
http://www.ministeriopublico.gob.pa/
(28)
DE LEON
BATISTA, Hernán.
Amparo de garantías: ¿un recurso
muy especial?.
En:
http://mensual.prensa.com/
(29)
PEREZ JARAMILLO, Rafael.
El Hábeas Data no admitidos y
argumentos de rechazo conforme a los fallos de la Corte. Vía
Internet.
individuales que están más cerca de la población y a los asuntos que
aquejan a los ciudadanos o personas a quienes se les niega, desconoce,
limita o restringe el derecho de acceso a la información, por ahora sólo
pública.
5.
El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS
PERSONALES DE CARÁCTER FINANCIERO
La República del Uruguay mediante
la Ley No. 17938 de Octubre 1º
de 2004, reglamentó y desarrolló legislativamente el Hábeas Data para la
protección de los datos personales de carácter financiero,
constituyéndose así en una de las más recientes leyes suramericanas que
enfatiza en el dato financiero, como una especie del género de datos de
la persona humana.
5.1.
Estructura de la LPDP_HDU
La Ley No. 17938 de Octubre 1º de 2004 o “Ley
de protección de datos personales para ser utilizados en informes
comerciales y el Hábeas Data” del Uruguay (LPDP_HDU), está
estructurada en títulos, capítulos y artículos que regulan los
siguientes contenidos:
En el Título I, Capítulo I,
relativo a la “Protección
de datos personales de informes comerciales”,
la
LPDP_HDU, en los artículos 1º y 2º
regula objeto de la ley y sus excepciones. La ley tiene como
objetivo reglamentar las fases del
tratamiento de datos personales (el
registro, almacenamiento, distribución, transmisión, modificación,
eliminación, duración),
cuando se hallen en archivos, bases de datos, u otros “medios similares
autorizados” (se entenderá en escritos, documentos tradicionales, o
“informes”), sean éstos públicos o privados, “destinados
a brindar informes de carácter comercial”.
Por oposición, se exceptúan del anterior objeto, los siguientes datos o
informaciones de la persona humana:
(i) los datos de carácter personal que se originen en el ejercicio de
las libertades de emitir opinión y de informar; (ii) los relativos a
encuestas, estudios de mercado o semejantes; y, (iii) los datos
sensibles sobre la privacidad de las personas
En el Capítulo II,
concerniente a los “Principios
Generales”, la ley uruguaya describe a espacio, en los artículos
3º a 7º los principios rectores que rigen al tratamiento de datos de las
personas físicas y jurídicas, tales como: (i) De licitud de los datos; (ii)
El consentimiento de los titulares, como regla, con sus excepciones
numerus clausus o taxativas
[30];
(iii) Proporcionalidad y finalidad de los datos; (iv) Utilización
adecuada y proporcionada de datos; (v) Secreto o sigilo profesional de
los datos.
En el Capítulo III,
concerniente al
“Tratamiento
de datos personales relativos a las obligaciones de carácter comercial”,
previsto en los artículos 8º a 11º se precisa que el tratamiento de
datos personales regulado en la
LPDP_HDU abarca el
cumplimiento o incumplimiento de obligaciones de carácter comercial o
crediticia que permiten evaluar la concertación de negocios en general,
la conducta comercial o la capacidad de pago del titular de los datos,
en aquellos casos en que los mismos sean obtenidos de fuentes de acceso
público o procedentes de informaciones facilitadas por el acreedor sin
consentimiento del titular.
________________________
El registro de los datos comerciales sólo podrá estar registrado en las
bases de datos por el término de cinco años.
Cuando se cancele una obligación, el acreedor estará obligado a
comunicarla al responsable del banco de datos en un plazo máximo de diez
(10) días. El receptor de esta información tiene un plazo máximo de tres
(3) días para actualizar la información.
En el
Título II,
referente al “Hábeas
Data y Órgano de Control”,
Capítulo I sobre el “Hábeas
Data”, previsto en los artículos 12º
a 16º de la ley, se define la acción de Hábeas Data como un
derecho ejercitable por toda persona física y jurídica y se describe su
objeto así: (i) Tomar conocimiento de los datos personales de carácter
comercial; (ii) Se averigua la finalidad y el uso dado a dichos datos;
(iii) Si se trata de datos amparados por el secreto, el Juez “apreciará”
el levantamiento del mismo según el caso y circunstancias; y (iv)
A la rectificación, actualización y la eliminación o supresión de
los datos personales que le conciernan, cuando estando incluidos en
bases de datos, éstos lo estén por error o falsedad en la información.
En el Capítulo II, relativo
a la “Acción de protección de
datos personales”, contenida en los artículo 17º a 19º,
se describe la titularidad de la acción para toda persona física
o jurídica, los casos en los que puede impetrarse y las normas del
proceso a seguirse: (i) normas del Código General del Proceso; y (ii)
Normas especiales de la
LPDP_HDU y las previstas en la Ley No. 16.011 de 19 de diciembre de
1998, es decir, en la Ley de amparo uruguaya
[31].
En tal virtud, la acción de Hábeas Data para la protección de datos
financieros constituye adjetivamente hablando configura una acción de
amparo específica que genera un proceso jurisdiccional de amparo
especial, con formas y ritualismos generales previstos en el Código
General del Proceso y con ritos especiales previstos en la Ley de
amparo.
En el Capítulo III,
concerniente a los “Órganos
de Control”, describe en los artículos 20º a 21º, la competencia
y jurisdicción del Ministerio de Economía y Finanzas del Uruguay, el
cual está asesorado por una comisión consultiva compuesta por
integrantes del Ministerio de Economía, del Ministerio de Educación y
Cultura, La Cámara Nacional
de Comercio y la Liga de defensa Comercial. Además, se puntualiza las
funciones y las diversas sanciones que puede aplicar a quienes
incumplieren los predicamentos de la LPDP_HDU.
Sanciones que van desde el apercibimiento hasta la clausura de la base
de datos.
En el Título III, referente
a las “Disposiciones
finales y transitorias”, previstas en los artículos 22º a 26º,
se describe además de la tabla de vigencia de la ley, siguientes
aclaraciones: (i) que la LPDP_HDU, no rige para los registros públicos y
similares creados por leyes especiales; (ii) que los responsables de
bancos de datos públicos y privados existentes tendrán un plazo de 90
días, a partir de la promulgación de la ley, para inscribir dichos
bancos en el Registro General; (iii)
Igual término, tendrán los responsables de los bancos de datos,
para actualizar la información y en el evento de los “datos caducos”
para
_________________________
__________________________
eventualidad a los responsables de los bancos
de
datos; y (v) El poder ejecutivo dispondrá de 180 días para reglamentar
la ley.
5.2.
Breves comentarios a la LPDP_HDU de 2004
5.2.1. Notas
preliminares. En particular, el proyecto de Hábeas Data de 2002
Uruguay como la mayoría de países de América Latina, antes de expedir
una norma sobre protección de datos personales, experimentó con una
cantidad de proyectos de diferente origen y matriculados a diferentes
escuelas normativas globales que regulan estas materias
técnico-jurídicas. Los anteproyectos y proyectos que regulaban la
protección de datos en forma genérica, o el derecho de Hábeas Data en
forma específica, tenía como común denominador, desarrollar
legislativamente conjuntamente con aquellos, el derecho al acceso a la
información pública o de interés colectivo y la información privada.
Todo por cuanto, los datos
de la persona humana tratados a través de las nuevas tecnologías de la
información y la comunicación (TIC), la informática y el derecho público
posibilitaban una nueva y específica reglamentación que más temprano que
tarde debían abordar los Estados no sólo latinoamericanos sino del
mundo.
Cierto es, como sostiene algún sector de la doctrina
[32],
que Uruguay era el único Estado del MERCOSUR que no había expresamente
elevado a rango constitucional el Hábeas Data, pero eso no impedía que
por vía de interpretación sistemática de la Constitución, toda persona
tenga derecho a solicitar tutela del Estado para la protección de
los datos personales que le conciernen cuando se hallen recolectados,
almacenados o comunicados en bancos de datos, por error, inexactitud,
falsedad o cuando se hayan realizado sin el consentimiento del titular o
sin la“ previa conformidad
de los titulares”, como dijera más tarde el inciso in fine del artículo
2º de la
LPDP_HDU.
Un proyecto de Hábeas Data, publicado en la Internet
[33],
deja ver cómo la intención del legislador uruguayo en el año 2002, era
reglamentar la protección de los datos personales recabados en bases o
bancos de datos tanto de carácter público, como de carácter privado, a
la par con el derecho de acceso a la información y el derecho de
petición en interés particular, en interés general, al igual que el
derecho de petición de informaciones y de consulta de actos y contratos
administrativos (o mejor “estatales”) de la administración nacional,
regional y local. Esto último para ponerse a tono con los países vecinos
del cono sur de América en lo relativo a leyes de transparencia en la
gestión pública y la implantación de mecanismos idóneos contra la
corrupción pública.
