protección de datos personales por los gobiernos mesa 4 ... · pueden, en principio, estar pasando...
TRANSCRIPT
93
Protección de datos personalesProtección de datos personalesProtección de datos personalesProtección de datos personalesProtección de datos personalespor los Gobiernospor los Gobiernospor los Gobiernospor los Gobiernospor los Gobiernos
Mesa 4:Mesa 4:Mesa 4:Mesa 4:Mesa 4:
ModerModerModerModerModeradoradoradoradorador::::: Alonso Gómez Robledo Verduzco: Comisionado del IFAI.
Carlos Arce Macías estudió la licenciatura de Derecho con Especialidad en Derecho Público en laUniversidad de Guadalajara y en la Universidad de Guanajuato.
Se ha desarrollado como abogado del Consejo Nacional de Ciencia y Tecnología; maestro de laFacultad de Derecho de la Universidad de Guanajuato; oficial mayor de la Presidencia Municipal deGuanajuato; director ejecutivo de la Asociación de Municipios de México, A.C.; asesor jurídico delgobernador Vicente Fox, entre otros cargos.
Participó en diversos cursos y diplomados en Alemania, Costa Rica, Chile, Brasil, entre otros países.Se desempeñó como Coordinador Jurídico del Equipo de Transición del licenciado Vicente FoxQuesada.
Fue el titular de la Comisión Federal de Mejora Regulatoria, un órgano desconcentrado de laSecretaría Economía, de diciembre del 2000 a marzo del 2004; encargado del control de lanormatividad del Gobierno Federal. Actualmente es Procurador Federal del Consumidor.
Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Carlos Arce Macías.
Agradezco la invitación a este IV Encuentro Iberoamericano de Protección de Datos Personales.Me da mucho gusto estar aquí discutiendo un tema tan importante para México.
Primeramente, sabiendo que en este encuentro participan, evidentemente, personalidades deotros países, con mucha puntualidad señalaré, en atención a ellos, el trabajo y la institución querepresento, que es la Procuraduría Federal del Consumidor.
En la ponencia, primeramente, voy a hablar precisamente de qué es y qué hace PROFECO, laproblemática en el manejo de datos personales y cerraría con una serie de soluciones quepropondríamos, en relación a la Ley Federal de Protección al Consumidor, la óptica nacional, laóptica internacional respecto a PROFECO los consumidores y los datos personales, concluyendoevidentemente con las conclusiones a las que llego en mi presentación.
94
Primeramente qué es y qué hace PROFECO. Esun organismo descentralizado de servicio social,tiene personalidad y patrimonios propios,desarrolla funciones de autoridadadministrativa.
Estas funciones son las relativas al encargo deproteger y promover los derechos de losconsumidores, procurar la equidad y la seguridadjurídica en la relación entre proveedores yconsumidores, y en ese sentido brindamosatención a los consumidores que no están deacuerdo con la relación que han establecido conlos proveedores. Tramitamos anualmente cercade 150 mil quejas de consumidores contraproveedores. En este sentido la PROFECO seconvierte en un sistema de acceso a la justiciapara un gran número de mexicanos.
También atendemos a los proveedores. Tenemosprogramas para mejorar precisamente todos sussistemas de calidad y de atención al cliente.
Impulsamos el cumplimiento de la ley, en la cualtenemos una serie de funciones especiales,algunas de ellas, de las cuales voy a hablar, quetocan precisamente lo relativo a datospersonales de una manera tangencial, y la parteprobablemente más importante de PROFECO,que es la relativa a la educación del consumidor.A crear una cultura del consumo inteligente:Impulso al cumplimiento a la ley, educación alos consumidores, atención a los consumidoresson los puntos vitales, los ejes principales deltrabajo de la Procuraduría Federal delConsumidor.
Pasaré a la parte relativa a la problemática en elmanejo de datos personales.
¿Cuál es la problemática que en estos momentosestamos enfrentando?
México no cuenta con un marco jurídico queregule el manejo adecuado de los datospersonales. Ello evidentemente afecta al titularde datos personales, dado que su uso se hace demanera indiscriminada. Esto quiere decir, no
sabemos dónde puedan acabar los datospersonales de cada uno de nosotros. Puedenandar circulando hoy ad limitum, sin ningún tipode regulación.
Para la política pública de protección alconsumidor, las actuales prácticas demercadotecnia directa e indirecta, en algunasocasiones, no hacen un uso adecuado de losdatos personales. Simplemente si nos vamosnada más a la parte de mercadotecnia tantodirecta como indirecta, veremos que de repentellega una serie de publicidad que no sabemoscómo llegaron nuestros datos, nuestro domicilioo bien nuestro número telefónico a manos deciertas empresas.
El titular de los datos, el consumidor, resultaafectado por prácticas comerciales que puedenser engañosas e incluso fraudulentas tanto anivel nacional como internacional.
Yo quiero comentarles que durante mipermanencia en la COFEMER, en la ComisiónFederal de Mejora Regulatoria, ahí procesamoslo que fue, sobre todo la iniciativa de acceso a lainformación, de la Ley Federal de Transparenciay Acceso a la Información. Ahí la construimos, yla promovimos junto con algunas otrasinstancias de gobierno; pero precisamentedurante este proceso de construcción de la LeyFederal de Transparencia y Acceso a laInformación, y analizando sobre todo el derechocomparado nos quedo, desde entonces, muyclaro que a México le faltaban otras dos leyespara complementar el paquete precisamente detransparencia y no era otra cosa sino dos leyesimportantes: La Ley de Archivos y, por supuesto,la Ley de Protección de Datos Personales.
De tal manera que este paquete, que tiene trespilares, hoy por hoy en México únicamente estásostenido en uno, que es la Ley Federal deTransparencia y Acceso a la Información PúblicaGubernamental, pero le faltan estos otros dosinstrumentos jurídicos tan importantes, comoson la Ley de Archivos y la Ley de Protección deDatos Personales.
95
La problemática en el manejo de los datospersonales. Esta institución, PROFECO, esespecialmente sensible en el contexto de lastecnologías de la información y de la economíadigital.
En México, en 2005 hay 17 millones deinternautas, de los cuales casi el 73 por cientoson jóvenes y jóvenes adultos que van de los 13 alos 34 años. Estos grupos poblacionales sonespecialmente vulnerables a un mal manejo desus datos personales en la transacción de bienesy servicios en línea.
Imagen ustedes que hoy por hoy gran parte delfuturo del comercio es esencialmente elcomercio electrónico y precisamente en la redvan a estar subidos todos los datos personales ogran parte de nuestros datos personales.
¿Qué está pasando ahí? ¿Qué regulación hay enMéxico? Es un gran reto, es un gran no solamentea nivel de México, sino realmente a nivelmundial.
Estos grupos poblacionales son especialmentevulnerables en estos servicios en línea yasimismo en el fenómeno de los correoselectrónicos no solicitados o publicidad nosolicitada en el Internet, como es el Spam. Tiene,entre otros orígenes, un manejo ilegal de basesde datos personales, además de que pueden servínculos para cometer prácticas fraudulentas.
Nuestro mail, nuestra dirección electrónica,¿cómo llega a una enorme cantidad de empresasque luego nos mandan precisamente publicidada nuestro correo electrónico?
