martes, 5 de julio de 2011

¿CONTROL ADMINISTRATIVO Y MERCANTILIZACION EN EL PROYECTO DE LEY DE DATOS PERSONALES EN EL PERU?

Por: Carlos FERREYROS SOTO


Doctor en Derecho de la Informática, Université de Montpellier I
Licenciado en Documentación, Université de Montpellier III
Profesor Contratado en la Université de Perpignan, France
Corresponsal de Informática y Libertades (CIL) Francia; www.informatique-libertes.net/
Consultor en Derecho Informático; www.sistemas.com.pe/pdp/
Correo electronico: cferreyros2004@yahoo.es

 

INTRODUCCIÓN

a. Tratamiento de los principios.

b. Organización y funciones de la autoridad administrativa.

CONCLUSIONES PRELIMINARES

BIBLIOGRAFÍA

 

RESUMEN

La presente ponencia analiza la concepción y los textos relativos a los principios de protección de los datos personales en el Proyecto elaborados por el Ministerio de Justicia del Perú y la Ley Orgánica de Protección de Datos de Carácter Personal de España, Ley 15/1999, afín de conocer si el Proyecto acentúa un mayor control administrativo del Poder Ejecutivo sobre los datos personales, y si el Proyecto quiebra o continua y/o refuerza la mercantilización de los datos personales.

 

PALABRAS CLAVES

DATOS PERSONALES/PROTECCIÓN/PERÚ/ESPAÑA/CONTROL ADMINISTRATIVO/MERCANTILIZACIÓN/PODERES DEL ESTADO/PODER EJECUTIVO/MINISTERIO DE JUSTICIA/ACCESO A LA INFORMACIÓN/DERECHOS HUMANOS//

 

INTRODUCCIÓN

 

Esta ponencia es acápite de un Libro que el autor prepara sobre un tema más amplio, cuyo título preliminar es: “Derecho de Personas, Identidad e Identificación numérica”.

 

Dos hipótesis subyacen en esta Ponencia: la primera, referida a: ¿Si el Proyecto de Ley de Protección de Datos Personales, elaborado bajo la tutela del Ministerio de Justicia del Perú, MINJUS, acentúa un mayor control administrativo del Poder Ejecutivo sobre los datos personales?; la segunda, ¿Sí el Proyecto continua y refuerza la mercantilización de los datos personales?

 

Los requisitos impuestos en la presentación de las Ponencias al Congreso "II Encuentro Latinoamericano de Bibliotecólogos, Archiveros y Museólogos", no permiten hacer una demostración exhaustiva de las hipótesis planteadas, solo acaso la comparación entre dos concepciones y textos de ley, y algunas referencias sobre lo que ha “quedado en el tintero”, al decir de Ricardo Palma, nuestro bibliotecario mendigo.

 

Aun cuando la Comisión del Proyecto del Ministerio de Justicia, MINJUS - en adelante el Proyecto - reconoce haber: “tomado como base importante” Ley Orgánica de Protección de Datos de Carácter Personal de España - en adelante, la Ley 15/1999 - subsisten marcadas diferencias, omisiones, adendas como exactas coincidencias.

 

La idea de esta confrontación preliminar y análisis es obtener un primer escenario de la relación entre ambos cuerpos legislativos y establecer algunas tendencias mayores sobre la visión de la protección de datos personales de la virtual Autoridad de Protección de Datos Personales en el Perú. Dos variables nos orientan para este propósito: el tratamiento de los principios de protección de los datos personales y la organización y funciones de la autoridad administrativa.

 

El análisis, en forma de acotaciones, se centra sobre los principios de protección y de autoridad administrativa sobre los datos personales, propuestos entre el Proyecto del MINJUS y la Ley española N° 15/1999. Al final se presentan algunas Conclusiones Preliminares.

 

Actualmente, el Proyecto de Ley de Datos Personales ha sido enviado por la Presidencia de la República al Congreso de la República para su debate legislativo, Se desconoce si este será debatido en la penúltima legislatura del actual gobierno iniciada el 28 de julio último o en la próxima del otoño del 2011.

 

 a. Tratamiento de los principios.

 

 Los principios propuestos por la Comisión en el Proyecto son: información, responsabilidad, consentimiento, excepciones al consentimiento, consentimiento para la cesión o transferencia de datos personales, clasificación especial, seguridad, seguridad en los contratos y confidencialidad.