La regulación del derecho de acceso a la información, el derecho de
petición y la protección de datos de carácter personal en el proyecto de
2002, era amplia, genérica y aplicable a toda clase de datos personales,
salvo los del “núcleo duro” de la intimidad o privacidad que estaban
exentos de tratamiento de datos o de tratamientos restringido con
potenciación en la protección en algunas fases del tratamiento, como por
ejemplo, la comunicación de datos, tal como existe en el derecho
continental europeo y en particular en las normas de protección de datos
española de 1992 y 1999.
______________________
(32)
DAPKEVICIUS,
Rubén Flórez.
Protección de Datos Personales de
Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El
Derecho Público Mínimo. En:
http://www.udenar.edu.co/derechopublico
(33)
En:
http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.
El proyecto además,
reglamentaba la acción de Hábeas Data en dos estadios de su existencia,
como lo hemos sostenido ut supra en este ensayo jurídico; es decir, en
el ámbito administrativo y en el jurisdiccional. Así se desprende de la
lectura de los artículos 12º y 13º del proyecto citado cuando sostiene
que “el peticionante” podrá ejercer la acciones de Hábeas Data en los
siguientes casos: 1) Cuando hayan transcurrido quince días corridos a
contar desde la resolución denegatoria de la información solicitada ; y,
2) Cuando se haya agotado el plazo a que se refiere el artículo 8 º ( es
decir, “la petición que recibiere deberá expedirse en un plazo
máximo de cuarenta y cinco días
hábiles de recibida la misma“) sin pronunciamiento de la autoridad
requerida.
Una vez conocida por los interesados la información relacionada con
su persona y archivada por
organismos estatales o personas públicas de derecho
privado, nacionales o
departamentales, ya sea por resolución de los mismos o por
orden judicial, aquellos, si
consideren que la información es errónea o su
recolección y archivo fuera
ilegal, o la posesión o uso de la misma pueda causar
perjuicio, lo que harán saber a
los organismos o personas antes indicados en
plazo que no podrá exceder los
quince días hábiles a contar desde el siguiente al
de su conocimiento.
Y agregaba el inciso 2º del artículo 13º del proyecto que vencido el
plazo sin contestación, o si ésta fuera negativa, los interesados podrán
promover la acción de “Hábeas Data” con el fin de modificar o eliminar
la información errónea o ilegal,
la que se interpondrá dentro de los plazos y se
sustanciará según las
formalidades previstas en esta ley.
El legislador Uruguayo de 2004, finalmente se decidió por expedir una
Ley de Protección de datos personales y Hábeas Data, con expreso énfasis
en los datos de carácter financiero, aunque la norma alude al término
comercial, como pasamos a ver.
5.2.2. Ley de
protección de datos de carácter financiero
La
LPDP_HDU de 2004, es una típica ley que enfatiza en la protección de los
datos financieros de la persona no sólo física o natural, sino de la
persona moral, “ideal” o jurídica. Quizá por ello, en el ámbito
latinoamericano es la primera de las últimas leyes dictadas con ese
claro sabor económico, basado el legislador uruguayo, a buen seguro, en
el fenómeno de la globalización de la economía, el tracto financiero
público y privado cada vez más decisivo en la gestión y acciones
estatales como las del ámbito particular individual o empresarial, así
como en los crecientes, fructíferos y productivos negocios de capitales,
bienes y servicios en los cuales están involucrados entidades públicas,
privadas y mixtas del sector bancario, bursátil y crediticio y llueven
–si nos permiten el término—obligaciones constantes en títulos valores,
bonos del estado y dinero líquido.
Hoy en día, el pago de un medio de transporte, la compra de un inmueble
o acción, la venta de un servicio hotelero, el pago y/o cobro
de un tributo, el pago y/o cobro de un servicio público doméstico
o el crédito personal de tarjeta, son muestran inequívocas del impacto
que actualmente tiene las acciones, gestiones o actividades financieras
en la vida de las personas humanas y jurídicas, y como tal cada una de
ellas genera una huella, un dato o una información que puede ser
recolectada, seleccionada, almacenada, registrada o comunicada a través
de un procedimiento o tratamiento de datos tradicional o escrito, o
electrónico o informático.
Estos entronques de las finanzas públicas y privadas con las nuevas
tecnologías de la información y la comunicación (TIC) y la informática
(telegestión, telemática o electrónica), es lo que ha cautivado
últimamente a los Estados del mundo, para expedir normas proteccionistas
de derechos o libertades fundamentales que pudieren verse afectadas por
el abuso, extralimitación o exageración del llamado “poder informático”.
Uruguay en Suramérica es de los primeros países que quedó impactado por
el fenómeno jurídico y las finanzas y por ello se decidió en legislar
sobre ese entronque anotado, antes que por la protección genérica de los
datos de la persona humana y jurídica no financieros. Más aún en la
LPDP_HDU esta clase de datos han quedado excluidos expresamente
en el artículo 2º, cuando sostiene:
Quedan excluidos de la aplicación de la Ley, los siguientes datos: (i)
los datos de carácter personal que se originen en el ejercicio de las
libertades de emitir opinión y de informar;
(ii) los relativos a encuestas,
estudios de mercado o semejantes, los que se regularán por las leyes
especiales que les conciernan y que al efecto se dicten; y (iii) los
datos sensibles sobre la privacidad de las personas, entendiéndose por
éstos, aquellos datos referentes al origen racial y étnico de las
personas, así como sus preferencias políticas, convicciones religiosas,
filosóficas o morales, afiliación sindical o información referente a su
salud física o a su sexualidad y toda otra zona reservada a la libertad
individual.
Aclara la Ley de 2004, que solo
será procedente recolectar y aplicar el tratamiento o
procesamiento de datos en estas clase de datos no comerciales, cuando el
titular lo consienta en
forma “expresa y previa”, luego que sean informados del “fin
y alcance del registro en cuestión”. Esto porque obviamente son
datos que pueden afectar el “núcleo duro” de la intimidad o los derechos
fundamentales de la persona humana.
Con estas exclusiones y aclaraciones expresas de la Ley uruguaya de
2004, se entiende que el legislador postergó la tarea de reglamentación
y desarrollo legal de la protección de datos personales no comerciales o
financieros. Por ahora, se ha legislado sobre el tema de actualidad
mundial: las finanzas públicas y privadas.
La
LPDP_HDU de 2004, desde el intitulado y el contenido mismo de la norma,
se marca la impronta de ser una ley reguladora de datos financieros,
aunque se empecina en nominarlos como datos comerciales.
El dato financiero como anotábamos
ut supra,
es aquélla
información concerniente a una persona determinada o determinable que
tiene características económicas, comerciales, tributarias, o en general
de índole financiera, bien sea en el ámbito privado o en el público.
Genéricamente esto dato financiero, pues según el diccionario el término
financiero puede definirse como lo
perteneciente o relativo a la Hacienda pública, a las cuestiones
bancarias y bursátiles o a los grandes negocios mercantiles”,
con lo cual se entiende que los datos financieros engloban
terminológicamente a los efectos de este ensayo, lo que entendemos por
dato económico, comercial, bancario, bursátil
y tributario público y privado.
En la Ley Uruguaya para que no quepa la duda de si se puede o no someter
a tratamiento manual o electrónico los datos financieros de las personas
humanas o jurídicas, determinó en el artículo 8º
que queda “expresamente
autorizado el tratamiento de datos personales”, bien sea sobre el
cumplimiento o el incumplimiento de obligaciones de carácter comercial o
crediticia. Con lo cual legalmente se excluye el consentimiento de las
personas concernidas con dicha información, que a partir de la Ley de
datos financieros de 2004, pueden tratarse sin la “conformidad”,
“autorización” o consentimiento escrito y expreso del concernido.
Esta apertura uruguaya al tratamiento de datos financieros, tiene como
objetivos inmediatos el que las entidades financieras puedan recabar la
información pertinente dentro de este mundo globalizado de la economía y
la rapidez y efectividad de la información que se necesita en toda clase
de actividades donde medie el capital, para evaluar la concentración de
negocios en general, la conducta comercial (no la valoración subjetiva
del titular de los datos) o la capacidad de pago del titular de los
datos, siempre y cuando la información se obtenga de “fuentes de acceso
público o procedentes de informaciones facilitadas por el acreedor,
aparte de las eventualidades que la regla general, sin el consentimiento
del titular de los datos.
El dato financiero tiene unas características especiales en todas las
fases del tratamiento o procesamiento de datos personales, aparte de las
anotadas en la fase de recolección.