Otra problemática, he hecho una lista de algunascuestiones fraudulentas que hemosidentificado desde la PROFECO, precisamente enel Internet, el llamado phishing, que no son otrascosas sino correos electrónicos falsos solicitandoinformación financiera. Esto ha dado lugar a unsinnúmero de fraudes, sobre todo, correoselectrónicos de bancos en los cuales solicitannúmeros de tarjetas, números de cuentas,
etcétera y luego vienen fraudes que pueden sermuy cuantiosos.
La carta nigeriana, acaban de pescar algunosnigerianos que hacían fraudes, se dedicaban acometer fraudes aquí en México; sin embargo,esta carta no es otra cosa sino una solicitud deque le guarden dinero a un riquísimo reynigeriano en el exilio que necesita poner sudinero en alguna cuenta, para eso le requierena usted la cuenta y pues evidentemente va atener grandes ganancias y con ese número decuenta evidentemente viene el fraude; hayloterías y otros premios. Todo esto esesencialmente para captar datos personales delos cibernautas.
Servicios financieros que sea ofrecen, esquemasde trabajo en casas, ofertas, grandes ofertas detrabajos, empresas petroleras que ofrecentrabajos de tres meses en el Mar del Norteganando miles de dólares al mes, en fin, ventade títulos y grados académicos, sin estudiar porsupuesto, paquetes vacacionales, toda la partede pornografía, adquisición de música y juegos.
¿Dónde están nuestros datos personales?, ¿cómose protegen los datos personales?, ¿quéseguridad tenemos los consumidores en elmomento de usar Internet? Cuando Internet seusa cada día más en la parte comercial.
Algunas soluciones. PROFECO, para empezar,visualiza una solución esencialmente global,ésta debe basarse en una combinación demarcos regulatorios claros, con prácticas éticas,que es lo que cerraría la pinza, las prácticaséticas por parte del sector privado.
Actualmente, el texto de la Ley Federal deProtección al Consumidor incluye elementosorientados a lograr una mejor protección de losdatos personales en los consumidores, hay querecordar que la Ley Federal de Protección alConsumidor apenas acaba de sufrirmodificaciones al respecto, acaba de expresarseestas modificaciones apenas en el 2004,empezaron a entrar en vigor en 2005.
96
Tenemos la función de poder ya establecer unalista telefónica para evitar las llamadas demercadotecnia directa a las casas, en estas listasllamadas No Call, por ejemplo, de no llamadas,como hay en Estados Unidos y en otros países.Este es uno de los proyectos que esperamosavanzar de manera significativa en el próximoaño desde la Procuraduría General delConsumidor.
Tenemos algunos datos importantes, algunasfunciones en relación a mejorar la protecciónde datos personales de los consumidores.
Los elementos más destacados, el titular de losdatos tiene derecho a saber si los proveedoresposeen datos personales sobre él. El titular delos datos personales tiene también el derecho aacceder a sus datos y corregirlos, de existir erroreso inconsistencias.
Los proveedores que poseen datos personales delos consumidores no pueden compartirlos ocederlos a terceras personas de maneraindiscriminada.
Este problema, por ejemplo, ya lo vivimos en elcaso de la base de datos de Direct-TV a SKY,precisamente en el momento en que se retiradel mercado mexicano Direct-TV y queda nadamás la empresa SKY como la oferente de losservicios de televisión satelital.
Los proveedores no podrán usar esta informacióncon fines distintos a los originales, o sea,exactamente los establecidos en su negocio, nopueden, en principio, estar pasando las bases dedatos indiscriminadamente a otros comercios, aotras corporaciones.
Y desde la óptica nacional se debe reconocercabalmente la inserción de México en laglobalización y en las innovaciones tecnológicas,hay que aceptar el nuevo ambiente económicogeneral y para los actos de consumo enparticular, por ello la PROFECO busca fortalecerla protección y defensa de los derechos de losconsumidores en un nuevo contexto digital.
PROFECO busca crear mayor conciencia entrelos consumidores de lo que puede implicar el malmanejo de sus datos personales, sobre todo enel contexto electrónico.
La visión, la perspectiva hacia futuro de lacuestión electrónica realmente no reconocefronteras, ni ve barreras posibles, tiene todo lorelativo, por ejemplo, a lo que llamamos comerciomóvil, o sea, la sustitución de las tarjetas decrédito por la portabilidad de númerostelefónicos, nos vamos a convertir en un número,nosotros somos el número telefónico quetengamos y ese número lo vamos a estarconservando, de tal manera que a través de todoslos sistemas electrónicos, por ejemplo, si esto lovemos en combinación con la etiquetaelectrónica, pues, vamos a ir al supermercado,vamos a llenar el carrito, vamos a pasar por unarco electrónico y automáticamente se va acargar la suma de todo lo que compramos, eltotal de lo que compramos a nuestra cuenta deteléfono, ya no necesitamos pasar tarjeta, nimucho menos.
Incluso, llegando a un hotel seguramente vamosa tener un número al cual vamos a marcar en elhotel sin tener que pasar al mostrador y ahídirectamente nos van a decir cuál es nuestracuenta, cuál es el cuarto que tenemos asignadoy vamos a recoger una tarjeta o alguna cosa asípara entrar a la habitación. Toda esta parteelectrónica pues significa datos de nosotros,domicilios, Registro Federal de Contribuyente,etc., en manos de un sinnúmero de corporacionesy de comercios.
¿Dónde van a quedar estos datos? ¿Qué va a pasarcon estos datos?
La página de PROFECO, www.profeco.gob.mxcontiene una sección de consumo informado,con énfasis en el comercio electrónico y en elSpam, áreas en las que los datos personales delos consumidores pueden ser fácilmentevulnerados, son explicados precisamente allí, enestas páginas de Internet.
97
Las alertas que saca continuamente PROFECOtambién son otro mecanismo que busca ayudara la población para cuidar, entre otras cosas, susdatos personales.
Soluciones:
Desde la óptima internacional, primeramente,creo que PROFECO participa sobre todo enejercicios internacionales a fin de conocer lasmejores prácticas internacionales de la políticapública de protección al consumidor y aquellosaspectos que están ligados a la protección dedatos personales.
Verificación de sitios electrónicos, lo quellamamos sweep days, días de limpieza; análisisde los correos de Spam, de dónde vienen y lascampañas internacionales de educación. Todoel asunto electrónico, sobre todo del Internet, sino hacemos acciones de tipo internacional,realmente no vamos a llegar a ningún lado, asíde sencillo.
Existe consenso internacional de que eltratamiento ilegal de datos personales conducea prácticas comerciales transfronterizas,engañosas y fraudulentas.
Algunas soluciones que alcanzamos a visualizar,desde la óptica internacional esencialmente:
Los países deberían de instrumentar, comomínimo, los lineamientos sobre protección de laprivacidad y flujos transfronterizos de datospersonales de la OCDE, de la Organización deCooperación y Desarrollo Económico. Según lapropia OCDE, el manejo de los datos personalesdebe de ser, primeramente, simple ytecnológicamente neutro, o sea, que se puedanutilizar diversas tecnologías, no estar sujetosúnicamente a algún tipo de tecnología.
Se deben instrumentar esquemas de regulacióno autorregulación o bien esquemas mixtos, quevean la parte de regulación desde los Gobiernosy una dosis de autorregulación.
Los sectores público y privado deben participaren el buen manejo de los datos personales enuna sociedad.
Es muy importante dejar claro que este no es unasunto únicamente de incumbencia delgobierno, sino que tiene que habernecesariamente la participación de losparticulares.
