- Leyes y Directivas
Internacionales - Las Transferencias
de Datos con EE.UU. - Contratos
Privados - Reglamentos
Técnicos - Una Agencia de
Protección de Datos
Internacional - Acuerdo entre APD y
Agencia Búlgara - Mapa Mundial de
Competencias en protección de
datos - Bibliografía
ABSTRACT
Con esta comunicación se pretende mostrar las
diferentes herramientas
existentes hoy en día a nivel internacional en materia de
protección de datos como punto
de partida para la creación de un espacio o entidad
común que rija o coordine esta materia a nivel mundial,
con el fin de que los derechos a la privacidad y
el honor de los ciudadanos de un país se respeten no
sólo en el mismo sino fuera de sus fronteras. El punto de
debate
comienza con la necesidad de crear una "globalización" en materia de
protección de datos.
Palabras clave:
· democracia
digital/electrónica
· deslocalización
· globalización
· identidad
· privacidad
La facilidad con la cual los datos
electrónicos fluyen a través de fronteras conduce a
una preocupación de que las leyes de
protección de datos se podrían burlar sencillamente
transfiriendo información individual a terceros
países, donde no se aplica la ley nacional del
país de origen. Estos datos se podrían tratar y
manipular entonces en esos países, frecuentemente llamados
"refugios de datos", sin ninguna
limitación.
Por esto, la mayor parte de las leyes de
protección de datos europeas y más recientemente
las iberoamericanas, incluyen restricciones sobre el traslado de
información a terceros países a menos que la
información se proteja en el país de
destino.
Por otra parte, las transferencias de datos a
nivel internacional están haciendo que cada día sea
más importante el que las entidades públicas
europeas dispongan de un alto nivel de coordinación no sólo técnico
sino también legal que permitan tratar todos estos datos
confidenciales sin tener que vulnerar la privacidad o el honor
del ciudadano.
Tan sólo adecuando las diferentes leyes y
reglamentos entre sí se conseguirá una
protección adecuada de los datos de carácter personal del
ciudadano, no dentro de su propio país, sino
también y lo que es más importante, frente a
sistemas de otras
naciones.
Tan sólo realizando acciones de
acercamiento entre las diferentes administraciones mundiales que
contribuyan a conocer sus respectivas leyes y reglamentos, se
conseguirán crear políticas
comunes para hacer valer los derechos de los ciudadanos ante
cualquier intento de vulnerabilidad externa.
Si las diferentes entidades de la
administración disponen de organismos comunes que les
guíen a la hora de regular las relaciones con terceros
países cuando se produzcan transacciones de datos
personales, las identidades de cada ciudadano no sufrirán
vulneraciones, al menos de manera
significativa.
Leyes y Directivas
Internacionales
Estas son algunas de las directivas
internacionales más importantes en materia de
protección de datos:
a) OCDE
La Organización para la Cooperación y
el Desarrollo
Económico se adaptaba en sus "Pautas Acerca de la
Protección de Intimidad con Flujos de Datos Generales" a
una aproximación o enfoque de Derecho Común a la
intimidad. Según la recomendación de OCDE, los
datos personales se deberían proteger solamente si la
manera de tratamiento o la naturaleza del
contexto plantea un peligro a la intimidad o a las libertades
individuales. Las pautas de la OCDE son dominadas por dos
principios: El
principio de corrección de proceso de
datos y el principio de propósito que relaciona el
tratamiento de esos datos.
La recomendación de la OCDE no es
legalmente vinculante y menos exacta que la del Consejo de
Europa.
b) ONU
El Consejo Económico y Social de la
Organización de las Naciones Unidas
adoptaba "Pautas Acerca de Archivos de Datos
Individuales Informatizados" en 1990. Los principios, que no se
están siguiendo legalmente, intentaron proponer
garantías mínimas que se deberían aplicar en
la legislación nacional.
c) Unión Europea
Dentro de la Unión
Europea hay dos Directivas relevantes dentro de la
Protección de Datos:
·
Directiva 95/46/EC sobre la protección de
personas físicas con respecto al tratamiento de datos
generales y el libre movimiento de
tales datos. Esta directiva trata el problema de armonizar
niveles diferentes de protección de los derechos y las
libertades de personas físicas, por un lado, y al mismo
tiempo,
soluciona el problema el libre movimiento de bienes,
personas, servicios y
capital
independiente de restricciones causadas por la legislación
de protección de datos.