 

 Numerosos artículos de la Ley 15/1999 han sido transpuestos en el Proyecto, aunque algunos aspectos previstos en el primero no tienen el mismo rigor, precisión o acuciosidad de la segunda. De otro lado, existen marcadas diferencias, omisiones, como inclusiones inapropiadas, es el caso de la institución Centrales Privadas de Información de Riesgos y de Protección al Titular de Información, CEPIRS, preexistente ya en la legislación nacional, pero cuya legitimidad en el Proyecto debiera haber merecido un mayor análisis sobre su pertinencia.

 

 a.1. Información.

 

 El principio de Información, artículo 6°, en el Proyecto, torna alrededor de la idea que el interesado o la persona de la cual se recaban sus datos personales, debiera ser informado de esta obtención.

 

6.1. Para efectos de la obtención de los datos perso­nales, el interesado deberá ser previamente infor­mado, de modo expreso, explícito, detallado e in­equívoco:

 

6.1.1. Del responsable del fichero o quien solicita sus datos.

La Ley 15/1999 incluye dos criterios que no han sido tomados en cuenta u omitidos por la Comisión: que pueda ser también informado el interesado por el representante del responsable del fichero, agregando dos condiciones: la identidad de estos y su dirección.

 

6.1.2. De la finalidad del fichero y de los motivos para los que se solicitan los datos personales.

El Proyecto no toma en cuenta u omite el hecho de informar al interesado sobre la existencia de un fichero o tratamiento de datos de carácter personal, ni menos el destinatario de los mismos.

 

 Párrafo 6.1.3. De la cesión o transferencia de los datos personales.

La Ley 15/1999 utiliza en varios artículos la noción de cesión.

En su Artículo 3. Definiciones, al referirse a: c) Tratamiento de datos: [1] considera a la cesión como una forma de tratamiento de datos, que resulten de comunicaciones, consultas, interconexiones y transferencias. En el mismo artículo inciso i) Cesión o comunicación de datos: [2] la define como revelación o comunicación de datos realizada a una persona distinta del interesado. En ningún caso la identifica como transferencia de la propiedad del fichero o archivo, aunque este criterio ha sido evocado en las Directivas europeas, bajo condiciones bastante precisas.

En el Artículo 7. Datos especialmente protegidos. Inciso 2. [3] la Ley 15/1999 al referirse a la excepción de los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, se prevé que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

En el Artículo 8. Datos relativos a la salud. La ley 15/1999 prevé una derogación contraria, respecto de la cesión consignada en su artículo 11°, en la cual no se requiere el consentimiento del interesado para el tratamiento de datos relativos a la salud, y a justa razón, porque existe un bien mayor a proteger el de la sociedad, en desmedro del derecho de la persona. [4]

En el Artículo 11. Comunicación de Datos. Inciso 1, se precisan las relaciones entre el cedente, el cesionario y el interesado. El principio es el previo consentimiento del interesado. El mismo que se completa con los fines y funciones legítimas (determinadas por la ley) del cedente y del cesionario. [5] El precedente inciso se completa con las excepciones previstas en el inciso 2 del mismo artículo [6] relativas a las excepciones previstas para la ley (datos necesarios para la administración del Estado, la defensa, la seguridad o la transferencia internacional de datos personales), de fuentes accesibles al público, de una relación jurídica o de una exigencia administrativa o jurisdiccional.

El Artículo 27. Comunicación de la cesión de datos. Se refiere al procedimiento a seguir en el caso de comunicación de la cesión: información al interesado, finalidad del fichero, naturaleza de los datos cedidos. Lamentablemente la Ley 15/1999, si bien exige el nombre y dirección del cesionario, no requiere los mismos identificantes para el cedente. Esta obligación de Comunicación de la cesión de datos, no es aplicable en el caso de los artículos 6° Consentimiento del afectado, 11° Comunicación de datos, incisos 2, párrafos c), d), e) y, ni cuando la cesión sea impuesta por la ley. [7]

El Artículo 44. Tipos de infracciones establece en su inciso 4. Son infracciones muy graves: b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

Finalmente, en el Artículo 49. Potestad de inmovilización de ficheros. En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

Los párrafos siguientes del artículo 6°, que van del 6.1.4. al 6.1.7. propuestos por la Comisión, todos ellos corresponden exactamente a los propuestos en la Ley 15/1999.[8]

En el párrafo 6.1.8. del artículo 6°, el Proyecto propone algo inédito en las múltiples leyes que hemos podido identificar y analizar, incluyendo la Directiva N° 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea sobre la materia, y que los proponentes del Proyecto mencionan en la Exposición de Motivos, III. Situación Internacional de Protección de Datos Personales: “los interesados de los cuales se solicitan sus datos personales, deberían ser informados de la cesión de datos personales a favor de ficheros de solvencia patrimonial administrados por las Centrales Privadas de Información de Ries­gos, CEPIRS u otros similares”. Este inciso no tiene equivalencia con la Ley 15/1999, y será motivo de un análisis más detallado al referirnos al tema de la mercantilización de los datos personales.

