En los últimos meses la pregunta es recurrente en Ecuador: ¿Es necesaria una ley marco que regule la protección de datos personales? Para contestar esta importante interrogante, es preciso partir de una idea central y es que las leyes no son la panacea, ni la receta mágica, ni la única solución para hacer frente o resolver las problemáticas sociales.
Nuestra experiencia legislativa nos ha permitido evidenciar que una ley mal concebida, con errores conceptuales y sin el conocimiento jurídico y técnico especializado, como el que amerita una normativa de esta naturaleza, que posee tan alto componente tecnológico, puede ser más perjudicial que no contar con dicha regulación.
Estos errores en la construcción de leyes pueden provocar efectos muy nocivos y han sido la causa de que, otros proyectos de ley sobre esta temática, hayan fracasado.
Sin duda, el interés por la protección de los datos personales ha cobrado mayor importancia fruto de los vertiginosos avances tecnológicos y la irrupción de las nuevas tecnologías que facilitan el intercambio y circulación de la información, en grandes masas y a enormes velocidades, casi en tiempo real; así como por la injerencia permanente de las mismas en todas las actividades humanas. Esta vinculación tan estrecha entre la protección de la información personal y las nuevas tecnologías, pone de manifiesto la necesidad de analizar el impacto de las medidas regulatorias sobre protección de datos en el ecosistema digital.
La protección de datos personales es clave en la denominada sociedad de la información y por tanto la normativa que se desarrolle para regular este derecho fundamental debe ser construida con un enfoque multisectorial, esto es que sea fruto de un consenso social, con la participación activa, aporte y contribución del sector público, privado, academia y sociedad civil; caso contrario, estaremos ante leyes carentes de eficacia y legitimidad, que además no solucionan los problemas y necesidades de nuestro entorno.
Por otro lado, las normativas sobre protección de datos deben ser el resultado de una visión de país, desde un enfoque de reconocimiento de la era digital en la que nos encontramos inmersos, caracterizada por un uso masivo de las tecnologías de las información y comunicación en la que el intercambio y tránsito de la información es no solo incontenible sino necesario. En consecuencia, deberá considerar las políticas y acciones formuladas y emprendidas por el gobierno para el fortalecimiento de la innovación, el desarrollo de la industria TIC, comercio electrónico, entre otras, a fin de que exista armonía con el enfoque y los objetivos de la Ley.
Como dice el conferencista Uruguayo Marcelo Bauza “Las normas de protección de datos deben ser creadas siempre considerando que el principio de la libre circulación es la regla”.
El derecho a la protección de datos personales es un derecho de doble faz, por un lado, se busca proteger los datos personales del individuo y por otro lado, tiene que tender a un manejo equilibrado del derecho a fin de que permita el libre flujo de datos y este a su vez contribuya al desarrollo tecnológico y progreso económico del país.
Con esta premisa, creo que no existen recetas mágicas, la adopción de una ley específica en materia de protección de datos dependerá de la necesidad de cada Estado.
En el contexto ecuatoriano considero que es recomendable la adopción de una ley que permita desarrollar el derecho consagrado en la Constitución, pero este debe diseñarse, desde las necesidades propias y particulares de cada país, sin copiar modelos. Debe construirse con la participación activa de los actores a los que se dirige. Así también, debe establecer reglas claras, concretas y mínimas para lograr un equilibrio entre la tutela del derecho y la libre circulación de la información en la era digital.
Otro punto importante que deberá considerarse al momento de adoptar una ley de esta materia, es la identificación de toda la normativa dispersa y sectorial que sobre protección de datos existe en nuestro ordenamiento jurídico. Así, encontramos normas sobre protección de datos en la Ley Orgánica de Comunicación, Ley Orgánica de Telecomunicaciones, Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en el Código Ingenios, por citar solo algunos cuerpos de ley; a fin de armonizar estas disposiciones, evitar normas contradictorias e inseguridad jurídica.
En definitiva, un cuerpo legal sobre protección de datos personales deberá considerar: la adecuada y suficiente tutela de este derecho, el impacto en el ecosistema digital, mantener un equilibrio entre protección de derechos y desarrollo de la industria digital y desarrollo tecnológico; y su construcción deberá estar sustentada en la activa participación multisectorial.
Sin lugar a dudas, las leyes de protección de datos personales deben poner al individuo, al ciudadano en el centro de la tutela; así como también establecer herramientas efectivas y expeditas para el ejercicio pleno de su derecho.
Aquí juegan un rol importante los derechos ARCO: de acceso, rectificación, cancelación y oposición que materializan el ejercicio de este derecho.