·
Directiva 97/66/EC acerca del tratamiento de datos
personales y la protección de intimidad en el sector de
las telecomunicaciones
La Directiva de EC sobre Protección de
Datos (95/46/EC) tiene un doble objetivo:
Debería proteger los derechos fundamentales
y las libertades, especialmente el derecho a intimidad de
personas físicas, en el tratamiento de datos generales;
pero también debería reconciliar el nivel variable
de protección de datos en los Estados Miembros para que el
libre movimiento de bienes, personas, servicios y capital en el
mercado interior
se garantice.
Aparte del Convenio de Protección de Datos
más general y menos rigurosamente organizado del Consejo
Europeo, la Directiva de EC sobre la Protección de Datos
95/46/EC y la Directiva de Protección de Datos de
Telecomunicación 97/66/EC son el único reglamento
vinculante de protección de datos bajo derecho
internacional.
Es evidente que la existencia leyes de
protección de datos aumente los costes de
transacción, por las precauciones se tienen que tomar y
también por la estructura de
gestión
de la información se tiene que crear. En términos
económicos la existencia y las diferencias entre las leyes
de protección de datos constituyen un obstáculo al
libre movimiento de bienes, personas, servicios y capital. Se ve
la protección de datos entonces como una barrera
más al libre movimiento de bienes y
servicios.
Para eliminar los obstáculos al libre flujo
de información, una opción (incoherente)
sería el abolir las leyes de protección de datos de
una vez. Esto contradiría la legislación nacional
existente y los derechos humanos
fundamentales. Por lo tanto, la segunda opción prevalece;
armonizar leyes de protección de datos nacionales
existentes. Con ello se pretende introducir un nivel medio de
cohesión en el tema de la protección de datos entre
estados miembros. Dentro del mercado único los costes de
transacción con respecto a protección de datos son
armonizados más o menos por la Directiva. Los costes de
transacción entre la zona de mercado único y los
terceros estados sin legislación de protección de
datos, o con niveles de protección de datos por debajo del
nivel de mercado único difieren, sin embargo, y causan
distorsiones competitivas. Por lo tanto, y debido a estas dos
directivas, se mejoraron las transacciones de datos entre
países miembros de la Comunidad Europea
pero ello añadió un sistema muy
complejo para el traslado de datos generales a terceros
países.
A todo ello se une que el Artículo 12 del
Consejo de Europa de 1981 impone restricciones sobre las
transferencias internacionales de datos. De manera
análoga, el Artículo 25 de la Directiva Europea
impone una obligación a los estados miembros con el fin de
asegurar que cualquier información individual acerca de
ciudadanos europeos es protegida por la ley a cuando se exporta,
y procesa a países fuera de Europa. Dice lo
siguiente:
"…Los Estados Miembros vigilarán y
permitirán el traslado a un tercer país de datos de
carácter personal, siempre y cuando el tercer país
en cuestión garantice un nivel adecuado de
protección de datos…"
Este requisito ha conseguido desarrollar presión
fuera de Europa para crear fuertes vínculos en
protección de datos. Los países que se nieguen a
adoptar leyes de intimidad significativas se pueden encontrar con
la imposibilidad de dirigir ciertos flujos de información
con Europa, especialmente si contienen datos sensibles. La
determinación del sistema de un tercer país para la
intimidad que protege es hecha por la Comisión Europea. El
principio que se sobreentiende en este proceso de
determinación es que el nivel de protección en el
país de recepción debe ser "adecuado" más
que "el equivalente." Por lo tanto, un estándar
razonablemente alto de protección se espera del tercero,
aunque los dictados precisos de la Directiva Europea o de las
legislaciones individuales no se necesitan
seguir.
Los principios generales impuestos por la
directiva y en los que se basan la mayoría de las leyes
comunitarias son los siguientes:
· Los
datos pueden ser tratados
solamente en los países donde la Directiva se
aplica.