Sobre este párrafo cabe la pena mencionar que éste no solo no protege los datos personales de los titulares sino trasgrede dos otros principios internacionales: el de prohibición de interconexión de archivos o ficheros, y el que los datos personales solo puedan ser violentados por motivos de defensa y seguridad nacionales, y no a fines privados.

 El párrafo 6.1.9. del artículo 6°, propuesto en el Proyecto, relativo al tiempo durante el cual se pueden con­servar los datos personales, ha sido tomada en cuenta la Ley 15/1999, pero la Comisión pero no precisa un tiempo determinado. Sin embargo, si nos referimos al Artículo 4° de la Ley 15/1999 Calidad de los datos, se hace referencia indirecta a estos términos. En una de nuestras notas de pie de página indicamos que el criterio de conservación es relativo, porque este es tributario de la necesidad o pertinencia de la finalidad de los datos, y que estos criterios son variables[9]: en función de las disposiciones aplicables, o de un contrato celebrado entre la persona o entidad responsable del tratamiento y el interesado, en el cual ambas fijan el tiempo de conservación.

 Inciso 6.2. En caso de que los interesados no sean informados debidamente; según lo indicado precedentemente, pueden negarse a proporcionarlos, pudiendo impugnar o ejercer las acciones que estime con­venientes dentro de lo establecido por esta Ley y sus normas complementarias.

La Ley 15/1999, precisa con mayor detalle las impugnaciones o el ejercicio de determinadas acciones: Artículo 5°, inciso 1, d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

 

 Inciso 6.3. En el caso que se utilicen cuestionarios u otros impresos para la obtención de datos personales, deberán acompañarse a éstos las advertencias que hagan posible conocer la información a que se refiere el presente artículo.

 En la Ley 15/1999 figura casi el mismo texto, en el artículo 5, inciso e) numeral 2, del Derecho de información en la recogida de datos.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

 

 6.4. Cuando se trate de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, actividad comercial y otras actividades si­milares, se podrán utilizar nombres o direcciones, cuando la persona lo consienta por escrito o ex­presamente, así como otros datos personales que figuren en las fuentes accesibles por el público, debiendo indicarse el origen de los datos.

La Ley 15/1999, en su Artículo 30. Tratamientos con fines de publicidad y de prospección comercial, establece en su inciso 1., casi similar principio, varía solo el tiempo del verbo: el condicional por el imperativo. [10]

El nuevo Código de Consumo aprobado hace poco en el Perú, debiera servir de referencia al momento del debate legislativo del Proyecto que analizamos.

 

 a.2. Responsabilidad.

 

 El artículo 7° Responsabilidad de la Comisión, y todos sus incisos, incluyendo el párrafo final que lo acompaña son más o menos similares a los previstos en la Ley 15/1999, sobre todo con los Artículo 4. Calidad de los datos y el Artículo 43. Responsables. Solo el inciso 7.3. es diferente por la concepción general respecto de la garantía del ejercicio de los derechos de los interesados. Mientras la Comisión se propone garantizar el ejercicio de los derechos del interesado reconocidos en la presente ley, en la Ley 15/1999, artículo 4° se precisa que el derecho de los interesados se refiere a los datos almacenados y que estos lo serán de forma tal que permitan el ejercicio del derecho de acceso.

 Este último artículo, se complementa con los derechos previstos en la Ley 15/1999, en los artículos: 5° Derecho de información en la recogida de datos, inciso 1, párrafo d); 9° Seguridad de los datos, inciso 1; 15° Derecho de acceso; 16° Derecho de rectificación y cancelación; 17°. Procedimiento de oposición, acceso, rectificación o cancelación; 18°. Tutela de los derechos; Artículo 20° Creación, modificación o supresión, inciso g); y 23° Excepciones a los derechos de acceso, rectificación y cancelación.

 a.3. Consentimiento.