En la fase de registro de la información, el dato financiero tendrá un
plazo de cinco (5) años, contados a partir de su incorporación a la
base, fichero o banco de datos respectivo. Solo en el evento en que la
obligación persista en el incumplimiento, el acreedor podrá solicitar
válidamente al responsable del banco, treinta días antes del vencimiento
del plazo inicial, la permanencia por otros cinco (5) años más
improrrogables, según el artículo 9º de la
LPDP_HDU. Este
plazo inicial y el de la prórroga generan la vigencia y la vida útil del
dato, pues ningún dato o información deberá ser perenne, ni por tiempo
indefinido.
Por esta razón,
las obligaciones canceladas o extinguidas por cualquier medio,
permanecerán registradas, con expresa mención de este hecho, por un
plazo máximo de cinco años, no renovable, a contar de la fecha de la
cancelación o extinción, según lo dispone el inciso
in fine del artículo 9º.
Cuando se haga efectiva la cancelación de cualquier obligación
incumplida registrada en una base de datos, el acreedor deberá en un
plazo máximo de diez días hábiles de acontecido el hecho, comunicarlo al
responsable de la base de datos correspondiente.
Una vez recibida la comunicación por el responsable, éste dispondrá de
un plazo máximo de tres días hábiles para proceder a la actualización
del dato, asentando su nueva situación.
6.
EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE
2OO4
6.1.
Notas preliminares
El lunes 31 de Mayo de 2004, con demasiados bombos y platillos el Estado
Peruano, estrenó la única norma en su género en el ámbito
Latinoamericano, conocida como “Código Procesal Constitucional”, el cual
compila sistemática y coherentemente los procedimientos constitucionales
generados por las acciones de Hábeas Corpus, Amparo, Hábeas Data y de
cumplimiento; así como también las acciones de inconstitucionalidad y
acciones populares. De igual forma, la jurisdicción y competencia,
reglas generales y especiales que las autoridades judiciales deben
observar al avocar, desarrollar y resolver los procedimientos
correspondientes.
La Ley No. 28237 de 2004, tuvo origen en diferentes motivaciones de tipo
doctrinal, jurisprudencial e incluso legislativo, sobre las cuales los
juristas peruanos han escrito obras jurídicas de relevancia. En nuestro
criterio, el Código Procesal Constitucional peruano o CPCP, tiene
inequívocas finalidades de concentración temática al compilar
instrumentos adjetivos idóneos para proteger y garantizar derechos
fundamentales, así mismo objetivos normativos de unidad jurídica de
acciones, recursos o instrumentos procesales diferentes en su origen,
pero homologables o equiparables a través de un mismo hilo procedimental
o iter procesalis genérico
que admite peculiaridades o reglas especiales para todas o cada una de
las instituciones que no pierden su autonomía y diferencia. Esta nueva
técnica legislativa de compilación de instituciones jurídicas diferentes
en su origen pero equiparables en sus procedimientos es loable,
práctica, altamente eficiente para el operador jurídico y relevantemente
pedagógico para el titular de un derecho o interés legítimo que lo
estime amenazado, vulnerado, limitado o restringido por un acto, hecho u
omisión de una autoridad, entidad u organismo del Estado o por los
particulares con funciones o servicios públicos, por excepción.
Como es apenas obvio, el CPCP de 2004, reglamenta y desarrolla la
garantía y acción constitucional de Hábeas Data, en el ámbito
estrictamente procedimental. Por ello, para analizar la institución
jurídica del Hábeas Data en forma integral, hay que recurrir a la Ley de
Transparencia y Acceso a la información Pública peruana (LT y AIP) o Ley
No.27806 de 13 de Julio de 2002, la cual tiene por finalidad además de
promover la transparencia de los actos, contratos, gestiones y acciones
del Estado, la encomiable labor de reglamentar el derecho fundamental de
acceso a la información consagrada en el numeral 5º
del artículo 2º de la Constitución Peruana, es decir, el derecho
de toda persona a solicitar sin expresión de
causa la información que requiera y a recibirla de cualquier entidad
pública, en el plazo legal, con el costo que suponga el pedido. Se
exceptúan las informaciones que afectan la intimidad personal y las que
expresamente se excluyan por ley o por razones de seguridad nacional.
En efecto, la LT y AIP de 2002
[34],
regula la parte sustantiva del Hábeas Data, pues allí el legislador
peruano regula el derecho fundamental de información en general y en
particular sobre la información de acceso público
[35],
la legitimación por activa y por pasiva de la información, las
autoridades o entidades del Estado obligadas a dar cumplimiento al
acceso a la información pública, los principios rectores de la
información veraz, oportuna, lícita, clara, exacta que deben entregar
las entidades estatales y a su vez, recibirla los titulares o
concernidos con la misma; el régimen de sanciones y responsabilidades
que asumen titulares, usuarios y administradores de la información;
los extensísimos y quizá cuestionables regímenes excepcionales al
acceso a la información pública, cuando ésta se considera “secreta”,
“reservada” y
“confidencial”; la regulación amplia y pormenorizada de la información
de las finanzas, el régimen fiscal y presupuestal del Estado; entre
muchas otras aristas del derecho a la información.
La LT y AIP posibilita el ejercicio de la acción de Hábeas Data, solo
cuando se ha agotado el no fácil y expedito
“procedimiento” común o administrativo de acceso a la información
pública.
En efecto, el artículo 11º de la mentada ley, sostiene que el acceso a
la información pública está sujeta al siguiente procedimiento: (i)
Toda solicitud de información debe ser dirigida al funcionario designado
por la entidad de la
Administración Pública para realizar esta labor. En caso de que
éste no hubiera sido designado, la solicitud se dirige al
funcionario que tiene en su
poder la información requerida o al superior inmediato; (ii)
La entidad de la Administración Pública a la cual se haya
presentado la solicitud de
información deberá otorgarla en un plazo no mayor de siete (7)
días útiles; plazo que se podrá prorrogar en forma excepcional
por cinco (5) días útiles
adicionales, de mediar circunstancias que hagan inusualmente difícil
reunir la información solicitada. En este caso, la entidad deberá
comunicar por escrito,
antes del vencimiento del primer plazo, las razones por las que hará uso
de tal prórroga, de no hacerlo se considera denegado el pedido.
En el supuesto de que la entidad de la Administración Pública no posea
la información solicitada y
de conocer su
___________________
(34)
Texto completo de la norma En:
http://www.pcm.gob.pe/Transparencia/
(35) El
Artículo 10 de la LT y AIP,
considera la Información de acceso público, aquella que las
entidades de la Administración Pública tienen la obligación de proveer
la información requerida si
se refiere a la contenida en documentos escritos, fotografías,
grabaciones, soporte magnético o digital, o en cualquier otro
formato, siempre que haya sido
creada u obtenida por ella o que se encuentre en su posesión o
bajo su control. Agrega, el inciso 2º Asimismo, para los efectos de esta
Ley, se considera como información pública
cualquier tipo de documentación financiada por el presupuesto
público que sirva de base a
una decisión de naturaleza administrativa, así como las actas de
reuniones oficiales.
al acceso a la información se sujeta a lo dispuesto en el segundo
párrafo del artículo 13º de la presente Ley; (iv)
De no mediar respuesta en los plazos previstos en el inciso b),
el solicitante puede
considerar denegado su pedido; (v)
En los casos señalados en los incisos c) y d) del presente
artículo, el solicitante
puede considerar denegado su pedido para los efectos de dar por agotada
la vía administrativa,
salvo que la solicitud haya sido cursada a un órgano sometido a
superior jerarquía, en cuyo caso deberá interponer el recurso de
apelación para agotarla;
(vi) Si la apelación se
resuelve en sentido negativo, o la entidad correspondiente no
se pronuncia en un plazo de diez (10) días útiles de presentado
el recurso, el solicitante
podrá dar por agotada la vía administrativa; (vii)
Agotada la vía administrativa, el solicitante que no obtuvo la
información requerida podrá
optar por iniciar el proceso contencioso administrativo, de
conformidad con lo señalado en la Ley Nº 27584 u optar por el
proceso constitucional del
Hábeas Data, de acuerdo a lo señalado por la Ley Nº 26301.
Por ahora nos dedicaremos al estudio del proceso constitucional
originado en la acción de Hábeas Data, o dicho de otro modo, a la visión
jurisdiccional o procedimental del Hábeas Data.
6.2.
Estructura de la Ley No. 28237 o Código Procesal Constitucional del Perú
Si bien vamos a relacionar la estructura general del CPCP de 2004, eso
no obsta que hagamos énfasis en aquellos apartes referidos a la acción o
“proceso constitucional” de Hábeas Data, que es el objeto general de
nuestro ensayo jurídico.
El CPCP tiene una estructura de extenso
Codex y está dividió en
Títulos, Capítulos, Artículos, numerales, literales y parágrafos.
Contiene un Título preliminar y trece Títulos, y por su puesto
disposiciones transitorias y tabla de vigencia.