Sin embargo, las leyes de protección de datos personales deben ser concebidas manejando un equilibrio, de tal manera que no impidan, ni restrinjan el libre flujo de datos e información que beneficia a los ciudadanos, al tener acceso a servicios e información personalizada y que mejoran su calidad de vida; al ecosistema de negocios, innovación y emprendimientos en un país; así como a la educación, ciencia y tecnología.
El tratamiento de los datos no debe ser visto desde una óptica negativa ni prohibitiva, el manejo de los datos adecuado es un gran aporte de la sociedad de la información, pues permite contar con mejor acceso a contenidos; así como con información adecuada.
En este sentido, una ley excesivamente tuitiva o con orientación sancionadora lejos de proteger o favorecer a los ciudadanos cada vez más ávido de por contar con aplicaciones, herramientas y servicios digitales, lo que provoca es una restricción al uso y desarrollo de las Tecnologías de la Información y Comunicación consideradas como medios que favorecen goce y ejercicio de los derechos humanos.
Siendo las entidades públicas los mayores concentradores de datos personales, su manejo, es un tema muy sensible, especialmente ante los casos de denuncias de mal uso, acceso no autorizado y utilización del aparato gubernamental para fines de espionaje político, o usurpación de identidad a través del acceso a datos personales contenidos en registros públicos ocurridos en el país, lo que nos lleva a hacer un análisis de cómo el Estado precautela, previene y garantiza el buen uso de los datos de los ciudadanos.
Por otro lado, al ser el sector privado otro de los destinatarios de la Ley, deben involucrarse activamente en la creación de la norma, a fin de tomar las medidas necesarias para proteger la información de sus usuarios, adoptar medidas técnicas de seguridad, cumplir las obligaciones previstas en las leyes de protección de datos, adoptar mecanismos de autorregulación, concienciar sobre el manejo responsable de los datos, socializar las obligaciones que deberán cumplir y conocer sus necesidades y problemáticas.
La Ley que se adopte debe contener reglas claras, concretas y mínimas; evitar la expedición de leyes reglamentarias, “a modo de enciclopedia” que generan confusión, que tornan complejo su análisis y comprensión; generando por ende un clima de inseguridad.
Las Leyes de Protección de Datos Personales deben poner al ciudadano en el centro de la tutela, es decir que la normativa debe estar orientada a establecer normas que protejan efectivamente su derecho. De lo cual se desprende que se debe evitar el establecimiento de obligaciones que poco o nada aportan a la eficaz protección de su derecho, como la notificación y registro de bases de datos y que únicamente generan cargas administrativas y expendio de recursos económicos infructuosos. Esta obligación ha sido incluso eliminada en el nuevo Reglamento Europeo de Protección de Datos que entró en vigencia el pasado 25 de Mayo del año en curso.
Otros aspectos fundamentales que debe contener una ley de esta naturaleza:
- Contener conceptos claros: Dato Personal, Datos Sensibles, Bases de Datos, Responsable del Tratamiento, Encargado del Tratamiento, etc.
La falta de claridad en los conceptos puede generar efectos perjudiciales en el sistema de protección. Considerar que todo dato personal es sensible, implicaría someter a todos los datos a medidas de seguridad y a requisitos para su tratamiento más estrictas que entorpecen el intercambio de información.
- El principio del libre flujo de información debe ser la regla.
- La determinación de los derechos para hacer efectivo su ejercicio: Derechos ARCO:
- Acceso, Rectificación, Cancelación y Oposición.
- Principios:
- a) Licitud: cumplimiento de la normativa, buena fe.
- b) Finalidad: destino de los datos para un fin determinado y concreto.
- c) Calidad: deben ser veraces y exactos.
- d) Proporcionalidad: solo se deben recabar datos adecuados o necesarios acordes al fin que se persigue.
- Deberes:
- a) Seguridad: adoptar medidas de seguridad.
- b) Confidencialidad: guardar reserva de los datos.
- Promover en la protección de datos en Internet modelos de autorregulación. (Políticas de Privacidad).
- Promover la transferencia internacional de Información: En el ecosistema digital las restricciones a las transferencias internacionales de información y el comercio transfronterizo digital pueden afectar el ecosistema del emprendimiento y la innovación y por ende generar efectos adversos para el desarrollo económico de cualquier país. En ese sentido, la regla general debe ser promover los intercambios de información a nivel internacional cumpliendo estándares internacionales.
- Adicionalmente, las normas de protección de datos deben enfocarse en la concienciación al ciudadano del uso responsable de las TIC, en la permanente capacitación del correcto uso y manejo de sus datos.
- Es preciso considerar que una ley basada en el Consentimiento Expreso (Opt-In) restringe considerablemente el tránsito de la información, materia prima de la industria digital, lo cual en el caso ecuatoriano iría en contrasentido con las políticas de cambio de la estructura productiva del país, y de fomento a la industria TIC, así como a la transformación digital. Desde luego, esto no quiere decir que la ley permita o favorezca el libertinaje de los datos, sino que se maneje un balance y equilibrio entre las dos caras de la moneda: protección y libre circulación de la información.