 

 Según el artículo 6° de la Ley 15/1999: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. El artículo 9° del Proyecto, es más detallado, precisa que debe ser: “previo, informado e indubitable del interesado”. En el caso de los datos sensibles dicho consentimiento además será inequívoco, expreso y por escrito, salvo las excepciones previstas en el artículo siguiente y otras pre­vistas por ley.

 

La propuesta es conforme a la tendencia internacional, pues va en el mismo sentido de las declaraciones de datos personales más corrientes realizadas en los países europeos, principalmente. Sin embargo, esta propuesta es contradictoria con lo expuesto en el párrafo 6.1.8. del artículo 6° del Proyecto, “sobre la cesión de datos personales a favor de ficheros de solvencia patrimonial administrados por las Centrales Privadas de Información de Ries­gos, CEPIRS u otros similares”.

 

El consentimiento para el tratamiento de los datos va en doble sentido: de aquel que trata los datos quien lo requerirá del afectado, y de éste mismo, quien lo requerirá de la Autoridad de Datos Personales, bajo las llamadas normas simplificadas, establecidas conforme a un modelo ya definido, y aplicables en particular a las administraciones y de las personas morales u organismos privados que administran un servicio público. Es imperativa la declaración previa a la puesta en marcha del tratamiento o del fichero que contiene los datos personales. Por oposición, la otra forma de declaración es la normal, más extensa, e incluye a los organismos privados que administran bienes y servicios privados, e incluyen las declaraciones de datos sensibles de los organismos públicos y privados. En ambos tipos de declaración, la propuesta es expresa, inequívoca y se presenta firmada por el representante legal, el responsable informático, y actualmente, en el caso francés después de 2004, por los Corresponsales de Informática y Libertades o Corresponsales de Datos Personales (CIL). De establecerse las normas simplificadas, pre-establecidas ya, por la Autoridad de los Datos Personales, la declaración previa, informada e indubitable al titular de los datos personales no tiene sentido pues las normas han sido previamente publicadas, debatidas y consensualmente aprobadas por la Autoridad de Datos Personales.

 

Cuanto a la revocatoria del consentimiento y al consentimiento de los incapaces otorgado por sus representantes a que alude el Proyecto, el primero es idéntico a la Ley 15/1999, y el segundo, entiendo que la Autoridad de Protección de Datos Personales española no tuvo necesidad de mencionarlo pues este derecho había sido tratado ya en el Código civil.

 

 a.4. Excepciones al consentimiento.

 El Proyecto destaca en su Artículo 9° algunos casos de excepciones al consentimiento, cuatro son similares a los propuestos en el Artículo 6° Consentimiento del afectado en la Ley 15/1999. Es el caso de los incisos: 9.1., 9.3., 9.4., 9.5.; solo dos casos no han sido contemplados: el 9.2. y el 9.6., referidos a la identificación o individualización de datos e información de las personas fallecidas que se em­pleen en investigaciones de carácter científico, y las referidas al CEPIRS. No se requerirá el consentimiento del interesado cuando: 9.6. Los datos personales o información de riesgo cons­ten en los ficheros de las Centrales Privadas de Información de Riesgos -CEPIRS o similares.

 

 Sobre estos dos últimos, los datos personales del primero, si bien no existen antecedentes específicos, creo que deberían caer bajo el consentimiento de los familiares, a través de la obligación de preservación de la memoria y honor del difunto, como en caso de los incapacitados, y solo podría exceptuarse el consentimiento de sus parientes próximos, si se deduce de las investigaciones que se encuentra comprometido el interés vital de su entorno, o la seguridad pública. Cuanto al segundo, los CEPIRS, serán materia de análisis específico en el libro que se encuentra en preparación. Podemos adelantar, sin embargo, que por técnica legislativa, este párrafo, debería ser incluido como Disposición Transitoria, toda vez se refiere a datos personales en giro, que “cons­ten en los ficheros de las Centrales Privadas de Información de Riesgos - CEPIRS o similares”. Desde el punto de vista del consentimiento, nos reafirmamos en la transgresión del principio del consentimiento del titular de los datos personales y de las excepciones referidas a la seguridad y defensa nacionales, como ha sido ya normado en otras legislaciones.

 

 a.5. Consentimiento para la cesión o transferencia de datos personales

 La propuesta de este articulo puede ser visto desde dos ángulos, el primero, a partir de la noción de cesión avanzada por el Proyecto, diferente de aquella legislada por la Ley 15/1999, y el segundo, respecto a la finalidad, legitimidad y a las partes intervinientes en la cesión.