· La
Directiva impone más restricciones (y sanciones
elevadamente onerosas ante su no observancia) en cuanto al
tratamiento de datos sensibles (datos que revelen origen racial o
étnico, opiniones políticas, creencias religiosas o
filosóficas, unión comercial afiliación,
datos acerca de vida de salud o sexo y datos
acerca de delitos,
acciones criminales, etc…).
· Los
datos de carácter personal pueden ser recogidos solamente
con propósitos específicos, explícitos y
genuinos y no han de ser tratados de forma incompatible con esos
propósitos.
· Los
datos personales deben ser adecuados, relevante y no excesivos en
relación con los propósitos para los cuales fueros
recogidos.
· Los
datos personales deben ser exactos y han de ser actualizados
conforme a la realidad actual del individuo.
· Los
datos de carácter personal no deber de ser almacenados
durante más tiempo que es necesario para cumplir los
propósitos por los cuales fueron recogidos o
tratados.
· Los
datos deben ser procesados de acuerdo con los derechos
establecidos en el Directiva, entre los cuales se encuentra el
derecho que tiene el propietario de los mismos a que se le
informe del
tratamiento de sus datos así como el derecho de acceso,
rectificación y cancelación de los
mismos.
· Las
empresas u
organizaciones
que posean datos de carácter personal deben de dotarse de
medidas técnicas y
organizativas necesarias para tratar de manera legal los datos
que los protejan además de una pérdida accidental,
alteración o destrucción.
· Los
datos de carácter personal no deben ser trasladados a un
país o territorio fuera de la Unión Europea, a
menos que ese país asegure que dispone de un nivel
adecuado de protección de los derechos y las libertades de
datos en relación al tratamiento de datos
personales.
Paulatinamente se fue reconociendo la capacidad
para tratar los datos de carácter personal de ciertos
países ya que sus legislaciones comenzaban a respetar los
principios de la directiva europea.
El 26 de julio de 2000, la Comisión Europea
determinaba que tanto Suiza como Hungría proporcionaban
protección "adecuada" para la información
individual y por lo tanto que todas las transferencias de datos
generales a estos países podrían continuar. En
enero de 2002, la Comisión Europea reconocía que la
Protección de Información Individual Canadiense
proporcionaba también protección adecuada a los
datos transferidos desde la Unión Europea a Canadá.
La decisión de La Comisión de adecuación no
cubre datos generales tratados por sectores federales o cuerpos
del estado o
información procesada por organizaciones individuales y
utilizaba para propósitos no-comerciales, como datos
recogidos por entidades de caridad o recogidos en el contexto de
una relación de empleo.
La Comisión Europea está
contemplando en la actualidad el permitir transacciones de datos
de carácter personal a varios países externos a la
Unión Europea, incluyendo Nueva Zelanda, Australia, y
Hong-Kong.
Las Transferencias de
Datos con EEUU
Como hemos visto en el párrafo
anterior, no se hace referencia alguna a EEUU dentro de los
países hacia los que la Comunidad Europea comenzó a
autorizar las transferencias de datos.
En concreto, la
legislación estadounidense es contrariamente opuesta a los
preceptos de la mayoría de las leyes europeas en materia
de protección de datos adaptadas a la directiva
comunitaria.
Mientras los Estados Unidos y
la Unión Europea comparten el objetivo de
protección de intimidad para con sus ciudadanos, los
Estados Unidos toman un enfoque diferente ya que utilizan un
enfoque sectorial que confía en una mezcla de
legislación, regulación, y auto-regulación.
La Unión Europea, sin embargo, confía en
legislación por completo que, por ejemplo, requiere la
creación de agencias de protección de datos
gubernamentales y el registro de
bases de datos
por parte de esas agencias. Como resultado de estos enfoques de
intimidad diferentes, la Directiva podría haber
obstaculizado significativamente la capacidad de
compañías de EE.UU. de dedicarse a muchas
transacciones transatlánticas.