El Título Preliminar en los
artículos I a IX, regula el
alcance, fines y principios de los procesos constitucionales; los
órganos del poder judicial competentes; el entendimiento que debe darse
a la interpretación constitucional y el control difuso; la sentencia del
Tribunal constitucional como precedente en el derecho público peruano y
la aplicación supletoria de los Códigos procesales de la materia objeto
del cuestionamiento constitucional.
En el Título I, relativo a las “Disposiciones
generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y
cumplimiento”, en el artículo 1º al 24, hace referencia a la
finalidad, procedencia frente a actos basados en normas o respecto de
resoluciones judiciales, las causales de improcedencia, la cosa juzgada,
la representación procesal del Estado, la responsabilidad del agresor,
la ausencia de etapa probatoria, las excepciones y defensas previas, la
integración decisiones, el turno, la tramitación preferente,
notificaciones, medidas
cautelares, extinción de la medida cautelar, sentencia, recursos de
agravio constitucional y de queja, el pronunciamiento del Tribunal
Constitucional, la incorporación de medios probatorios sobre hechos
nuevos al proceso, actuación de sentencias, procedencia durante los
regímenes de excepción y agotamiento de la jurisdicción nacional.
El Título II,
concerniente al “Proceso de
Hábeas Corpus”, contiene
dos capítulos. En el Capítulo I, sobre los
“Derechos protegidos”, en
el artículo 25º, relaciona “enunciativamente” los derechos a la libertad
individual de las personas protegidas por Hábeas Corpus. En el Capítulo
II, sobre “el Procedimiento”,
en los artículos 26º a 36, relaciona las partes y fases del proceso, la
legitimación activa y pasiva, trámite y recursos.
El Título III, relativo al “Proceso de Amparo”, contiene
dos capítulos. En el Capítulo I, relativo a los “Derechos
protegidos”, en los artículos 37º a
38º , enumera los derechos en los que procede el amparo; entre
otros, el honor, la información, la intimidad, las informaciones
inexactas o agraviantes, la libertad de cátedra, etc. En el Capítulo II,
referente al “Procedimiento”,
en los artículos 39 a 60, menciona la legitimación, la representación
procesal, la procuraduría oficiosa, requisitos y plazo para
interposición de la demanda, acumulación subjetiva de oficio; el no
menos discutible aspecto de “agotamiento de las vías previas” y
excepciones al mismo; la improcedencia liminar; inadmisibilidd, abandono
y reconvención; Juez competente, plazos para decidir, trámites y
recursos.
El Título IV, referente al
“Proceso de Hábeas Data”,
en los artículos 61 a 65, describe los derechos protegidos a través de
este mecanismo constitucional y que se concreta en los siguientes: (i)
Acceder a información que obre en poder de cualquier entidad pública, ya
se trate de la que generen, produzcan, procesen o posean, incluida la
que obra en expedientes terminados o en trámite, estudios, dictámenes,
opiniones, datos estadísticos, informes técnicos y cualquier otro
documento que la administración pública tenga en su poder, cualquiera
que sea la forma de expresión, ya sea gráfica, sonora, visual,
electromagnética o que obre en cualquier otro tipo de soporte material;
(ii) Conocer, actualizar, incluir y suprimir o rectificar la información
o datos referidos a su persona que se encuentren almacenados o
registrados en forma manual, mecánica o informática, en archivos, bancos
de datos o registros de entidades públicas o de instituciones privadas
que brinden servicio o acceso a terceros; y (iii)
a hacer suprimir o impedir que se suministren datos o
informaciones de carácter sensible o privado que afecten derechos
constitucionales.
Así mismo, se relacionan en éste capítulo los requisitos especiales que
debe reunir la demanda en ejercicio de la acción de Hábeas Data; también
una especie de medidas cautelares, que el legislador peruano, llama
“ejecución anticipada”; la acumulación de pretensiones de conocer y
acceder a la información, con las de actualizar, rectificar o eliminar
información o de impedimento de entrega de informaciones; y finalmente,
la homologación del procedimiento de amparo al procedimiento de Hábeas
Data.
El Título V, relativo al
“Proceso de cumplimiento”,
en los artículos 66 a 74 describe el objeto, la legitimación activa y
pasiva, representación, requisitos especiales de la demanda, causales de
improcedencia, desistimiento de las pretensiones, contenido de la
sentencia, ejecución de la sentencia y aplicabilidad del procedimiento
de amparo a la acción de cumplimiento.
El Título VI, concerniente a “Disposiciones
generales de los procesos de acción popular e inconstitucionalidad”,
en los artículos 74º a 83, referencia la finalidad y procedencia de la
acción popular y la de inconstitucionalidad, principios de
interpretación, efectos de la sentencia, cosa juzgada y efectos de la
irretroactividad.
El Título VII, referente a la
“Acción Popular”,
en los artículos 84 a
97, relaciona la legitimación activa y pasiva, la competencia,
requisitos de la demanda, admisibilidad e improcedencia, emplazamiento y
publicación de la demanda, contestación, vista de la causa, recursos,
medidas cautelares y sentencia.
El Título VIII, relativo a la
“Acción de Inconstitucionalidad”,
en los artículos 98 a 108, menciona la legitimación y competencia de la
acción, representación ad
procesum; la demanda, anexos, inadmisibilidad y su improcedencia
Ad limine; improcedencia de
medidas cautelares, trámite y sentencia.
El Título IX, concerniente al
“Proceso competencial”,
en los artículos 109º a 113, relaciona los procesos generados por los
conflictos de competencias administrativas entre los órganos del Estado.
Así mismo, sobre las pretensiones, medidas cautelares, causales de
improcedencia y efectos de la sentencia.
El Título X, referente a la
“Jurisdicción
Internacional”, en los artículos 114º a 116º, hace mención a los
organismos internacionales competentes para tutelar los derechos
fundamentales de los peruanos, cuando han agotado las vías
administrativas y jurisdiccionales internas,
el Comité de Derechos Humanos de las Naciones Unidas, la Comisión
Interamericana de Derechos Humanos de
la Organización de Estados Americanos, por ejemplo.
El Título XI, relativo a las
“Disposiciones
generales aplicables a los procedimientos ante el Tribunal
Constitucional”, en el artículo 117º al 121º, menciona la
acumulación de procesos, numeración de sentencias, solicitud de
información del Tribunal a los organismos del Estado, subsanación de
vicios de procedimiento y el carácter inimpugnable de las sentencias del
Tribunal.
El Titulo XII, concerniente
a las “Disposiciones
finales” de la primera a la séptima, se mencionan aspectos que
por técnica legislativa no pudieron incrustarlos en los títulos
referidos a disposiciones, reglas o principios generales o aspectos que
deberían ir en el título preliminar. Por ello, se menciona “las
denominaciones empleadas” a lo largo de la ley, los jueces
especializados, publicación de sentencias, aspectos de pedagogía
constitucional en centros educativos y la gaceta constitucional.
El Título XIII, referente a
las “Disposiciones
Transitorias y derogatorias”. Se derogan expresamente 15 leyes y
se dispone la vigencia después de 6 meses de la publicación.
6.3.
Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de
2004
El CPCP le dedica específicamente el Título IV
al Hábeas Data, pero también le dedica inmerso con otras acciones
constitucionales, el Título I, para hacer mención a las disposiciones
generales que rigen al proceso constitucional originado en la acción o
garantía constitucional de Hábeas Data, aunque por disposición final
(Titulo XIII), sostiene que se “denominará” proceso de Hábeas Data a la
acción de Hábeas Data. Asimilación terminológica que parece conllevar el
cambio de naturaleza jurídica del Hábeas Data peruano.
Por eso, en el presente aparte haremos un análisis sucinto de los
aspectos relacionados en los artículos 61 a 65 del CPCP, con las
consiguientes remisiones a la Constitución Peruana de 1993.
6.3.1.
El procedimiento de amparo específico o de Hábeas Data
Desde el punto de vista procedimental es aplicable al Hábeas Data según
el artículo 65 del CPCP, el Título III relativo al “Proceso
de Amparo” en toda su extensión (artículos 39 a 60 ibidem), es decir
en cuanto a la iniciación,
desarrollo, sustanciación, recursos y sentencia del procedimiento de
Hábeas Data, éste se tramitará conforme a las formas y ritualidades del
proceso de amparo, salvo lo previsto en forma específica en los
artículos 61 a 64 del CPCP, vale decir sobre objeto de la acción de
Hábeas Data, las medidas cautelares y la acumulación de pretensiones,
propias del proceso de Hábeas data. Lo cual quiere decir, que el proceso
de Hábeas Data es mixto en el derecho peruano y está compuesto por parte
genérica aplicable todos los procesos de amparo, y una parte específica,
aplicable en forma exclusiva y excluyente al proceso de Hábeas Data.