Conclusiones:
Es necesario generar una legislación nacionalsobre la materia. Es una legislación realmentecompleja, difícil, que incluso en estos momentosno está suficientemente discutida al interior delgobierno.
Hay diferentes líneas de política de protecciónde datos privados, ya que tenemos la líneaeuropea sumamente constrictiva, precisamenteen el traspaso de los datos personales y tenemosla línea americana, que es más permisiva, perotambién con ciertos acotamientos.
Nos encontramos realmente en el momento dedecisión de ver qué camino de esta bifurcaciónpodemos tomar, si la línea de las políticasesencialmente norteamericanas o las políticaseuropeas, en relación a los datos personales.
Pero lo que sí es claro es que México requierenecesariamente de una legislación nacionalsobre la materia. La posibilidad también de crearmercados de sociedades de información esimportante, hay que verla también con estaperspectiva.
La exigibilidad, pues, de conductas específicas alrespecto es necesaria y solamente se puede dara través de la legislación.
Es muy importante la educación de los ciberusuarios especialmente y que los proveedoreshagan del conocimiento de los consumidorescuál es su política de privacidad; o sea, la parte,como ya les comentaba, de responsabilidad porparte de las empresas.
98
Los consumidores confiarán más en la economíadigital cuando se les garantice un uso adecuadoy legal de sus datos personales. Esto de unamanera muy rápida, ya que estamos muyconstreñidos de tiempo, es lo que teníapreparado para ustedes en esta presentación.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco:Comisionado del IFAI.
Antes de conceder la palabra a nuestrosdistinguidos invitados y especialistas en estetema, cuya importancia capital ya no puedeescapar a nadie, permítaseme un muy breve, unmuy pequeño prólogo a este mismo tema.
El pasado mes de septiembre se celebró enMontreux, Suiza, la XXVII ConferenciaInternacional Sobre Protección de Datos y VidaPrivada.
En esta importante conferencia internacional,se elaboró una declaración final, en donde sereconoció, entre otros muy relevantes puntos lossiguientes, que quisiera destacar: Primero, sereconoció que el desarrollo de la sociedad de lainformación está dominado por la globalizacióndel intercambio de información, y por el uso detecnologías de procesamiento de datos con unainjerencia cada día más peligrosa, cada díamayor y progresiva en el ámbito de laomnipresente vigilancia sobre las personas entodo el mundo.
Así como el hecho de que el rápido incrementodel conocimiento en el campo de la genéticapodría convertir el ADN humano, nada más ninada menos que en el dato personal más sensiblede todos ellos.
Tercero, se reconoció que el derecho a laprotección de datos y a la privacidad es underecho humano fundamental. Así como unacondición esencial en una sociedad democráticapara asegurar las garantías individuales, un flujolibre de información y una economía de mercadoabierta.
De igual suerte en esta declaración de Montreuxse hace un formal y enfático llamado, y esto noes menor, a las Naciones Unidas, la ONU, paraque prepare un instrumento jurídico vinculanteque establezca en forma clara, así dice ladeclaración final, en forma clara y detallada losderechos a la protección de datos y la intimidadcomo derechos humanos de obligadocumplimiento.
Por otro lado, es ya un lugar común, pero no porcomún menos cierto sostener que el acceso a lainformación pública y la protección de datospersonales constituyen los dos lados de unamisma moneda.
Sin embargo y especialmente por estevertiginoso avance de la tecnología, losgobiernos mantienen cantidades masivas,creíblemente masivas de información personalsobre sus propios ciudadanos, declaraciones delimpuesto sobre la renta, archivos de impuestopredial, gravámenes de títulos, archivos deasistencia social, registros de inmigración,registros de empleo y esto para sólo mencionarlos más comunes y corrientes, digamos los másclásicos y tradicionales.
Aquí el acceso al público a tales registros ennombre del acceso a la información pública, a lainformación gubernamental podría, en algunoscasos o en muchos, todo depende, podría privaral individuo de su capacidad, de su facultad paraproteger su privacidad. En este sentido y enteoría, podrían concebirse como conceptospotencialmente opuestos por naturaleza.
Sin embargo el derecho positivo, la prácticainternacional demuestra lo contrario y esto loha demostrado con creces. Se ha evidenciadoque estos dos polos o caras de la moneda sonbien compatibles. Esto es, son absolutamenteconciliables en su aplicación.
Todo ello, y aquí quiero enfatizarlo, todo ello, ycon esto termino, a condición que una ley sobredatos personales prevea mecanismos eficacespara la, digamos, no injerencia a la privacidad, ala par que prevea nítidamente que no se
99
entorpezca el libre flujo de información para eleficiente y óptimo funcionamiento de losmercados y la economía en general.
Sin más preámbulo quisiéramos dar la palabra anuestros muy distinguidos invitados de estamañana. Y si ustedes me permiten podríamoscomenzar con la doctora María AlejandraSepúlveda Toro. Directora Ejecutiva del Proyectode Reforma y Modernización del Estado en Chile,ministerios de la Secretaría General de laPresidencia. Ella es abogada por la Universidadde Chile y tiene Master en Gerencia Pública yDiplomada en Dirección por Valores de laUniversidad de Barcelona, España.
Ha sido docente en la Universidad deMagallanes, asesora jurídica en la ContraloríaGeneral de la República de Santiago yContraloría Regional de Magallanes y AntárticaChilena. Igualmente Directora de Operacionesy Directora Nacional del Servicio del Registro Civile Identificación.
PPPPPonenonenonenonenonentetetetete: María Alejandra Sepúlveda Toro.
La protección de datos es una materiaestrechamente vinculada al desarrollo de lastecnologías de la información y lascomunicaciones y al proceso de globalización alque asisten todos nuestros países.
Es así como estamos reunidos entorno a lainquietud, a la necesidad de proteger los datospersonales y entorno a los desafíos que estoplantea a nuestros distintos países.
Las declaraciones de la Antigua, de mayo 2003,de Santa Cruz de la Sierra, de noviembre 2003,de Cartagena de India, de mayo del 2004, hanexpresado que la protección de los datospersonales constituye un derecho fundamentalde las personas, relevándose las iniciativasregulatorias desarrolladas en los paísesiberoamericanos para proteger la privacidad delas personas y propender al acceso a lainformación y al control de sus datos que puedanhacer los ciudadanos.
Es importante destacar que estas materias sevinculan muy estrechamente con el desarrollocompetitivo en nuestros países y con elbienestar social, especialmente de los sectoresmás postergados o más rezagados de nuestrascomunidades.
El marco jurídico en Chile, lo vemos nosotros apartir de la Declaración Universal de los DerechosHumanos, del año 1948, en esta declaración seconsagra el derecho a la intimidad y merece porprimera vez un reconocimiento internacional.El artículo 12 de esta declaración dice que nadiepodrá ser objeto de injerencias arbitrarias en suvida privada, su familia, su domicilio o sucorrespondencia; ni de ataques a su honra o a sureputación; estableciéndose que la ley debebrindar el amparo y la protección contra talesinjerencias o ataques.
Desde entonces con mayor o menor desarrollonormativo los distintos tratados internacionesreferidos a los derechos humanos hancontemplado el derecho a la intimidad y demanera sistemática también ha sido recogidopor las Cartas Fundamentales de nuestrosEstados.