Para salvar estos enfoques de concepto de
intimidad diferentes y para proporcionar un medio dinámico
a entidades y organizaciones de EE.UU. de acatar la Directiva
Europea, el Departamento de Comercio de
EE.UU. junto con la Comisión Europea desarrolló el
acuerdo marco "Safe Harbor" o "puerto seguro". El Safe
Harbor — aprobado por la UE en el año
2000?constituyó una vía importante para que las
compañías de EE.UU. eviten las interrupciones en
sus transacciones de negocio con la UE. Certificar el puerto
seguro asegurará que las organizaciones de UE sepan que su
compañía proporciona protección de intimidad
"adecuada", como definida por la Directiva.
El acuerdo Safe Harbor ha generado una larga lista
de compañías americanas que cumplen los principios
básicos en protección de datos de la directiva
europea y contra las cuales las empresas y organizaciones
pertenecientes a los países de la comunidad pueden
realizar transacciones internacionales de datos con la
tranquilidad de estar amparadas por la legalidad.
Para adherirse a esta lista las organizaciones estadounidenses
tienen que "auto-certificar" que cumplen los estándares
promulgados por la directiva europea al departamento de comercio
de los EEUU.
Obviamente se otorgan beneficios a empresas que se
adhieren al acuerdo Safe Harbor, pero la participación en
él y la auto-certificación es totalmente
voluntaria. La ausencia de una organización de la lista no
significa que no proporcione protección efectiva a datos
de carácter personal o que no reúna los requisitos
para los beneficios del puerto seguro, pero lo cierto es que, de
no figurar en él, no podrá mantener transacciones
de datos de carácter personal con los países
pertenecientes a la Comunidad Europea.
Además, la notificación de cada
empresa
perteneciente a la lista será efectiva durante un periodo
de doce meses. Por lo tanto, las organizaciones necesitan
informar al Departamento de Comercio año con el fin de
reafirmar su adherencia continuada al acuerdo marco Safe Harbor,
en virtud del principio de "datos actualizados" de la
directiva.
Otra posible forma de proteger la intimidad de
información transferida a países que no
proporcionan "protección adecuada" es establecer un
contrato
privado que contiene cláusulas contractuales de
protección de datos estándares. Este tipo de
contrato ataría el tratamiento de datos con el fin de
respetar prácticas de información acertada y acorde
con el derecho. En el caso de datos transferidos de la
Unión Europea, el contrato tendría que tocar el
estándar para satisfacer la Directiva en Protección
de Datos. Varias cláusulas modelo que se
podría incluir en un contrato de ese tipo fueron esbozados
en 1992 dentro de un estudio realizado de manera conjunta por el
Consejo de Europa, la Comisión Europea y la Cámara
Internacional de Comercio. En junio de 2000 informe, el
Parlamento Europeo acusaba a la Comisión europea de una
"omisión grave " al fracasar en preparar el
estándar contractual de cláusulas que los
ciudadanos europeos podrían invocar en los tribunales de
terceros países antes de la Directiva de
Datos.
En julio de 2001, la Comisión emitía
una sentencia definitiva aprobando las cláusulas
contractuales estándar. Durante el proceso que prepara,
los Estados Unidos criticaban el estándar europeo alegando
que era "excesivamente oneroso" e "incompatible con el
funcionamiento real de las transacciones de datos
mundiales.
Una vez asegurado el que se cumplen los principios
básicos de las leyes sobre protección de datos en
ciertos países donde se pretende transaccionar con ellos,
sea mediante directivas comunes o mediante el establecimiento de
contratos
privados, el siguiente paso que se debería contemplar a mi
juicio sería el conseguir unificar los diferentes
reglamentos técnicos de tratamiento de ficheros
informáticos que contengan datos de carácter
personal entre sí con el fin de que los programas y
sistemas de
información que los tratan puedan seguir ciertos
protocolos
estandarizados.