 

En relación a la noción de cesión, el Artículo 10° del Proyecto establece el previo consentimiento expreso del interesado para la cesión o transferencia de datos personales. La técnica legislativa utilizada por el Ley 15/1999 fue más rigurosa en definir, al menos operativamente, la univocidad de la noción. En su artículo 3° Definiciones, inciso c) Tratamiento de datos: la Ley 15/1999 estima la cesión de datos como una de las formas de tratamiento “(…) las cesiones de datos (son aquellas) que resulten de comunicaciones, consultas, interconexiones y transferencias”. Existe entonces una enorme diferencia entre dos conceptos que la Comisión elaboradora del Proyecto pretende como sinónimos: datos comunicados o datos cedidos a terceros, y la consideración de cesión de datos expresada por el Ley 15/1999 como una forma de tratamiento, resultante de comunicaciones, consultas, interconexiones y transferencias.

 

 Respecto a la finalidad, legitimidad y partes intervinientes en la cesión, el Proyecto no las toma en cuenta, mientras que Artículo 11° Comunicación de datos de la Ley 15/1999 sí; precisando que si bien los datos personales podrán ser comunicados a terceros con el previo consentimiento del interesado, estos solo lo serán para el cumplimento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario. La cesión debe respetar entonces dos principios: el de finalidad y el de legalidad de las funciones de las partes intervinientes en la cesión: el interesado, el cedente y el cesionario.

 

 Cuanto a las excepciones al consentimiento de la cesión, el Proyecto establece en el inciso 10.1. de su propuesta varios casos de figura, algunos de los cuales son más o menos similares, o han sido adaptados a la organización del Estado peruano a los propuestos por la Ley 15/1999, es el caso de los apartados: 10.1.1., 10.1.2., 10.1.3., 10.1.4., 10.1.5. Solo el apartado 10.1.6., presenta una diferencia importante sobre la disociación. Según este parágrafo, la Ley 15/1999 indica que “Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. Obviamente, la idea subyacente de la Ley 15/1999 es proteger las posibles amenazas o violaciones a la vida privada e íntima de la persona humana, procedimiento que puede obtenerse a partir del cruce o interconexiones de ficheros, principio que ya hemos evocado. Disociando el contenido, o mejor, anonimizándolo, la condición del consentimiento previo y expreso no tiene sentido. Similar criterio no ha sido retenido en el Proyecto por la Comisión elaboradora.

 

 a.6. Clasificación especial

 El artículo 11° del Proyecto incorpora una clasificación especial de datos, los mismos que son definidos por la Ley 15/1999 como datos especialmente protegidos. No hay diferencias sustantivas entre ellos, ni cuanto a la clasificación especial de los datos, ni tampoco al previo consentimiento del interesado, salvo que debe ser escrito, en el caso del Proyecto. Otras legislaciones utilizan distintas denominaciones: datos sensibles, ficheros a riesgo, datos nominativos sensibles.

 

 El Proyecto no hace alusión a los derechos y libertades de la persona establecido en la Constitución peruana, como en el caso de la Ley 15/1999 respecto de la Constitución española, articulo 16, apartado 2 [11] pero sigue casi el mismo fraseo, incluso amplia el criterio de la Ley 15/1999: ideología, religión o creencias, a la afiliación sindical, origen racial, genético, salud o vida sexual y otros que señala el Reglamento de la presente ley. Esperemos que en éste se incluya otras categorías de datos sensibles o se corrija algunos que han sido propuestas en otras legislaciones. Por ejemplo: opiniones políticas y filosóficas. Los datos - y no los orígenes - genéticos, biométricos, las infracciones, condenas, o medidas de seguridad, los números de seguridad social, las apreciaciones sobre dificultades sociales de las personas, o de interconexiones. Incluyendo los tratamientos susceptibles de excluir determinadas categorías de personas del beneficio de un derecho, de una prestación, o de un contrato cuando no existe un marco legislativo o reglamentario.

 

 a.7. Seguridad

 El artículo 12° del Proyecto propone las medidas de seguridad a adoptar en el tratamiento de los datos por el responsable del fichero, las mismas que son similares a las propuestas por la Ley 15/1999, salvo la parte final del párrafo 2. de esta última, precisando el origen de los riesgos. Existen dos otras diferencias entre el Proyecto y la Ley 15/1999, relacionadas una, por la acción: no obtención de los datos personales de un lado o el no registro de los datos en el segundo. Dos, en el establecimiento de requisitos y condiciones que deban reunir los ficheros y las personas, previsto por la Ley 15/1999, mientras que el Proyecto solo se refiere a los ficheros.