El procedimiento constitucional de amparo peruano, lejos de ser un
proceso sumario, expedito y altamente garantizador del derecho
fundamental y garantía constitucional de Hábeas Data, se erigió en el
CPCP, con una serie de etapas normales y contingentes para todo
procedimiento constitucional ordinario, digno de estudiarse en una obra
jurídica autónoma y separada a la presente. En tal virtud por ahora,
solo nos permitimos relacionar casi gráficamente las etapas de dicho
proceso para demostrar nuestra crítica.
Tiene unas etapas normales u obligatorias del proceso como son la de
litis contestatio y la de juzgamiento. La etapa de
litis contestatio, compuesta
por la: (i) demanda con requisitos generales y especiales, plazo para su
interposición, agotamiento de vías previas y excepciones mínimas a éste;
y, (ii) Contestación de la demanda. La Etapa de Juzgamiento constituida
por la sentencia,
salvo que se haya formulado solicitud de informe oral.
Tiene como etapas contingentes o facultativas: (i) Inadmisibilidad de la
demanda; (ii) desistimiento; (iii) impedimentos del juez; (iv)
intervención litisconsorcial; (v) Adopción de medidas cautelares;
y, (vi)
procedimiento para represión de actos homogéneos; además de las
circunstancias procesales contingentes de acumulación subjetiva de
terceros y acumulación de procesos.
6.3.2. El Objeto del
procedimiento constitucional de Hábeas Data
Sobre el objeto y el extravasamiento del CPCP, respecto de la
reglamentación de la garantía constitucional del Hábeas Data, previsto
en el artículo 200 de la Constitución Peruana, ya nos hemos referido al
hacer los comentarios pertinentes a ésta en la Parte Segunda de esta
obra, y por ello, sólo adicionemos aquí, que el CPCP concreta un
objetivo amplio que puede ser mejorado, si se reglamenta el artículo
200-3º en su integridad (no
sólo los numerales 5º y 6º
del artículo 2º de la Constitución incorporado al artículo 200-3º
y reglamentado en el artículo 61 del CPCP, sino también el numeral 7º
[36]
que es omitido en dicha reglamentación legal) pues hoy por hoy,
la acción de Hábeas data sólo procede en las fases de conocimiento y
acceso de la información, de solicitud de actualización, rectificación y
cancelación de la misma y en las eventualidades de solicitar la
supresión de las informaciones o de impedir que sean sometidas a
tratamiento de datos,
ciertas informaciones sensibles o privadas cuando con ellas se amenacen,
vulneren o desconozcan derechos fundamentales de la persona.
El numeral 5º del artículo 2º de la Constitución Peruana de 1993,
sostiene que toda persona tiene derecho: “A solicitar sin expresión de
causa la información que requiera y a recibirla de cualquier entidad
pública, en el plazo legal, con el costo que suponga el pedido. Se
exceptúan las informaciones que afectan la intimidad personal y las que
expresamente se excluyan por ley o por razones de seguridad nacional”. Y
agrega el inciso 2º: “El secreto bancario y la reserva tributaria pueden
levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión
investigadora del Congreso con arreglo a ley y siempre que se refieran
al caso investigado”.
______________________
(36) El
numeral 7º del artículo 2º de la Constitución
sostiene que toda persona tiene derecho: “Al honor y a la buena
reputación, a la intimidad personal y familiar así como a la voz y a la
imagen propias. Agrega el inciso 2º, “Toda persona afectada por
afirmaciones inexactas o agraviada en cualquier medio de comunicación
social tiene derecho a que éste se rectifique en forma gratuita,
inmediata y proporcional, sin perjuicio de las responsabilidades de
ley”. Pues en este caso también procede la acción de Hábeas Data como
mecanismo idóneo y potenciado de protección y garantía constitucional y
legal de los mencionados derechos fundamentales, más cuantos se hace
mención a informaciones inexactas o agraviantes por cualquier medio TIC.
Esto sin perjuicio e independencia que éstos derechos fundamentales
tienen en ejercicio de su autonomía, protección y garantía
constitucionales por medio de la acción de amparo. Si se hubiese éste
numeral 7º en el artículo
61 CPCP, los derechos fundamentales allí mencionados gozaran hoy de una
protección ultrapotenciada que la necesitan ante el avance y la alta
porosidad de las TIC y la informática en el derecho.
Por su parte, el numeral 6º del artículo 2º constitucional, sostiene que
toda persona tiene derecho: “A
que los servicios informáticos, computarizados o no, públicos o
privados, no suministren informaciones que afecten la intimidad personal
y familiar”.
Tanto en el numeral 5º como en el 6º, la Constitución preserva bienes
jurídicos y derechos fundamentales tales como el derecho de acceso a la
información pública o de interés colectivo y privada o de interés
individual y el derecho a la intimidad personal y familiar. Derechos
constitucionales autónomos que gozan de protección
per se, por sus connotaciones
especiales, su caracterización de derechos de la persona humana y
jurídica (el de la información) o de personalísimos del ser humano (el
de intimidad), por ser de aplicación inmediata y por estar garantizados
por el Estado a toda persona habitante, residente o transeúnte en el
país. Además gozan de la protección reforzada a través del mecanismo
administrativo del derecho de petición ante cualquier autoridad del
Estado y del mecanismo jurisdiccional de la acción de amparo, según el
CPCP. Pero además, tienen un ámbito de ultraprotección, por disposición
del artículo 200-3º de la Constitución, cuando entran en entronque el
abuso, irregular, indebido o ilegal tratamiento de datos o informaciones
personales por medios TIC y
la informática (abuso del “poder informático”). Es entonces, en este
momento que los derechos fundamentales enunciados en los numerales 5, 6
y 7º del artículo 2º obtienen una ultraprotección constitucional y legal
que le es negada parcialmente al los derechos constitucionales del
numeral 7º , por omisión del legislador peruano o por disposición y a
sabiendas de su exclusión. La doctrina peruana tiene la palabra sobre
este punto.
6.3.3. Requisitos
especiales de la demanda de Hábeas Data
Ahora bien, en cuanto a los requisitos de la demanda en el “proceso
constitucional de Hábeas Data”, el CPCP, redirige en principio a los
requisitos generales previstos para la acción de amparo, los cuales
están previstos en el artículo 42 en forma enunciativa, al emplear el
término “cuando menos” para
referirse a que la demanda por escrito, con sus “datos y anexos”, podrá
ser presentada por quien se halle legitimado para hacerla y cuando reúna
los siguientes requisitos: (i)
La designación del Juez ante quien se interpone; (ii) El nombre,
identidad y domicilio procesal del demandante; (iii) El nombre y
domicilio del demandado, sin perjuicio de lo previsto en el artículo 7
del CPCP, sobre representación procesal del Estado; (iv) La relación
numerada de los hechos que hayan producido, o estén en vías de producir
la agresión del derecho constitucional; (v) Los derechos que se
consideran violados o amenazados; (vi) El petitorio, que comprende la
determinación clara y concreta de lo que se pide; (vii) La firma del
demandante o de su representante o de su apoderado, y la del abogado.
Estos requisitos son los que normalmente se exigen para la presentación
de cualquier tipo o clase de demanda ante autoridades jurisdiccionales,
en cualquier Estado del mundo.
Agrega el inciso in fine del artículo mencionado, que “en
ningún caso la demanda podrá ser rechazada por el personal
administrativo del Juzgado o Sala correspondiente”. Nos parece que
debió decir, que no podrá ser rechazada por el
jueces o jueces que son los funcionarios con jurisdicción y
competencia para pronunciarse sobre la admisión, inadmisión o rechazo de
la demanda, mediante providencia o decisión judicial correspondiente.
El CPCP en el artículo 62, establece unos requisitos especiales de la
demanda que debe reunir la acción de Hábeas Data, además de los
requisitos generales para la demanda en acción de amparo. Estos son: (i)
que
el demandante previamente haya reclamado, por documento de fecha cierta,
el respeto de los derechos de conocimiento y acceso a la información, de
actualización, rectificación o eliminación de la información inexacta,
erróneo o ilegal, o de supresión o impedimento de la publicación de
información sensible o privada que afecte derechos constitucionales;
(ii) que el demandado se haya ratificado en su incumplimiento o no haya
contestado dentro de los diez días útiles siguientes a la presentación
de la solicitud tratándose del derecho reconocido por el artículo 2
inciso 5) de la Constitución, o dentro de los dos días si se trata del
derecho reconocido por el artículo 2 inciso 6) de la Constitución.
Excepcionalmente se podrá prescindir de este requisito cuando su
exigencia genere el inminente peligro de sufrir un daño irreparable, el
que deberá ser acreditado por el demandante. Aparte de dicho requisito,
no será necesario agotar la vía administrativa que pudiera existir.