En Chile el artículo cinco de la ConstituciónPolítica del Estado, establece que la soberaníareside esencialmente en la nación y que suejercicio reconoce como limitación el respeto alos derechos esenciales que emanan de lanaturaleza humana y que es deber de losórganos del Estado respetar y promover talesderechos, que están garantizados por laconstitución y por los tratados internacionalessuscritos por Chile y que se encuentran vigentes.
Por su parte, el artículo 19 de la Constitución altratar de las garantías individuales en sunúmero cuatro, establece el respeto y laprotección a la vida privada y la honra de lapersona y su familia.
Y en el número cinco se establecen lainviolabilidad del hogar y la correspondencia.
100
La Ley 19,628, sobre protección de la vida privada,del año 1999, recoge todo lo anterior y supropósito es brindar una adecuada protección ala privacidad de las personas, reconociendo queésta pertenece a la categoría de los derechoshumanos y que los órganos del Estado estánobligados a reconocerla y ampararla.
La ley fue publicada el día 28 de agosto de 1999 ylo que hace es regular el tratamiento de los datospersonales contenidos en los registros o bancosde datos de los organismos públicos y privados.
La propia ley define lo que debemos entenderpor datos personales y dice que son los relativosa toda información concerniente a personasnaturales identificadas o identificables.
La naturaleza jurídica de este derecho es suigéneris, pues no hay un derecho absoluto dedominio sobre la información por parte deltitular, ya que éste puede adquirir un carácterde supraindividual, cuando el conocimiento deesa información sea necesaria para la protecciónde su titular o responda a fines superioresestablecidos por el bien común.
También la ley define el dato sensible y dice quees aquel dato personal que se refiere acaracterísticas físicas o morales de las personaso a hechos o circunstancias particulares de suvida privada o de su intimidad, tales como sushábitos personales, sus creencias religiosas, susopiniones políticas, su origen racial, los estadosde salud físico psíquica y la vida sexual.
La fuente de los datos sensibles se encuentra enla propia Constitución, que ya he señalado y quese refiere a la protección de la vida privada de laspersonas de su familia.
El tratamiento de los datos personales. Estetratamiento sólo puede efectuarse cuando laLey 19,628 lo autoriza. ¿Y cuándo lo autoriza estaley? Cuando proviene de una fuente de accesopúblico, de registros públicos o privados de accesono restringido a sus titulares.
También pueden tratarse estos datos cuandootras disposiciones legales lo permitan, como porejemplo, el Código del Trabajo, que en materiade fiscalización permite el acceso a los registrosde asistencia y de remuneraciones. Y finalmentelo permite cuando el titular consientaexpresamente en ello.
El consentimiento del titular, de ser unconsentimiento informado. Él debe conocerclaramente la finalidad y el propósito delalmacenamiento de sus datos y la posibilidadde que éstos sean dados a conocer a terceros. Laautorización debe darse por escrito y la manerade revocarla es de la misma manera.
En cuanto al tratamiento de los datos sensibles,éstos no pueden ser objeto de tratamiento, salvoque la ley lo autorice, que exista consentimientodel titular o que sea necesario para ladeterminación o el otorgamiento de losbeneficios de salud. Solamente en aquellos casospueden ser tratados.
El tratamiento de los datos personales por losorganismos públicos. Aquí se señala por la leyque esto sólo puede hacerse dentro de lacompetencia y de acuerdo con las normas de lapropia ley.
Es decir, hay un tratamiento legal de los datospor parte de organismos públicos y la propia Ley19,628 se encarga de definir quiénes son losorganismos públicos, indicando que estocorresponde a los municipios, las intendencias,las gobernaciones, los servicios públicos y lasempresas públicas, y que ellos, como son creadostodos estos organismos por ley, siempre van atener que enmarcar su actuar dentro de lascompetencias que la propia ley le establece.
Respecto de los datos personales relativos acondena y delitos por infraccionesadministrativas o faltas disciplinarios, sólopueden comunicarse a los tribunales de justiciay a los otros organismos públicos, dentro delámbito de su competencia, debiendo estoguardar reserva o secreto, según corresponda.
101
En general esta información no puede sercomunicada, una vez prescrita la acción penal oadministrativa o cumplida la sanción o la pena,salvo en los casos en que los tribunalessolicitasen esta información para la tramitaciónde sus asuntos que se encuentren pendientes.
El tratamiento de los datos por los organismosprivados. En este caso pueden comunicarinformación de carácter económico, financiero,bancaria o comercial, cuando conste en letrasde cambio, pagaré o cheques que hayan sidoprotestados o en el incumplimiento de mutuoshipotecarios, préstamos o créditos, sólo hastacinco años después que la obligación se hizoexigible.
También debe cesar esta comunicación en elcaso de que la obligación se haya pagado o sehaya extinguido por cualquier otro modo legal.La excepción a esto es la información a lostribunales cuando esto lo requieran.
Aquí se excluyen todas las cuentas relativas alos consumos o servicios básicos, que son agua,luz, teléfono y gas. La ley contempla el recursode la Hábeas data, como una acción sumarísimaque da protección a los datos personales frentea un registro o a un banco de datos.
Los derechos amparados o la información, lamodificación, la cancelación y el bloqueo de losdatos, y las causales de procedencia son estasmismas cuando el titular de los datos hayasolicitado esta información, y ésta no se le hayaotorgado dentro de dos días o no haya sidodenegada por el interés superior de la Nación.
Este es un proceso sumario que se inicia con lareclamación que hace el titular de los datos anteel Tribunal competente del domicilio delreclamado. En esta reclamación debe establecerla circunstancia de esta problemática que él estáenfrentando, y acompañar los mediosprobatorios con los que cuenta.
De esta reclamación el Juez le da traslado alreclamado, que tiene el plazo de cinco días parahacer sus descargos, y también acompañar sus
medios probatorios. Luego lo cual el tribunal puedeabrir un término de prueba que tiene un plazo decinco días, vencido el cual dentro del plazo de tresdías debe dictar la sentencia definitiva, sentenciaque es susceptible del recurso de apelación enambos efectos, y para lo cual este Tribunal debeponer los antecedentes y conocimiento delPresidente de la Corte de Apelaciones respectiva,quien sin necesidad de que comparezcan laspartes va a recibir estos antecedentes en cuenta yva a resolver en definitiva.
Contra estas sentencias no proceden losrecursos de casación. Ahora, no puede ejercerseesta acción cuando entorpezca actividadesfiscalizadoras de organismos que tienen comomisión realizar esta fiscalización o afecta laseguridad de la Nación o el interés nacional. Esasson las limitaciones que tiene el Hábeas data.
Por otra parte, la ley crea un registro de bancosde datos personales a cargo de organismospúblicos, señala que éste será deresponsabilidades de servicio del Registro Civil eIdentificación, y le da a este registro lacaracterística de público, como una manera dehacerlo transparente para el ciudadano.
En este registro las bases de datos se informanpor medios electrónicos y contiene un índice delos bancos de datos personales que están a cargode los organismos públicos.
Las menciones que debe llevar este registro son:El nombre del banco de datos personales, elnombre de los organismos públicos que lo tienena su cargo, el rol único tributario del organismopúblico, el fundamento jurídico de su existencia.Aquí volvemos nuevamente al principio delegalidad en cuanto al tratamiento de los datos,la finalidad del banco de datos, es decir, elobjetivo de persigue, el tipo de datosalmacenados y una descripción del universo depersonas que éste contempla.