 

 a.8. Seguridad en los contratos

 El artículo 13° del Proyecto prevé, en el caso de celebración de contratos para el tratamiento de datos y cuya ejecución permita el acceso a terceros la obligación de implementar las medidas de seguridad y guarda de secreto. La referencia más próxima a este concepto en la Ley 15/1999 es el Artículo 12. Acceso a los datos por cuenta de terceros. Según éste, la Ley 15/1999 delimita primero, el concepto de comunicación de datos; segundo, precisa una de las formalidades del contrato: por escrito o en alguna otra forma que permita acreditar su celebración y contenido, conforme a las instrucciones del responsable del tratamiento, su inaplicación para finalidad distinta de lo previsto en el contrato, ni comunicación, ni conservación, incluyendo las medidas de seguridad. Pero aún más: la Ley 15/1999 estipula que una vez cumplida la prestación contractual, los datos personales deben ser destruidos o devueltos, así como los soportes o documentos en que conste el objeto del tratamiento; como en el caso destino distinto de la finalidad por el responsable del tratamiento.

 

 a.9. Confidencialidad

 No existe mayor diferencia entre lo artículos 14° Confidencialidad, del Proyecto y el 10° Deber de secreto, de la Ley 15/1999, aun cuando los conceptos no son idénticos, y el Proyecto los asume como intercambiables. Una última diferencia estriba en la obligación de guardar secreto por el titular de fichero o el responsable del mismo, que propone la Ley 15/1999 pero que no es tomado en cuenta en el Proyecto.

 

b. Organización y funciones de la autoridad administrativa.

 En el Título V del Proyecto de Protección de Datos Personales, la Comisión elaboradora propone la creación de la Autoridad Nacional de Protección de Datos Personales, establece sus funciones, el régimen aplicable y define sus bienes y recursos.

 

 b.1. Creación

 El Artículo 35° del Proyecto crea la Autoridad Nacional de Protección de Datos Personales, en adelante APDAP, como organismo público descentralizado con personería jurídica de derecho pú­blico interno, adscrito a la Presidencia del Consejo de Ministros; con régimen de autonomía técnica, económi­ca, presupuestal y administrativa.

 La APDAP es la encargada de velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación. Se regirá por lo dispuesto en la presente Ley y en su Reglamento de Organización y Fun­ciones.

 

 La Ley 15/1999 igualmente en su Artículo 35° Naturaleza y régimen jurídico define:

 1. La Agencia de Protección de Datos, como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.

 2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado.

 Si bien la Ley 15/1999 y el Proyecto otorgan a la Agencia de Protección de Datos y a la Autoridad Nacional de Datos el carácter de ente u organismo público, la primera previó que esta tenga el carácter de descentralizado a fin de garantizar la independencia del organismo como lo establece en su considerando 62. la Directiva 95/46 sobre la Autoridades Nacionales de Datos Personales en los actuales veintisiete países de la Unión Europea, al momento de sus transposiciones[12].

Implícitamente, este considerando intenta situar las Autoridades de Datos Personales fuera del control de alguno de los Poderes del Estado: Ejecutivo, Legislativo, Judicial, o inclusive un eventual Poder Electoral. Por ello la Ley 15/1999 reafirma personalidad jurídica propia y plena capacidad pública y privada, con que actúa la Agencia, con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Es el caso igualmente el caso de la Commission Nationale d’Informatique et Libertés, CNIL. Ese no ha sido el caso de la Comisión elaboradora del Proyecto, quien le atribuye personería jurídica de derecho pú­blico interno, adscribiéndolo a la Presidencia del Consejo de Ministros y sometiéndolo al control del Poder Ejecutivo. La autonomía técnica, económi­ca, presupuestal y administrativa mencionada en la parte final del articulo pre citado resultan contradictorias por dependencia, mejor, sujeción a lo prescrito por el Poder Ejecutivo.