Estos requisitos denominados especiales por el CPCP, en verdad, son
trámites administrativos previos que debe agotar el titular de los datos
o persona concernida con éstos, pues
ese es el significado que debe dársele al solicitar el artículo
62 la demostración de haber
reclamado, “por documento de fecha cierta”, es decir, de haber ejercido
el derecho de petición ante las autoridades, organismos o instituciones
del Estado, o ante personas físicas o jurídicas de carácter particular y
esperar que unas u otras, según el caso, hayan o no respondido expresa o
tácitamente (una especie de “silencio administrativo” de
petición), en forma oportuna o extemporánea, dentro o no de un lapso de
tiempo cierto. En fin, el primer requisito, parece sólo pedir que se
demuestre que se reclamó mediante un memorial o documento, con la sola
presentación y atestamiento de la autoridad o persona que recibió el
memorial con sello de hora, día y fecha que de fe a la presentación.
El requisito especial segundo del artículo 62 del CPCP, parece aclarar
el requisito primero. En efecto, solicita que el impetrante en acción de
Hábeas Data, deba demostrar que la entidad o persona, pública o privada
que lo denomina anticipadamente “demandado” cuando todavía no lo es
técnica ni procesalmente y
según el caso, que ésta o
éstas, se han ratificado en su incumplimiento o no hayan contestado así:
(i)
dentro de los diez días útiles siguientes a la presentación de la
solicitud (o petición más claro) tratándose del derecho de acceso a la
información pública o privada; (ii) dentro de los dos días si se trata
del derecho de la intimidad personal o familiar.
Excepcionalmente, agrega el artículo citado,
se podrá prescindir de este requisito especial cuando su
exigencia genere el inminente peligro de sufrir un daño irreparable, el
que deberá ser acreditado por el demandante.
La prueba idónea que se exige al “interesado o afectado” con el
tratamiento de datos, parecería exagerada, pues la calificación de los
hechos, actos, sucesos u omisiones, sí constituyen o no “inminente
peligro” debe darse por el funcionario jurisdiccional que admite el
amparo específico de Hábeas Data, cuando no esté regulado previamente en
el ordenamiento jurídico vigente, o más aún en el CPCP, pues la carga de
la prueba en estos casos debería soportarla el Estado o la persona
privada que vulnere el tratamiento de datos, a falta de regulación
expresa.
Como se observa, sí existen vías previas antes de la acción de Hábeas
Data en el derecho peruano, que el CPCP, se empeña en decir, en el
inciso in fine del artículo
62 que “no será necesario agotar
la vía administrativa”. Si bien es cierto, no existen recursos
administrativos contra la decisión expresa o tácita al derecho de
petición (“solicitud”, “reclamo”, como lo denomina el CPCP), elevados
por el interesado, afectado o titular de los datos frente a las personas
o entidades públicas o privadas; no es menos cierto, que las peticiones
incoadas por aquél cuando se trata de los derechos fundamentales
previstos en los numerales
5º y 6º del artículo 2º de
la Constitución Peruana, reciben una contestación tácita negativa que
genera un silencio administrativo de peticiones de 10 días en el caso
del derecho de acceso a la información y de dos días en el caso del
derecho a la intimidad; es decir, que hay una respuesta tácita negativa,
que en todo caso genera una vía administrativa --mal llamada en Colombia
“gubernativa”-- que
ineludiblemente debe agotarse para acudir en Hábeas Data, pues el
artículo 62 expone que estos son requisitos especiales adicionales a los
generales de la presentación de la demanda en acción de amparo
específico o de Hábeas Data.
6.3.4. Las medidas
cautelares en el procedimiento de amparo específico de Hábeas Data
En el Título I, concerniente a las “Disposiciones
generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y
cumplimiento”
del CPCP, y más concretamente en
el artículo 15, se sostiene que son viables las medidas cautelares y de
suspensión del acto violatorio en los procesos de amparo, Hábeas Data y
de cumplimiento, indicando con ello, que respecto al proceso de amparo
específico o de Hábeas Data son viables como etapa contingente del
proceso las medidas cautelares como la suspensión de la eficacia o de
los efectos jurídicos del acto (particular o administrativo) acusado
[37]
.
Para la adopción de las medidas cautelares en esta clase de procesos
constitucionales sumarios, el legislador peruano impuso a la autoridad
jurisdiccional que se comprobara
ab initio los requisitos caracterizadores de las medidas cautelares:
(i) la apariencia del derecho o también conocido como elemento
fumus boni iuris
[38];
(ii) el
peligro en
la demora o
periculum in mora
[39];
(iii) que el pedido cautelar sea adecuado para garantizar la eficacia de
la pretensión o como lo denominamos, el elemento de la
pendentia litis
[40];
y (iv) se dictan sin audiencia de la contraparte.
Efectivamente, los anteriores elementos caracterizadores de toda medida
cautelar se deben reunir al momento de la solicitud de la medida
cautelar por el interesado o afectado, pero es el Juez quien en el
momento de la adopción de la medida mediante providencia idónea quien
evalúe y compruebe su existencia y pertinencia luego de leer los
argumentos fácticos, jurídicos y probatorios esgrimidos por el
solicitante, en memorial escrito conjunto o separado de la demanda y de
comprobar si existe una violación o vulneración irrefragable (“palmaria”
o “prima facie”, como se solicita en el derecho público colombiano
en los procesos de nulidad de actos administrativos ante la jurisdicción
contencioso administrativa) entre el acto acusado y el ordenamiento
jurídico vigente.
La procedencia, trámite y ejecución de las medidas cautelares, según el
artículo citado dependen del contenido de la pretensión constitucional
intentada y del aseguramiento de la decisión final.
Tienen competencia para avocar y decretar medidas cautelares en esta
clase de procesos, si la solicitud de medida cautelar tiene por objeto
dejar sin efecto actos administrativos dictados en el ámbito de
aplicación de la legislación municipal o regional, en primera instancia
por la Sala competente de la Corte Superior de Justicia del Distrito
Judicial correspondiente.
En cuanto al trámite para la adopción, ejecución y recursos de las
medidas cautelares, se seguirá el previsto en los incisos 3º y 4º del
mentado artículo; es decir, se aplicará el
iter procesalis del CPCP,
como norma especial y el Código Procesal Civil Peruano (Título IV de la
Sección Quinta), como norma subsidiaria para llenar los vacíos o lagunas
legales del CPCP. En efecto, ab initio el
trámite es el siguiente: De la solicitud se corre traslado por el
término de tres días, acompañando copia certificada de la demanda y sus
recaudos, así como de la resolución que la da por admitida, tramitando
el incidente en cuerda separada, con intervención del Ministerio
Público. Con la contestación expresa o ficta la Corte Superior
________________________
(37) Vid.
RIASCOS GOMEZ, Libardo O.
Las medidas cautelares en el
procedimiento administrativo. Tesis Doctoral, Universidad de
Navarra, Pamplona (España), 1986, p. 15 y ss.
(38) Ob.,
ut supra cit.
(39) Ob.,
ut supra cit.
(40) Ob.,
ut supra cit.
dentro del plazo de tres días, bajo responsabilidad salvo que se haya
formulado solicitud de informe oral, en cuyo caso el plazo se computará
a partir de la fecha de su realización. La resolución que dicta la Corte
será recurrible con efecto suspensivo ante la Corte Suprema de Justicia
de la República, la que resolverá en el plazo de diez días de elevados
los autos, bajo responsabilidad.
La medida cautelar se extingue, según el artículo 16 del CPCP
de pleno derecho cuando la resolución que concluye el proceso ha
adquirido la autoridad de cosa juzgada.
Si la resolución final constituye una sentencia estimatoria, se
conservan los efectos de la medida cautelar, produciéndose una
conversión de pleno derecho de la misma en medida ejecutiva. Los efectos
de esta medida permanecen hasta el momento de la satisfacción del
derecho reconocido al demandante, o hasta que el juez expida una
resolución modificatoria o extintiva durante la fase de ejecución.
Si la resolución última no reconoce el derecho reclamado por el
demandante, se procede a la liquidación de costas y costos del
procedimiento cautelar. El sujeto afectado por la medida cautelar puede
promover la declaración de responsabilidad.
De verificarse la misma, en modo adicional a la condena de costas y
costos, se procederá a la liquidación y ejecución de los daños y, si el
juzgador lo considera necesario, a la imposición de una multa no mayor
de diez Unidades de Referencia Procesal.
La resolución que fija las costas y costos es apelable sin efecto
suspensivo; la que establece la reparación indemnizatoria y la multa lo
es con efecto suspensivo.
CAPITULO SEGUNDO
II.
El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER
PERSONAL EN EL DERECHO CONTINENTAL EUROPEO
CAPITULO SEGUNDO
I.
El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL
EN EL DERECHO CONTINENTAL EUROPEO
2.1.