Sobre este registro, el Servicio de Registro Civil eIdentificación, otorgará por medios electrónicosla información a todo aquel que la solicite, y dela manera, más rápida y transparente posible.
102
Esta es una visión panorámica del ordenamientojurídico en Chile, teniendo en cuenta laimportancia que esta materia reviste y de lapreocupación que debemos mantener en tornoa proteger los datos y a velar por el desarrolloeficiente, eficaz y ético de las tecnologías deinformación en nuestro país.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
La doctora Guillermina González Durán esegresada de la Facultad de Derecho de laUniversidad Nacional Autónoma de México, dela UNAM; su experiencia profesional ha sidoprincipalmente en la administración pública yen particular en el Instituto Nacional deEstadística, Geografía e Informática en el áreade política informática; ha participado en eldesarrollo de diversos proyectos normativos coninstituciones como las Secretaría de Economía,de Gobernación, así como en el Cámara deDiputados en temas de firma electrónica,protección de datos personales y normas para laconservación de mensajes de datos; asimismoha participado en la delegación mexicana eneventos internacionales relacionados con lostemas antes mencionados; actualmente ocupael cargo de Directora de Estándares yNomenclaturas en la Dirección General deCoordinación de los Sistemas Nacionales,Estadísticos y de Información Geográfica delINEGI.
PonentePonentePonentePonentePonente: Guillermina González Durán.
Quiero dividir mi presentación en tres grandesapartados:
El primero de ellos, hablar un poco del contextoy del ámbito de atribuciones del INEGI y el porqué de la participación en este tema.
En segundo tema las acciones que el INEGIrealiza para proteger los datos que son obtenidospara fines estadísticos dentro de la institución yque son proporcionados por los informantes.
Y como tercer tema, quisiera hacer referencia alas acciones que está realizando el INEGI encumplimiento de las disposiciones de la LeyFederal de Transparencia y Acceso a laInformación Pública.
Como primer punto, quisiera mencionar, el INEGItiene, dentro de sus atribuciones que le confierela Ley de Información Estadística y Geográfica,dos grandes funciones.
Una de ellas es la integración de los sistemasnacionales, estadístico y de informacióngeográfica. Y la otra es la de captar, producir,procesar y difundir información estadística ygeográfica que pueda ser de interés general.
Para llevar a cabo estas funciones, el INEGIrequiere de la participación de los informantes,mediante la obtención de datos que pueden yque tienen la finalidad de ser estadísticos.
En el contexto de la confidencialidad de los datosque el INEGI recaba para estos fines, la Ley deInformación Estadística y Geográfica estableceel derecho, en primer término, de laconfidencialidad de los datos que sonproporcionados; seguido, consagra el derecho derectificación de los datos que le concierne a losinformantes cuando exista algún error en ellosy, en su caso, de denunciar ante autoridadcompetente cuando no se respete laconfidencialidad y reserva de dichos datos.
Asimismo, determina de una manera muy clarala finalidad para lo cual van a ser recabados losdatos que son para fines estadísticos. Y que sudivulgación únicamente podrá ser referida a tresunidades de observación con el propósito de noidentificar de manera individual a la persona queproporcione los datos.
Otro artículo que hace referencia a la protecciónde datos es el artículo 40, que establece elderecho que tienen las personas de solicitar anteautoridad competente que quede sin efecto lainformación que haya sido proporcionadamediante engaño o ilícitamente.
103
Y finalmente contiene un apartado deinfracciones que pueden ser imputables aservidores públicos, recolectores o censores queviolen la confidencialidad de los datos queobtienen para los fines estadísticos.
Por su parte, el Reglamento de la Ley deInformación Estadística establece qué debemosentender por dato estadístico confidencial y lodefine como los informes cualitativos ycuantitativos proporcionados por losinformantes, para fines estadísticos referidos auna unidad de observación.
En síntesis, los elementos de protección queestablece la Ley de Información Estadística sonlos siguientes: El principio a la confidencialidadde los datos, el derecho a la rectificación de losdatos que son proporcionados para dicho fin, lafinalidad del uso de los datos, su difusión referidaa un mínimo de tres unidades de información, elderecho que tiene el informante de solicitar quequeden sin efecto cuando son proporcionados uobtenidos mediante engaño, infraccionesimputables a las personas o servidores públicosque intervienen en la captación de informaciónpara fines estadísticos y la definición del datoestadístico como tal.
El segundo apartado en cuanto a los aspectosde confidencialidad previstos en los censos yencuestas del INEGI, se refiere a la protecciónde la información en las diferentes fases que sonde captura, procesamiento y explotación delproceso de generación y actualización deinformación estadística y geográfica.
Para cada una de estas fases existenresponsables del manejo de la información queen sus diferentes momentos tienen que hacersecargo de preservar los derechos deconfidencialidad.
Algunas de las acciones que se realizan paraestos fines es, se elimina o suprime lainformación de carácter confidencial, datos queson traducidos a código numéricos que nopermiten una identificación personal.
La información se presenta en diferentes nivelesde desagregación a nivel país, estado, municipio,hombres, mujeres, sin que haya unaidentificación del nombre de la persona a la quese está refiriendo.
La confidencialidad aplica a los niveles másdesagregados, a mayor detalle se agrupan mayornúmero de variables.
Desde el punto de vista del uso de las tecnologíasde la información el INEGI tiene un programaintegral de seguridad que contempla un sistemade prevención contra ataques internos yexternos a la red. Esto es, a través de antivirus,antispam o el firewall, con esto se resguarda y seprotege la integridad de la información que escontenida en bases de datos en las cuales se vaintegrando aquella información que finalmenteva a tener un destino de información estadísticao geográfica.
En cuanto a las acciones para el cumplimientode la Ley Federal de Transparencia y Acceso a laInformación Pública Gubernamental, el INEGItiene la obligación de identificar y registrar anteel Instituto Federal de Acceso a la InformaciónPública los nombres de los sistemas utilizados,en cumplimiento de sus funciones, quecontienen datos personales de los funcionariospúblicos que laboran en la institución y de laspersonas físicas y morales que proporcionan susdatos.
Esto es, cuando las personas participan en sucarácter de informantes, tienen la certeza deque sus datos no van a ser manejados de maneraindividual y que van a estar resguardados, desdeel punto de vista tecnológico y desde el puntode vista también de la integridad de lainformación.
Esta información se encuentra disponible paratodo el público en la Sección de Transparenciadel INEGI en Internet, bajo el nombre Listado deSistemas de Datos Personales del INEGI.
El INEGI lleva a cabo estas acciones con elComité de Información del Instituto, a través de
104
la Unidad de Enlace del INEGI, que realiza lasgestiones necesarias para garantizar el flujo deinformación entre el Instituto y los particulares.
A través de esta Unidad de Enlace se atiendensolicitudes de información en los módulos deatención ciudadana del INEGI, que estádiseminada en el país y que es atendida por losjefes estatales de atención a usuarios ycomercialización.
Cuenta con un sistema de datos personalesdenominado Capital Humano, así como convarias listas de sistemas derivados de lasencuestas que realiza, donde éstos se recaban yprotegen, en donde existe un responsable delmanejo de esta información.
Y, finalmente, el INEGI observa las políticasgenerales y procedimientos, para garantizar laprotección de los datos personales publicadospor el IFAI el 30 de septiembre del 2005. Se estárealizando las acciones conducentes para llevara cabo el cumplimiento de estas disposiciones.