 

 b.2. Funciones

 Las funciones previstas en el Proyecto en su artículo 36° en sus 15° incisos son, de manera general, similares a las ya adoptadas por la Ley 15/1999. Solo hay dos funciones que no tienen correspondencia: los incisos 36.8. y 36.13. En el primero, la Comisión deberá comunicar al Ministerio Publico los casos de transgresión a la legislación sobre protección de datos personales pasibles de denuncia. Sin embargo, el artículo 28° sobre la Autoridad de Control, inciso 3°, de la Directiva 95/46/CE si lo contempla, afirmando que la autoridad de control dispondrá no solo de capacidad procesal, sino que sus decisiones administrativas podrán ser objeto de recurso jurisdiccional [13]. En el segundo, el Proyecto fija entre las funciones de la autoridad de datos personales, la de “Adoptar medidas cautelares que importen la ce­sión de los datos, la suspensión del tratamiento o la suspensión del fichero, entre otras medidas que establezca el Reglamento de la presente Ley”. Esta función no es explícita en la Ley 15/1999, pero se encuentra contemplada en la capacidad procesal antes mencionada resultante de la Directiva 95/46/CE, y no se restringe exclusivamente a las medidas previstas por la Comisión, sino a otras aplicables a la propiedad inmaterial: secuestro, embargo…

 

 b.3. Régimen aplicable

 Sustancialmente no existen diferencias entre lo previsto en el Proyecto en su artículo 37° y la Ley 15/1999 en su artículo 35°, respecto del régimen aplicable, en ambos casos los referentes son las propia ley, su reglamento y las normas aplicables al régimen jurídico de la administración pública y del procedimiento administrativo.

 La sola diferencia radica en el régimen regulatorio de las adquisiciones patrimoniales y contratación de personal de la autoridad de control, sujeta al derecho privado para la Ley 15/1999 y pública en el Proyecto. A esto la Ley 15/1999 precisa en su inciso 3°, del mismo artículo 35°: Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función. En el Proyecto de la Comisión no se mencionan las funciones del Director de la Agencia, quizás reservándose su desarrollo al momento de la elaboración del Reglamento.

 b.4. Bienes y recursos

 No existe diferencia alguna entre los bienes y recursos previstos por el Proyecto de la Comisión y los de la Ley 15/1999.

 

CONCLUSIONES PRELIMINARES

 

Las principales conclusiones preliminares a las que llegamos hasta ahora, se basan se refieren a las hipótesis planteadas en la Introducción, y que se trata aun de un Proyecto de Ley, Proyecto que suponemos será debatido por las fuerzas políticas y que además se requerirá elaborar su Reglamento; aunque ya existió antes un Proyecto de similar enfoque presentado por Carlos Chipoco, Antero Flores-Araoz, Barrón Cebreros Xavier, Flores Nano Lourdes, a fines de la década de los noventa por iniciativa parlamentaria del partido político al cual pertenecían y que fue archivado, este antecedente no ha sido mencionado en el Proyecto presentado por el MINJUS. Sobre el particular ver: www2.congreso.gob.pe/Sicr/TraDocEstProc/CLProLey1995.nsf [14]

 

En relación a la primera hipótesis: sobre si se acentúa un mayor control administrativo del Poder Ejecutivo sobre los datos personales, nuestra respuesta no puede ser sino afirmativa, el control administrativo y las funciones relativas a éste recaen en el Ministerio de Justicia, órgano integrante del Poder Ejecutivo. La Autoridad Nacional de Protección de Datos Personales, APDAP, también se arroga el control contencioso administrativo jurisdiccional como así lo prescribe el artículo 36° Funciones de la APDAP, 36.4. Resolver las reclamaciones formuladas por los in­teresados en segunda y última instancia. [15]

 

En relación a la segunda hipótesis: ¿Si el Proyecto continua y refuerza la mercantilización de los datos personales?, es igualmente afirmativa la respuesta. Solo citaremos un ejemplo: El Título II del Proyecto, artículo 6°, parágrafo 6.1. Establece que: “Para efectos de la obtención de los datos perso­nales, el interesado deberá ser previamente infor­mado, de modo expreso, explícito, detallado e in­equívoco”. Sin embargo, en el parágrafo 6.1.8. relativo a “la cesión datos personales e in­formación de riesgos a favor de ficheros de solvencia patrimonial administrados por las Centrales Privadas de Información de Riesgos -CEPIRS o similares, el Proyecto baraja varias nociones y procesos, no necesariamente relacionadas con los datos personales ni con la preexistencia de datos personales ya en explotación. Indicando que el “Reglamento establecerá disposiciones complementarias para los casos de cesión de datos per­sonales a favor de estas entidades”.