PRELIMINARES
2.2.
ALEMANIA:
2.2.1.
Estructura de la LFAPD
2.2.2.
Comentarios sucintos a la LFAPD de 1977
2.3.
LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA
NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE
DATOS PERSONALES
2.3.1.
La recomendación del Consejo de la OCDE, de Septiembre de 1980
2.3.2.
Definiciones básicas en el tratamiento informatizado de los datos
personales
2.3.3.
Principios y excepciones fundamentales del tratamiento
informatizado o no de los datos personales
2.3.4.
Principios del
tratamiento de datos en el ámbito nacional
2.3.5.
Principios del
tratamiento de datos en el ámbito internacional: Libre circulación y
restricciones legítimas
2.3.6.
Excepciones a las Directrices
2.4.
El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981
2.4.1.
Definiciones nucleares en el tratamiento informatizado o no de
datos personales
2.4.2.
Principios y excepciones fundamentales
en el tratamiento y circulación datos personales
2.5.
ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE
1999 o LOPDP
2.5.1.
Notas preliminares
2.5.2.
Estructura de la LOPDP de 1999
2.5.3.
Comentarios sucintos a la LOPDP
2.6.
LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL
CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE
2.1.
PRELIMINARES.
Nos parece oportuno en esta parte del trabajo, hacer mención a los
diferentes cuerpos normativos que regulan el tratamiento informatizado
de los datos de carácter personal, a efectos de exaltar, entre otros
aspectos, por un lado, la
labor que vienen cumpliendo los legisladores en los diferentes Estados
de Europa continental (a título de ejemplo en Alemania, España y la
Unión Europea) por
puntualizar y establecer un marco de garantías y medias de protección a
los derechos involucrados en dicho tratamiento (con mayor énfasis en el
derecho a la intimidad y subsidiariamente de la información, la
expresión, el honor y la imagen, entre otros); y por otro, analizar,
estudiar y puntualizar el derecho del
Hábeas Data prevista en las
principales leyes de protección de datos personales, clasificadas
inicialmente en tres generaciones, según sus contenidos y
evolución en la regulación del fenómeno informático en entronque con el
derecho. Ampliaremos luego una cuarta generación y otra en transición,
atendiendo además de lo dicho, al factor temporal, los avances
significativos de iusinformática
y la consideración de los Estados “paraísos
informáticos” técnica como legislativamente.
En la primera generación
de estas leyes se hallan las denominadas leyes pioneras en la
regulación y tratamiento (informatizado o no)
de datos de carácter personal: La Ley Federal alemana de
protección de datos personales y Ley Sueca “Data Lag” de 11
de mayo de 1973 [41].
Según Mirabelli [42], estas leyes son
tendencialmente restrictivas puesto que se sujetan al requisito de “la
autorización previa” para la creación de los “ficheros” o bancos
de datos, limitando excesivamente la recolección de los “datos
sensibles” e instituyendo organismos con funciones y estructura cuasi
jurisdiccional para la concesión y el ejercicio del control de los
mencionados banco de
datos [43].
Sin embargo, como veremos más adelante
En una segunda generación
de leyes protectoras de los datos personales se destacan la de
Francia en 1974, Noruega en 1978, Luxemburgo en 1981, etc. Por paralelo
y con idénticos propósitos, surgen normas de ámbito internacional (
______________________________
(41)
(42)
MIRABELLI, “Banche
dati e contemperamento degli interessi”, Bance dati telematica e
diritti della persona, Cedam, Padova, 1984, pág. 160. Citado por
ORTI V. Ob. cit., p. 11.
(43)
En ésta etapa de clasificación de normas de protección de datos
personales, nacieron por doquier varias leyes
en Europa y América.. Se destacan entre ellas
(44)
Ob. ut supra cit. p. 11.
tecnologías de la información y la comunicación (TIC) que inciden
en el derecho y se instituye, a partir de éstas, los denominados
“principios fundamentales de la protección de datos”, tanto
en
el tratamiento,
almacenamiento, difusión como en
la “libre circulación de
datos de carácter personal”. Aspectos capitales en el procedimiento
informatizado de datos que se evidenciaron más en las normas de ámbito
internacional y comunitario, antes que en las leyes estatales, como
precisaremos.
Por ello, tomaremos de ésta generación dos prototipos de legislación
sobre el tratamiento informatizado de datos:
En la “tercera generación”,
se ubican las normas jurídicas nacidas en la década de los noventa, muy
a pesar de que las propuestas e iniciativas venían manejándose desde la
década anterior. En esta se ubican la “La ley española de regulación
del tratamiento automatizado de datos de carácter personal”, de 29
de Octubre de 1992, conocida también como LORTAD, reformada en 1999, por
la “Ley Orgánica de Protección de
Datos” o LOPD, Ley 15
de 1999; como también la
“Privacy and data Protection Bill 1994 (NSW) o Ley de protección de la
intimidad y los datos personales en Australia. Esta generación de
leyes se caracteriza según Orti Vallejo [45],
siguiendo a Pérez Luño, por ser más “liberalizantes
del uso de ficheros de datos personales” y establecer un amplio
marco de principios, derechos y obligaciones para las personas
naturales, jurídicas, públicas y privadas.
Una cuarta generación
de normas surge con la expedición de
Finalmente, una quinta
generación o generación de leyes protectoras de datos
específicas en tránsito, constituida por Estados que no disponen de
normas especiales en la protección de datos personales, pero en cambio
disponen de diversas normas jurídicas generales, mecanismos,
procedimientos administrativos (iniciados por el derecho de petición y
desarrollados y concluidos con los recursos ordinarios y extraordinarios
de reposición, apelación, queja y revocatoria, respectivamente) y
procedimientos jurisdiccionales de índole constitucional,
contencioso-administrativo, civil y penal dirigidas a proteger los datos
persona
______________________________
(45)
ORTI VALLEJO, A. Ob. cit.,
p. 18
lmencionemos por ahora en esta clasificación. A título de ejemplo, se
encuentra el Estado Colombiano pues se han venido adelantado juicios de
defensa y protección de derechos y libertadas fundamentales con base en
la aplicación directa de la Constitución que elevó a rango
constitucional el Hábeas Data como acción, recurso, garantía o proceso
constitucional. Y esto
último muy a pesar de que se acaba de expedir la Ley 1266 de 2008,
conocida como “Ley de Habeas Data en Colombia”, tema en el que nos
ocuparemos en un artículo aparte.
En todo caso, estos Estados
con este conjunto de normas e instituciones jurídicas, propenden por la
efectiva protección de los derechos fundamentales, en todos los ámbitos
incluidos aquellos que se presentan en el tratamiento informatizado de
datos. Quizá por ello, en puridad jurídica no existen “Estados
paraísos informáticos” por el sólo hecho de no tener normas
específicas que regulen la tensión-relación de la
informática, los medios TIC y los
derechos humanos, pues el vacío normativo específico lo han llenado con
normas procesales y sustantivas generales aplicables al tratamiento de
datos personales en desarrollo jurisprudencial suministrado al Hábeas
Data por los Tribunales o Corte Constitucional en sus variados fallos de
defensa y tutela de los derechos a la intimidad, la imagen, la
información, el buen nombre entre otros (v.gr. Sentencias de la Corte
Constitucional: T-414-1992, Ago.T-444-92 de 7Jul.,T-127-1994, de 15 de
Mar, T-022/1993, de 29 Ene., T-413-1993, de 29 de Sep., T-097/1995, de 3
de Mar, SU-082 y 089/1995, de 1 de Marz., C.C. Sent.T-552/1997, de 30 de
Oct, entre muchas otras citadas ut supra y las que citaremos ut infra.
A continuación no referiremos a las Leyes de protección de datos
Alemana, Española y las que rigen en la Unión Europea (UE).
2.2.
ALEMANIA:
Esta Ley Federal es el resultado de la estructuración y promulgación de
2.2.1. Estructura de la
LFAPD
______________________
(46)
Texto completo en AA.VV.
Documentación informática. Serie Amarilla. Tratados
Inter. núm.2.
(47)
ORTI VALLEJO, A. Ob. cit. pág. 12
(48)
Según
Heredero Higueras, citado por ORTI VALLEJO, Ob. ut supra cit., pág.
12-13.
SECCION PRIMERA:
Disposiciones generales:
En las que se refiere a los cometidos y objeto de la ley,
definiciones,
admisibilidad del “proceso de datos”, derechos del “afectado”; y
“secreto de los datos, medidas técnicas y de organización”.