Como sabemos, los reglamentos constituyen el
manual de
referencia para que la empresa u
organización pueda conocer paso a paso cómo debe de
realizar el tratamiento de los datos que posee, como por ejemplo:
la realización periódica de copias de seguridad
así como un almacenamiento e
inventariado adecuado de las mismas, el establecimiento y
ensayo de
políticas de recuperación de datos, la
creación de perfiles y permisos de acceso a los sistemas o
recursos que
tratan los datos de carácter personal, la necesaria tarea
de llevanza de registros o logs
de acceso y de incidencias técnicas,
etc…
Los que pertenecemos al mundo de la informática sabemos que esto no son
más que medidas de "sentido común" para conseguir
que los programas informáticos no se conviertan en
nuestros enemigos sino en un activo más de la empresa o
entidad que trata datos personales. A todo ello debemos de
añadir que es tan importante el dotarse de sistemas y
recursos informáticos coherentes como el formar
adecuadamente al personal que los trata. De nada nos sirve
disponer de la tecnología más
avanzada y de planes de contingencia y operatividad adaptados a
la legislación vigente en protección de datos, si
luego los encargados de manipular esos recursos no siguen unas
pautas mínimas, siempre mencionadas en los reglamentos,
que les ayuden a que esos datos sean CONFIDENCIALES, estén
DISPONIBLES para los que tienen que trabajar con ellos y sean
ÍNTEGROS durante todo el flujo de tiempo en el que la
organización dispone de ellos.
Por ello considero que es necesario establecer a
nivel europeo e internacional un reglamento común que
lleve a cabo un modus-operandi fijo que trate los ficheros de
datos personales preservando los principios de
CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD. Así,
los diferentes proveedores
que realicen y comercialicen aplicaciones y sistemas de
información que puedan tratar datos de carácter
personal, deberán de adecuarlos a éste reglamento
común y seguir sus estándares.
En definitiva, no sólo es necesario el
establecimiento de directivas comunes y leyes que regulen la
protección de los datos de carácter personal sino
también el crear códigos de buenas prácticas
cuyo componente técnico sea el principal, que adapten y
sirvan de manual para los desarrolladores de productos y
redes y para el
personal que tenga acceso a ellos.
Una Agencia de
Protección de Datos
Internacional
Si, como hemos visto, creo que es importante el
establecimiento de reglamentos técnicos comunes, considero
además que es vital la creación de una agencia de
protección de datos internacional u organismo de
coordinación similar que vigile por el cumplimiento de
todos estos puntos.
Los principios que siguen las agencias de
protección de datos ya existentes son los
siguientes:
· Las
autoridades de protección de datos deben ser autoridades
públicas implementadas por el articulado legal. Este marco
legal, derecho, ley o (según tradición local)
medida reguladora, debe ser transparente y tener "suficiente
permanencia".
· La
autoridad debe
tener el beneficio de garantías de autonomía e
independencia.
· Debe
de ser, de manera especial, capaz de realizar sus acciones sin
tener que pedirle autorización a nadie, actuando de forma
libre y con independencia
política o gubernamental; además, debe de
resistir la presión por parte de ciertos grupos de
interés.
· Esta
autoridad debe de tener no solamente un papel consultivo, sino
que debe de ostentar también un poder de
vigilancia que incluya consecuencias legales o
administrativas.
En la actualidad se están llevando a cabo
diversos acuerdos o convenios marco entre algunas autoridades
europeas e iberoamericanas en protección de datos, pero
obviamente lo ideal sería el establecimiento de una
entidad internacional que cohesionara a todas ellas. Como podemos
ver en el siguiente ejemplo, que reproduce el texto del
convenio marco firmado en Octubre de 2004, los puntos en los que
se inciden son prácticamente los mismos que hemos
mencionado anteriormente.