- Por otro lado, se debe evitar la creación de cuerpos de ley extensos, conocidos también como leyes reglamentarias que se tornan en normas complejas de comprender, de analizar y cumplir y que fomentan la inseguridad jurídica.
A continuación algunas reflexiones respecto a la institucionalidad en la Ley:
- La autoridad que se instaure en la Ley debe ser independiente de los poderes del Estado, debe gozar de autonomía. La autoridad que vela por los intereses de los ciudadanos debe estar exenta de intereses o presiones políticas o de cualquier otra naturaleza.
- Asimismo, sus atribuciones, facultades y deberes deben estar clara y concretamente determinados en la Ley, sin ambigüedades, ni subjetividades. En este punto se deben evitar frases como “las demás facultades que sean necesarias para el cumplimiento de la Ley”, pues dan lugar a interpretaciones abiertas y antojadizas.
- La autoridad debe tener primordialmente una función orientadora, capacitadora para el uso consciente y responsable de sus datos.
- Se debe abonar en la certidumbre jurídica eliminando facultades discrecionales de la autoridad que permitan el requerimiento de información de carácter personal innecesaria o que exceda sus fines o atribuciones, se sugiere evitar frases subjetivas o abiertas como “para fines de interés público, o nacional”.
- Los procesos administrativos que contenga la Ley deben estar sujetos a la observancia del debido proceso con todas las garantías correspondientes.
- Las decisiones administrativas deben estar sujetas a apelación, tanto por vías administrativas como judiciales.
- La normativa en este aspecto deberá también contemplar mecanismos de mediación y conciliación.
Sin duda este es uno de los grandes retos en materia de protección de datos personales.
El derecho a la protección de datos personales no es absoluto, al igual que el resto de derechos tiene sus límites, que están dados por el ejercicio de otros derechos, como son el derecho a la libertad de expresión, y el derecho de acceso a la información, concebido como un instrumento de transparencia para la gestión pública y mecanismo de lucha contra la corrupción.
De modo general éstos derechos conviven en armonía y juntos generan un ambiente de protección integral al derecho a la protección de datos personales, puesto que si bien el ser humano tiene derecho a expresarse y comunicarse libremente, existe cierta información que por pertenecer a la esfera íntima de las personas debe ser protegida; así también el derecho del ciudadano a acceder a información pública tiene sus límites en aquella información que si bien se categoriza como pública contiene información personal y confidencial de los ciudadanos. En definitiva, estos derechos y sus limitaciones operan como contrapesos para lograr u ejercicio equilibrado de los mismos.
No obstante, existen situaciones en las cuales el interés público, el bien común está por encima de intereses individuales, así por ejemplo cuando esa divulgación de datos personales es de interés para la comunidad. Algunos ejemplos: investigaciones periodísticas; o el pretender impedir el acceso a información personal necesaria para identificar el cometimiento de un delito por un funcionario público, amparándose en el derecho a la protección de sus datos personales.
En éstos casos generalmente se aplica la Doctrina de “Ponderación de Derechos” que hace un análisis de los siguientes elementos:
- a) Intereses Generales Superiores.
- b) Circunstancias particulares del caso.
- c) Bien común frente a bien individual.
En algunos países la legislación de datos personales se ha venido utilizando erróneamente para restringir y bloquear legítimos accesos a los datos personales, como es el caso del polémico “Derecho al Olvido”, que consiste en la facultad del titular de los datos para que en determinadas circunstancias, se borre, suprima o bloquee cierta información de carácter personal, ya sea porque esta es obsoleta, por que ha perdido relevancia o porque puede resultar dañina o lesiva de sus derechos.
Este nuevo derecho debe ser manejado con mucha cautela y con unos límites muy claros, ya que puede ser utilizado indebida y abusivamente para ocultar el cometimiento de delitos e impedir u obstaculizar investigaciones por parte de actividades ilícitas por ejemplo de funcionarios públicos.
Es importante resaltar en este punto que las leyes de protección de datos personales no fueron creadas, ni deben ser utilizadas como herramientas de impunidad.
En definitiva, considero que la Ley de Protección de Datos debe ser concebida y construida con las siguientes características:
- Debe ser una Ley equilibrada que contemple un balance entre la tutela eficaz del derecho a la protección de datos, la libre tránsito de la información como motor del desarrollo económico, en un mundo digital y globalizado.
- Debe ser construida con un enfoque multisectorial y participativo: sector público, sector privado, academia y sociedad civil.
- Debe tener carácter transversal.
- Deber contener reglas, claras mínimas y concretas.
Janette Colamarco Ureña
www.legaltech.com.ec
Recent Comments