SECCION SEGUNDA:
Proceso de datos de autoridades y otros servicios públicos:
ámbito de aplicación; elaboración de datos personales por cuenta ajena;
almacenamiento y modificación de datos; comunicación de datos dentro del
sector público; comunicación de datos a “entes” ajenos a un sector
público; Publicidad de los datos almacenados; Facilitación de
información “al afectado”; Rectificación, bloqueo y cancelación de
datos; Ejecución de la protección de datos en
SECCION TERCERA:
Proceso de datos de entes no público para uso interno:
Ámbito de aplicación; modificación de datos; facilitación de información
al afectado; Rectificación, bloqueo y cancelación de datos; Designación
de un Comisario de Protección de Datos; Funciones del Comisario de
Protección de Datos; y, Autoridad de tutela.
SECCION CUARTA:
Proceso de datos realizado con finalidad mercantil para entes no
públicos:
Ámbito de aplicación; Almacenamiento y comunicación de datos;
modificación de datos; facilitación de información al “afectado”;
Rectificación, bloqueo y cancelación de datos; elaboración de datos
personales para su difusión en forma “anonimizada” (o simplemente
anónima); elaboración de datos personales por cuenta ajena; Comisario de
Protección de Datos; Deber de denuncia; y,
Autoridad de tutela.
SECCION QUINTA:
Normas punitivas y sancionadoras:
Acciones punibles, y, Infracciones de Policía.
SECCION SEXTA:
Disposiciones transitorias y
finales:
Disposiciones finales; Aplicación de
2.2.2.
Comentarios sucintos a la LFAPD de 1977
Son muchos y variados los temas los que aborda
2.2.2.1.
Definiciones técnico-jurídicas o ius informáticas
Las diversas definiciones las podemos agrupar por su contenido y
afinidad con el fenómeno
tecnológico de la informática (entendida como la ciencia del tratamiento
lógico, sistematizado e informatizado de cualquier unidad de información
o datos) y el derecho, en los siguientes: a) Definiciones sobre los
sujetos del tratamiento de datos; b) Definiciones aplicables al “Habeas
Data” y al proceso de datos personales; y, c) Definiciones
aplicables al procedimiento informatizado de datos.
2.2.2.1.1.
Definiciones sobre los sujetos del tratamiento de datos
Pertenecen a este grupo las definiciones de “Datos personales”,
“tercero” y “ente almacenante”. Datos personales se consideran
las indicaciones concretas acerca de condiciones personales o materiales
de una persona natural determinable (o “afectado” aunque en puridad
mejor llamado sería: el interesado o
titular de los datos). Estos datos personales como información
perteneciente a cualquier persona física, incluye tanto la contenida en
método no informáticos, como en aquellos a los que se les ha aplicado la
técnica, tratamiento o procedimientos informatizados o “procedimientos
automáticos”, como lo denomina
Tercero,
es toda aquella persona o entidad (“ente”) ajena a la entidad
almacenante, a excepción de los interesados o de aquellas personas y
entidades (Autoridades
públicas, personas jurídicas, sociedades u otras agrupaciones, etc.) que
obraren por “encargo” dentro del ámbito de vigencia de la LFAPD.
________________________
(49) “Si
se elaboraren automáticamente datos personales, deberá adoptarse para la
aplicación de los preceptos de la presente ley medidas que en función de
la índole de los datos personales que hubieren de ser protegidos fueren
idóneas para: l. impedir a personas no autorizadas el acceso a los
equipos de proceso de datos con los cuales fueren elaborados los datos
personales (control de acceso a los equipos); 2. Impedir que las
personas ocupadas en la elaboración de datos personales retiren sin
autorización soportes de información (control de salidas); 3. Impedir la
introducción no autorizada en memoria de datos personales, así como la
toma de conocimiento, modificación o cancelación no autorizadas de datos
personales ya almacenados (control de memorias); 4. Impedir que personas
no autorizadas utilicen sistemas de proceso de datos a partir de los
cuales se comunicaren datos personales valiéndose de dispositivos
automáticos o en los cuales se introdujeren datos personales valiéndose
tales dispositivos (control de usuarios); 5. Garantizar que las personas
con derecho a usar un sistema de proceso de datos puedan acceder
mediante dispositivos automáticos exclusivamente a los datos personales
que estuvieren comprendidos dentro del ámbito de su facultad de acceso
(control de acceso a los datos) ; 6. Garantizar que se pueda comprobar y
determinar en qué puntos es posible comunicar datos personales
valiéndose de dispositivos automáticos (control de la comunicación); 7.
Garantizar que se pueda comprobar y determinar a posteriori que datos
personales, en qué momento y por quien fueron introducidos en sistemas
de proceso de datos (control de la introducción en memoria); 8.
Garantizar que en los datos personales que fueren elaborados por cuenta
ajena sólo puedan serlo de conformidad con las instrucciones del
comitente (control de encargos); 9. Garantizar que en los supuestos de
comunicación de datos personales, así como en los casos de transporte de
los correspondientes soportes de información, estos no puedan ser
leídos, modificados o cancelados sin autorización (control del
transporte de datos); 10. Configurar la organización interna de las
autoridades o empresas de tal manera que la misma responda a las
exigencias de la protección de datos (control de la organización)”.
Y, finalmente, Entidad
Almacenante, se consideran como tales cualquiera de las personas
naturales o jurídicas o entidades que almacenaren datos por sí mismo o
encomendare a otro su almacenamiento. Estas son: a) Las diversas
Autoridades o entidades públicas (pertenecientes al Estado, a los
Municipios, mancomunidades de municipios y cualesquiera otras personas
jurídicas de derecho público sujetas a tutela estatal. Art. 7 LFAPD); y,
b) Personas naturales o jurídicas, sociedades u otras
agrupaciones de personas de derecho privado, para uso interno (se
exceptúan de ésta aparte las personas de derecho privado que desempeñan
“funciones propias de la Administración Pública”. Art.22 LFAD), o las
que realicen “con carácter regular y por cuenta ajena”
actividades con “finalidad mercantil” (en esta se incluyen las
empresas de derecho público, con idéntica finalidad. Art. 31 LFAPD).
2.2.2.1.2
Definiciones aplicables exclusivamente al Hábeas Data y al
proceso de datos personales
Si bien como recuerda el profesor González Navarro, citando a
Heredero Higueras [50], el derecho de acceso, aún
antes de la promulgación de las leyes de protección de datos, fue
bautizado como habeas data, por considerarlo como una modalidad
de acción exhibitoria análoga a la del habeas corpus del derecho
anglosajón, no debemos olvidar que el derecho de acceso a los datos,
sobre todo los informatizados o sometidos en parte o en todo a
tratamiento o procedimientos “automatizados”, conlleva un grupo de
derechos concomitantes y subsiguientes al ejercicio del derecho de
acceso, tales como: el derecho a conocer la existencia de datos que le
conciernan a la persona y que se hallen almacenados (“storage”) y
contenidos en un fichero, banco de datos o simplemente en un “archivo” o
registro informatizado (o simplemente “file” anglosajón), bien
sean procesados con o sin su consentimiento; así como también el derecho
a consultarlos, si fuere del caso, por cualquier método, técnica o medio
informático, electrónico o telemático, dentro de conformidad con el
ordenamiento jurídico vigente sobre la materia. Como consecuencia, de
ello podrá, independientemente de los recursos (básicamente
jurisdiccionales), solicitar la revisión, rectificación, actualización,
modificación y, llegado el caso, la cancelación, borrado y
bloqueo de los datos personales que le conciernen.
En consecuencia, pertenecen a este segundo grupo de definiciones, las
siguientes: almacenar, comunicar, modificar y cancelar datos personales.
Almacenar
datos personales, en términos iusinformáticos, consiste en recoger,
registrar o conservar en un soporte de información con miras a su
ulterior utilización. El “almacenamiento” de datos, según
___________________
(50)
GONZALEZ NAVARRO, Francisco.
Derecho administrativo
español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994,
Pamplona, p. 179
(51)
Otros ejemplos son: a) Sobre limitación del examen de documentos
por terceros; p. e., el articulo 61, párrafo
segundo y tercero de la ley de estado civil de las personas; b)
Sobre examen del expediente personal por los funcionarios o empleados; p
e., el artículo 90 de la ley federal de funcionarios; el artículo 83 de
la ley de Organización de Empresas; c) Sobre el deber de las autoridades
de informar a los ciudadanos de los datos almacenados acerca de los
mismos; p. e., el artículo 1.325 de
Comunicar,
en términos de
__________________________
(52)
Se facilitará al afectado, si
así lo solicitare, información acerca de los datos almacenados con
relación a su persona. En
la solicitud deberá detallarse la índole de los datos personales sobre
los cuales deba facilitarse la información. El servicio o ente
almacenante determinará el procedimiento, en especial la forma de
facilitar información según las conveniencias del servicio... No
precederá la facilitación de la información en los siguientes supuestos:
1. si la información perjudicare el legítimo cumplimiento de las tareas
comprendidas en la competencia del servicio almacenante; 2. si la
información perjudicare a la seguridad o al orden públicos o causare
detrimento a
(53)