Acuerdo entre APD y
Agéncia Búlgara
"El objetivo del acuerdo es incrementar la
cooperación entre Autoridades de Protección de
Datos, de cara a establecer una aplicación uniforme de las
legislaciones nacionales de protección de datos existentes
y para afrontar los retos de la Sociedad de la
Información. Para ello, la Agencia Española de
Protección de Datos contribuirá con la experiencia
adquirida en proyectos de
cooperación con Autoridades de Protección de Datos
de los nuevos Estados Miembros de la Unión Europea en la
implantación del acervo comunitario en el campo de la
protección de datos. Ambas instituciones
desarrollarán acciones conjuntas en materia de
protección de datos en relación con: el desarrollo
legislativo, la cooperación en el campo internacional, el
intercambio de información, especialmente el referido a la
supervisión y el control, y el
intercambio de experiencias en el campo de los nuevos desarrollos
tecnológicos y legislativos…"
"…Ambas instituciones de supervisión de
protección de datos son conscientes de la inevitable
necesidad de incrementar la cooperación entre Autoridades
de Protección de Datos, de cara a establecer una
aplicación uniforme de las legislaciones nacionales de
protección de datos existentes y para afrontar los retos
de la Sociedad de la Información. Esta necesidad incluso
se ha incrementado por el reconocimiento explícito del
derecho fundamental a la protección de datos personales
que ha realizado la Carta de
Derechos Fundamentales de la Unión Europea y el Proyecto de
Tratado que establece una constitución para
Europa…"
"…Las dos Autoridades de supervisión han
identificado los campos en los que el trabajo
conjunto sería más beneficioso para las dos
instituciones y, por lo tanto, éste podría ser
dirigido a los siguientes campos, sin excluir otras áreas
que pudieran aparecer en un futuro:
– Desarrollo legislativo para obtener una adecuada
protección de los derechos de los
ciudadanos.
– Cooperación en el campo internacional,
dirigida a la obtención de una solución armonizada
a los distintos problemas.
– Protección de datos en los campos de
cooperación policial y judicial en aras a preparar la
participación de la Comisión Búlgara en las
Autoridades Comunes de Control del Tercer Pilar (Schengen,
Europol, Sistema de
Información Aduanera y Eurojust).
– Intercambio de información, especialmente
la referida a la supervisión y el
control.
– Intercambio de experiencias en el campo de los
nuevos desarrollos tecnológicos y
legislativos…"
Lo necesario sería ahora que todos los
países o territorios en los que existe un acervo medio
sobre protección de datos, reprodujesen este mismo tipo de
acciones.
Mapa Mundial de
Competencias
en protección de datos
Según el Informe Privacy & Human Rights
2003, el mapa global que comprende la legislación mundial
sobre protección de datos tiene el siguiente
aspecto:
Como podemos ver en el mapa, los tres
colores
representativos están bien repartidos y cada uno de ellos
supone un tercio aproximadamente de la superficie
mundial.
Resulta curioso como EEUU puede equipararse en
este gráfico con África y el medio o lejano
oriente, mientras que países en vías de desarrollo
como la India o
Centroamérica, están en vías de adaptarse a
una legislación efectiva en materia de protección
de datos.
Hasta que entre todos no consigamos que los
colores de mapas como este
se unifiquen o tengan un componente predominantemente azul,
seguirán existiendo las posibles vulnerabilidades de
nuestros datos ya que, aunque nuestro país siga fielmente
la legislación consensuada, un sencillo viaje de
vacaciones a EEUU o un buzón de correo
electrónico gratuito en un proveedor de otro
país, puede hacer que nuestros datos sean captados,
tratados, intercambiados o vendidos por entidades
(públicas o privadas) que, no estando sujetas en su
país a ningún tipo de ilegalidad, vulneren
gravemente los principios en los que está basada nuestra
sociedad y nuestra vida privada.
¿Qué podemos hacer nosotros como
ciudadanos? ¿Escudriñar el mapa de la página
anterior para saber a qué países podemos viajar "de
manera privada"? o bien ¿Debemos de no mantener
correspondencia electrónica a través de proveedores
extranjeros aunque sean más económicos que los
existentes en nuestro país?. Es aberrante el solo hecho de
plantearse estas preguntas …¿o no?.
·
Acuerdo de Cooperación entre las Autoridades
Españolas y Búlgara de Protección de
Datos AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS,
6 de Octubre de 2004
·
Decisión de la Comisión de las Comunidades
Europeas sobre la transferencia de los datos de pasajeros a los
Estados Unidos. CEE 15 de Julio de 2004
·
Directiva de EC sobre la Protección de Datos
95/46/EC Comunidad Europea ? Año 95
·
Directiva de Protección de Datos de
Telecomunicación 97/66/EC Comunidad Europea ?
Año 97
·
Informe Privacy & Human Rights 2003 – Cedric
Laurant (Electronic Privacy Information Center) ? Enero de
2003
Beatriz Martínez
Cándano