En términos generales y de una manera muybreve, estas son las acciones que realiza el INEGI.
Quiero comentar, adicionalmente, que estainstitución tiene un compromiso, desde hacevarios años, cuando ejercía la función de políticainformática, de trabajar en los proyectos deprotección de datos personales, en el contextode lo que era la política informática dentro de lainstitución y que ahora continúa con estecompromiso, a través de su responsabilidad degenerador, producto y difusor de la informaciónestadística y geográfica.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
El doctor Alfredo Chirino Sánchez es profesorcatedrático de Derecho Penal, de la Facultad deDerecho de la Universidad de Costa Rica. Obtuvosu Maestría y Doctorado en Derecho en laUniversidad de Joan Wolfart Gate de Frankfurt,en la República Federal de Alemania. Hapublicado numerosos artículos, ensayos y libros
sobre temas de Derecho Penal, Procesal Penal,de Derecho Constitucional y sobre el Derecho ala Protección de la Persona frente al Tratamientode sus Datos. Entre ellos podríamos mencionarlos siguientes: El Derecho a información y laAdministración de Justicia en América Latina;Informática y Derecho a la Intimidad;Perspectivas de Política Criminal; El Derecho ala Información y el Papel de las Instituciones delSector de Justicia.
Ponente:Ponente:Ponente:Ponente:Ponente: Eric Alfredo Chirino Sánchez.
Muchas gracias. Muy buenos días a todos y atodas, distinguidos y distinguidas miembros deeste presidium, y compañeros, compañeras ycolegas todos preocupados por el problema dela protección de datos.
Antes que nada agradecer a los organizadores ycopatrocinadores de este evento, no sólo por lacapacidad de convocatoria que han tenido paraque este tema se localice en muy alta, lajerarquía de los temas que preocupan a México,como también por darnos la posibilidad a la RedIberoamérica de Protección de Datos Personales,tener la ocasión de hacer este IV Encuentro, quecomo lo decía nuestro Director, indudablementemarcará un hito, donde se hablará de un antes yun después de este IV Encuentro que estamosrealizando.
No quería hacer una presentación dondehablara exclusivamente de mi país, quería, másque todo, compartir con ustedes algunosproblemas que probablemente nos tienenunidos a todos los países de América Latina, yque nos presentan hoy en día una dificultadenorme para poder superar los déficit de ordenlegislativo y cultural que actualmente tienenel desarrollo de la protección de datos sometidaa una grave situación espiritual. Si me permitenustedes usar esa palabra.
Principalmente quería comenzar con unaproposición. La proposición es: ¿Realmente seráel problema de la protección de datos en manosdel Estado un problema del Estado de derecho?Y quiero con esa proposición que les va a parecer
105
a ustedes paradójica comenzar diciendo que enefecto nadie va a dudar que el Estado, el gobierno,los gobiernos, las administraciones públicastengan necesidad de un procesamiento intensode datos personales.
Esto es evidente en la administración tributaria,es evidente en la administración de justiciapenal, es evidente también a la hora de tomardecisiones de carácter público en el sector salud,en el sector financiero, en el sector comercial.
Así que no hay duda de que el Estado tienenecesidad del tratamiento de datos personales,tiene necesidad también de ingresar a losbancos de datos privados que existen, y tienenecesidad intensa de un desarrollo muy fuertede bancos de datos.
Pero también tiene necesidad y urgencia, ytambién mucha voracidad por entrar a losbancos de datos privados, que en este momentoconservan enormes cantidades de datospersonales, que incluso se almacenas abeneficio de inventario.
Es decir, se van manteniendo ahí embodegadospara algún día ser útiles para algún fin estatal,que hoy no conocemos.
Este tráfico de informaciones tiene riesgos ytiene posibilidades. Quizá el riesgo másimportante, y quizá la trascendencia más grandeque tiene es ofrecernos un doble juego deposibilidades. Parece que este monto hacerealidad aquella idea de que el infierno son losotros, la posibilidad de que los otros sepan másde nosotros que es una realidad hoy muy fuerte.
Y en una democracia el intercambio o el flujo deinformación es hoy quizá la esencia material deun nuevo concepto de democracia.
Hemos estado demasiado acostumbrados a quenuestro concepto de democracia se basa en elejercicio de facultades cívicas y electorales. Lademocracia de la sociedad a la información esuna democracia de flujos de informaciones y eso
cambia y dinamiza totalmente la operación dela gestión pública.
La minería de datos, el phishing que se planteabahoy en la conferencia magistral que recibimosen la mañana por parte del doctor Carlos Arce,así como también la posibilidad de usar softwarerobots que ya se anuncian también por parte dela administración tributaria para mediante losmecanismos de minería de datos poder recopilar,digámoslo así, la gestión cotidiana de unciudadano para saber si efectivamente su pagode tarjeta de crédito coincide con lo que estápagando de impuestos, refleja de alguna maneralos enormes retos a los cuales estamosrefiriéndonos.
La doctora Sepúlveda Toro nos indicaba cómo lalegislación chilena está en este momentoponiendo un especial énfasis en una definiciónde datos personales. Yo creo que esa es unapreocupación que también deberíamos deseguir el resto de los países de la región, ya queen este momento si hay algo que es distinto depaís a país es cómo definimos el dato personal.
La información referida en la personaidentificada o identificable que parece muycercana a la definición que viene en lalegislación federal de protección de de datospersonales de la República Federal de Alemania,parece ser una buena opción y parece que loschilenos han decido orientar su construcciónnormativa a partir de eso.
Pero también está la preocupación de que ladefinición de datos personales puede variar enlos países federales, según las legislaciones decada estado, de cada provincia decidan apartarsede ese concepto. Lo que va a generar para lasadministraciones públicas, sobre todo, enestados federales como el de México, laposibilidad de que se puedan crear oasis oparaísos del procesamiento de datos donde eserégimen o donde el estándar legislativo seamenor al que ya incluso se pudiera tener a unnivel federal.
106
Ese riesgo enorme es parte de ese juego deespejos, ese juego de doble posibilidad quetienen las regulaciones de protección de datos.
Indudablemente entre los basamentos para elreconocimiento de la tutela de la protección dedatos está precisamente en darles a las personasla posibilidad de autodeterminarse.
En la primera sesión, en la conferencia inicial sepresentaron importantes cuestionamientossobre la definición del llamado derechofundamental a la protección de datos como underecho autónomo, porque efectivamente esadoctrina traducida a los términoslatinoamericanos es realmente difícil deentender, precisamente porque nosotrosestamos en este momento construyendo elderecho de protección de datos sobre unaconstrucción realmente antojadiza, un pocoprocesal y demasiado formalista como es elHábeas data.
En América Latina hablar de protección de datossignifica hablar de Hábeas data, y ese es quizáuna de las anclas más pesas con las cualestenemos que luchar cotidianamente para tratarde construir un sistema de protección de datosque sea realmente razonable; porque el Hábeasdata funciona cuando ya nada se puede hacer,ya cuando el daño está hecho y los ciudadanoshan sufrido lesiones en su capacidad de definirquién, cuándo, dónde y bajo qué circunstanciastiene acceso a sus datos personales.
Y si el derecho protegido no es realmente underecho fundamental, si no un derecho procesal,evidentemente vamos a recibir de parte de laslegislaturas, de parte de quienes tienen quedecidir nuestros destinos, una evidente monedade difícil compra como es el Hábeas data.