 

En primer lugar baraja varias nociones, cuando diferencia la cesión de datos personales de la información de riesgos; la pregunta obligada es: ¿Cómo establecer información de riesgos sin vincularlas a datos personales o a identificantes personales? ¿Es que existe información de riesgos sin vinculación a datos personales? La segunda observación es respecto al proceso, a los datos existentes ya en los CEPIRS. ¿Cómo proceder en el caso de las personas para autorizar la cesión de sus datos personales, si antes no se les ha pedido de manifestar su voluntad para el tratamiento de los mismos? Y ello ha sido resuelto indicando que el “Reglamento establecerá disposiciones complementarias, ¿cómo resolver lo complementario si antes no ha sido resuelto el principal? Creo que mientras no se discuta el Proyecto no podremos resolver las inquietudes que subraya sobre los datos personales, menos aún, no se podrá resolver la continuidad y reforzamiento de la mercantilización de los mismos por los CEPIRS u otras entidades de riesgos.

 

 

BIBLIOGRAFÍA

  • Ley Orgánica de Protección de Datos de Carácter Personal de España, Ley 15/1999
  • La loi 78-17 du 6 janvier 1978, France
  • Décret n°2005-1309 du 20 octobre 2005, France.
  • Proyecto de Ley de Protección de Datos Personales, Ministerio de Justicia, Perú, 2004
  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
  • Ley Nº 25326 Ley de Protección de Datos Personales, Argentina 2000.

 


[1] “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. “

[2] “Toda revelación de datos realizada a una persona distinta del interesado.”

[3] “Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. “

[4] Artículo 8. Datos relativos a la salud.

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

[5] Artículo 11. Comunicación de datos.

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

[6] 2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

[7] Artículo 27. Comunicación de la cesión de datos.

2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por ley.

[8] 6.1.4. Del carácter obligatorio o facultativo de su respuesta a las preguntas que se le plan­tee;

6.1.5. De las consecuencias resultantes de la ob­tención de los datos o de la negativa a suministrarlos;

6.1.6. De los derechos que le asisten respecto a sus datos, su acceso, modificación, rectificación y cancelación sobre los mismos;

6.1.7. De la identidad del responsable del trata­miento de los datos solicitados

[9] Ver Artículo 16 Derecho de rectificación y cancelación, inciso 5. de la Ley 15/1999

[10] “1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad., venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.”

[11] Artículo 16.

1. Se garantiza la libertad ideológica, religiosa y de culto de los individuos y las comunidades sin más limitación, en sus manifestaciones, que la necesaria para el mantenimiento del orden público protegido por la Ley.

2. Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

3. Ninguna confesión tendrá carácter estatal. Los poderes públicos tendrán en cuenta las creencias religiosas de la sociedad española y mantendrán las consiguientes relaciones de cooperación con la Iglesia Católica y las demás confesiones.

[12] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos: (62) Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

[13] 3. La autoridad de control dispondrá, en particular, de:

- poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

- poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

- capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional. (El subrayado es del autor)

 

[14] Ver Documentos de Ley Relacionados

Periodo:

Periodo de Gobierno 1995 - 2000.

Legislatura:

Primera Legislatura Ordinaria de 1999

Número:

05233

Fecha Presentación:

23/09/1999

Proponente:

CONGRESO DE LA REPÚBLICA

Grupo Parlamentario:

Título:

INFORMÁTICA: PRIVACIDAD DATOS-LEY DE...

Sumilla:

Ley sobre la Privacidad de los Datos Informáticos y la creación del Comisionado para la Protección de la Privacidad.

Autores(*):

CHIPOCO CACEDA CARLOS,FLORES-ARAOZ ESPARZA ANTERO, BARRON CEBREROS XAVIER,FLORES NANO LOURDES

Seguimiento:

27/09/1999 A Comisión Constitución y Reglamento
30/09/1999 En Comisión Constitución y Reglamento

(*) Proyectos presentados por el Congresista
(**) Proyectos de otros Congresistas a los que se ha adherido, son independientes de los Proyectos presentados por cada Congresista

[15] Aun cuando no ha sido tratado en este acápite, las prerrogativas establecidas en favor de ficheros de la Policía Nacional del Perú, y de la Administración Tributaria, artículos 25 y 26, respectivamente, en el Capítulo relativo a los Ficheros de la Administración Pública, el Proyecto no solo no toma en cuenta los criterios de Defensa y Seguridad Publica, para recrear sobre este principio los ficheros públicos – que puedan o no ser administrados por una entidad pública o no – si no, que no prohíbe que el tratamiento de los datos personales por estas dos entidades puede ser atentatorios o violatorios de delitos contra el perfil, la imagen o la identidad real o numérica de la persona vía las interconexiones de ficheros o el cruce de informaciones.

 

No hay comentarios:

Publicar un comentario