Por eso quisiera que mi primer mensaje de estaexposición sea el de decirles que hay que tenermucho cuidado cuando ponemos todas nuestrascartas a favor de la Hábeas data y dejamos sinposibilidad a una regulación que además dedarnos y reconocernos la posibilidad deautodeterminarnos y de respetar nuestra
dignidad humana, además nos permita prevenirlos riesgos de un procesamiento de datosintenso.
Me parece trascendental decir que lascircunstancias del modo, el tiempo y el lugar enque se está dando el tráfico de datos en materiade intimidad, tiene que ver también con lagestión del Estado.
Nos recordaba la compañera Guillermina a lahora de referirse a la anonimidad yseudoanonimidad de los datos estadísticos deque efectivamente si no hubiera una reflexióndel Estado por pensar si efectivamenteanonimizando los datos le concedemos a lapersonas la posibilidad de un tráfico más omenos lícito dentro de la sociedad,probablemente la preocupación dentro denuestras colectividades no se generaría. Lo quequiero decir es que no todo es negativo desde elpunto de vista, la visión de la protección de datosen manos del Estado.
Probablemente esa reflexión algún díaconstruya una cultura de protección de datos.
Quizá los colegas que vienen de Europa y queestán entre nosotros poco a poco han idocomprendiendo la extraña diferencia dediscurso entre ellos y nosotros, la diferencia escultural.
En un país como la República Federal deAlemania, desde la época de la Segunda GuerraMundial donde a través de tarjetas perforadasse hizo un censo detallado de quienes eranjudíos, quiénes eran homosexuales, quiéneseran aquellos que eran extraños a la comunidady eficientemente se fueron cartografiando lassociedad para determinar esos grupos y producirun genocidio más eficiente, indudablementetiene que generar una sensibilidad muy grandepor quién tiene los datos y para qué los tiene.
En esa sociedad, en mi país muy concretamente,no puedo hablar por todos, pero mi país es muypeculiar en eso, la idea de que alguien protejasu intimidad es porque algo quiere ocultar.
107
Nosotros partimos de la idea de que Dios está enla casa de todos, pero cada uno tiene en su casaun castillo y la idea de la protección de laintimidad está íntimamente ligada a protecciónde la propiedad privada.
Esa patrimonialización del concepto deintimidad que es muy pequeño burgués ypodríamos decir decimonónico chocadirectamente con un derecho fundamentalcomo éste que pretende realizar una condiciónde derecho fundamental nuevo, algunos dicende tercera generación, en donde lo esencial noes exactamente la intimidad, sino la capacidadde ser ciudadanos en un mundo que hacetiempo se ha objetivizado profundamente através del proceso informativo.
Es por eso que surge el derecho a laautodeterminación informativa y yo quisierapostularlo para la discusión, quisiera dejar unproblema en el auditorio para que esto genereun poco de emoción y violencia, que siempre esimportante en un evento como éste.
Y sugerir que probablemente el bien jurídicotutelado en las futuras legislaciones sobreprotección de datos, incluso también en aquellaproyectada en México, tienen como centro nola privacidad en la intimidad, sino la otra contra-cara de la moneda, el reservo de la moneda, elproblema del acceso a la información pública yme refiero precisamente a ese derecho con esapalabra tan poco probable para la Real Academiade la Lengua que es el derecho a laautodeterminación informativa, que es unareconstrucción del vocablo alemán, pero quehace referencia a los dos aspectos que yo quisierarescatar de otras exposiciones que nos hanprecedido, que es precisamente la reflexión depor qué es tan misterioso la vinculación entre laprotección de datos y la dignidad y los derechoshumanos.
Precisamente porque la Hábeas data es sóloprotección procesal, porque la teoría de lasesferas en materia de protección de los derechos,sobre todo de la primera generación ha hechoaguas, como lo demostró Jürgen Habermas en
aquel libro Facticidad y validez, quien sigueteniendo una enorme vigencia para la discusiónde derechos humanos tanto en Europa, comoen América, y porque efectivamente podemosestar hablando de un tratamiento de datos enmanos del Estado que no necesariamente essensitivo a los datos de las personas. Este derechocobra una especial importancia para la discusiónde América Latina.
Yo quisiera ver que efectivamente laautodeterminación informativa sea unarespuesta al problema que estamos planteando,¿pero cómo lo podría ser? En este momento yocreo que son tres los principios de la protecciónde datos que no están siendo considerados a lahora de construir las políticas estatales demanejo de información y lo voy a decir demanera genérica sin conocer por supuesto eldetalle de la discusión y del tipo de gestión delas administraciones públicas en México, perocasi podría decir que como tesis de principio sontres los que están probablemente en discusión:El principio de sujeción a los fines delprocesamiento de datos; el principio deproporcionalidad en el sentido de reducir y referirel procesamiento de datos sólo a aquellos datosque sean indispensables y necesarios para lagestión pública y el tercero, el más importante,el principio de consentimiento y transparencia.
Y me refiero a esos tres principios, porque si elderecho a la autodeterminación informativarealmente tiene alguna capacidad de serrespuesta a los problemas que estamos viviendoen el momento histórico que trasunta AméricaLatina, es precisamente el tratar de darlevigencia a esos tres principios.
¿Por qué? Porque esos tres principios tienen quever con la parte de la protección de datos quequiere ser preventiva, quiere ser tuteladora yquiere ser garantizadora. Son las tres cosas queno hace el Hábeas data, que funciona cuandoya todo está perdido, cuando ya no puedo salvarnada.
Si yo realmente pongo el énfasis de la discusiónpública sobre cómo los ciudadanos pueden
108
defender sus posiciones jurídicas frente a unEstado urgido de informaciones, urgido deidentificar a los ciudadanos. Lo decía nuestromoderador al inicio de esta exposición, que lasdeclaraciones de Montreux van dirigidasdirectamente a poner el dedo en llaga en losdatos genéticos y biométricos.
Hoy estamos discutiendo en nuestros países laposibilidad de usar chips, para identificar a losejecutivos de altas empresas y así evitar elsecuestro.
Estamos estableciendo la capacidad de ponerlea nuestros vehículos sistemas de protecciónsatelital para el robo de vehículos, y la posibilidadde vigilar a los ciudadanos, con el efecto de evitarque sean secuestrados, pero también de que seconviertan en delincuentes.
Si esas tres visiones que están, obviamente,aderezadas de la discusión de seguridad, que eneste momento preocupa muy alto en la jerarquíade valores de casi todos nuestros países, comouno de los problemas sociales más importantes,nos damos cuenta que estos tres principios de laprotección de datos pierden valor, porquecualquier cosa que garantice seguridad nomerece ninguna defensa de ningún derechofundamental, mucho menos del derecho a laprotección de datos, el cual llega tarde a AméricaLatina y llega como la coyuntura cuando aún enalgún momento se vio como una opcióndemocrática.
Yo quisiera, además, decirles que me parece muycasual y muy importante que sea el InstitutoFederal de Acceso a la Información Pública quiense haya convertido en un actor importantedentro de México, para discutir y analizartambién el tema de la protección de datos.
Y no dudo que este derecho de acceso a lainformación está en una relación de tensión conel derecho a la protección de datos personales yque probablemente los colegas doctrinistas delDerecho Público y Constitucional en México,como lo han dicho en otras regiones, dicen quela única posibilidad de que este Derecho
sobreviva es llevarlo a una concordanciapráctica. Claro, el secreto está en no decir cómose logra esa concordancia práctica.
Pero yo tampoco voy a contestar esa pregunta,probablemente lo podemos dejar para ladiscusión. Pero lo que yo sí quisiera decirles esque no es contradictorio que esos dos derechossobrevivan juntos en la democracia y que vivanpara darle a la democracia un nuevo momento,precisamente porque son dos caras de la mismamoneda.
En Europa el Derecho al Acceso a la InformaciónPública, sobre todo en los países que tuvieronleyes de protección de datos, como lo fue el casode la República Federal de Alemania, llegó tardey de la mano de la protección del ambiente. Enlos países nórdicos se tiene desde hace muchosaños el Derecho de Acceso a la Información.
La pregunta es: ¿Por qué llegan los dos juntos aAmérica Latina?, cuando nuestra preocupaciónde que nuestra casa es nuestro castillo, y si elque nada tiene que ocultar nada tiene quetemer, tengan ahora que defender una nuevavisión cultural sobre este derecho.
Los principios que orientan esta protección yalos ha analizado en su vinculación jurídica, tantodoña Alejandra como doña Guillermina. Así quevoy a obviar la discusión sobre eso y voy a pasarla siguiente transparencia.
La situación espiritual en la que vivimos es queno tenemos el derecho a la autodeterminacióninformativa, no hay leyes de protección de datos,entonces, ¿qué sucede? Como lo planteaba lacolega Karin Kuhfeldt Salazar, que nos referíacómo en Colombia la evolución ha sido casiúnicamente jurisprudencial y de la mano de lasacciones de tutela y de un Hábeas data tanlimitado como el nuestro en nuestro país,efectivamente demuestran que la única opciónque tienen los ciudadanos hoy en día a falta deuna ley de protección de datos es precisamenteuna tutela jurisdiccional.
109
Si ustedes dan una mirada al desarrollojurisprudencial de mi país, se van a dar cuentaque la preocupación ha sido precisamente pordonde no urge todavía los datos de lasadministraciones públicas, sino concretamenteen el tema de seguridad.
Los datos que se van inscribiendo en los registroscriminales. Esos son los que han dado origen atoda la preocupación de datos en mi país, y hoyúltimamente al problema del acceso a los datoscomerciales, a los datos de carácter financiero.
Últimamente la jurisprudencia de la SalaConstitucional de mi país ha ido evolucionandocon le objetivo de dar al derecho de laautodeterminación informativa más poderes.
Hace un par de semanas se notificó la sentenciaque todavía no tiene redacción, pero tenemosel por tanto, en donde se obliga a las empresasprotectoras de crédito, a mantener un derechodel olvido de los registros financieros de un plazomáximo de cuatro años.
Donde no existían límites, ahora hay un plazode cuatro años, y efectivamente esto le hacreado a las empresas protectoras de crédito unadifícil situación de sobrevivencia económica,porque ahora sí tienen que hacer calidad dedatos.
La protección de la integridad de los datos, de laprecisión de los datos, de la exactitud de losdatos, y sobre todo, lo más importante, de olvidarlos datos cuando éstos carecen ya de interés y/odevolverle la vida civil a buena parte de losdeudores en mi país. Esto nos lleva a que la ofertade una tutela administrativa del derecho a laautodeterminación informativa quede enmanos de reglamentos.
Yo quisiera decirles que el derecho a laautodeterminación informativa requieresiempre regulación legal. El principio másimportante, y lo hacia ver la doctora AlejandraSepúlveda, es que el tema de la protección dedatos sólo puede ser regulada vía legal. Cualquierdecisión reglamentaria o de control
administrativo de la protección de datoscarecería del valor necesario para regular, limitary restringir un derecho fundamental.
Quiero concluir esta reflexión, que ha queridoser una reflexión global y no exclusivamentenacional, dando tres mensajes que me pareceque pueden ser importantes como himnos debatalla en la discusión que vamos a tener en lospróximos años en América Latina, sobre elderecho a la autodeterminación informativa.Primero, que no importa cómo le pongamos denombre al bien jurídico tutelado.
Lo evidente y lo trascendental en la proteccióny la discusión sobre la protección de datospersonales es cuál es la definición de datospersonales que vamos a usar.
Segundo, olvidemos totalmente cuál puede serla reflexión sobre datos sensibles. Lo que hoyparece ser no sensible lo será mañana. Ese noparece ser el camino adecuado, como lo decía,Stefano Rodotá hace muchos años.Probablemente la preocupación sobre lasensibilidad de los datos no parecer ser la fuentede análisis esencial para la discusión sobreprotección de datos, si no precisamente la ideadel control del flujo de informaciones sea laforma más excelente de poder discutir con algúngrado de racionalidad democrático el avance enel derecho de la protección de datos.
Y el tercer mensaje que quería transmitirles, esque hoy ya tienen un manejo masivo de datosen manos del Estado, no sólo los estadísticos,probablemente la administración tributariacomo lo hacía ver nuestro conferencistamagistral de hoy en la mañana, también enmateria de derecho del consumidor, de datosfinancieros, de datos relacionados con laactividad electoral de los ciudadanos yciudadanas y por supuesto, todos los datosreferidos a la administración de justicia.
Así es que ese volumen de datos ya demuestrala necesidad de un derecho de protección dedatos regulado vía legal y la única esperanza quetiene América Latina es la de avanzar hasta la
110
ocasión y la oportunidad de tener leyes quepermitan desarrollar después una cultura deprotección de datos.
Ya no tenemos tiempo de desarrollar la culturaantes de la ley, démosle la oportunidad a la leyde crear la cultura.
Moderador: Alonso Gómez Roble Verduzco.Comisionado del IFAI.
Solicito la participación del doctor Andrés AlboMárquez; quien tomó posesión como Consejerodel Instituto Federal Electoral el 3 de noviembrede 2003; es licenciado en Ciencias Sociales porel Instituto Tecnológico Autónomo de México,Maestro en Ciencias Sociales y Ciencia Políticapor la Universidad de Siracusa; tiene estudios depostgrado por la Universidad de GeorgeWashington, D. C.; hasta octubre del 2003 fuedirector del Departamento de EstudiosSociopolíticos de Banamex; en 1994 fueobservador electoral en México en los comiciosfederales y realizó actividades en esa materiaen 1991; asimismo fungió como consejero en elConsejo Local del Instituto Electoral del DistritoFederal en los años de 1997, 2000 y 2003, en elproceso de 1997 incluyó la calificación del primerJefe de Gobierno del Distrito Federal;igualmente fue coordinador del AnuarioEstadístico México Social-Banamex y deelecciones locales y elecciones nacionales 1970-2000; cabe mencionar que ha sido profesor delITAM y de la Universidad Iberoamericana.
PonentePonentePonentePonentePonente: Andrés Albo Márquez.
Este tipo de eventos son necesarios paraprofundizar el debate en torno a la cultura de latransparencia, que no se puede entender sin lo queen mi concepto es su lado complementario, que esel tratamiento y protección de los datos personales,ya se decía que es la otra cara de la moneda.
El motivo de mi intervención es compartir laexperiencia del Instituto Federal Electoral en lamateria. Para el IFE existe, digamos, en una grandefinición, dos ámbitos de manejo de datospersonales.
El primero y desde luego más significativo es eldel padrón electoral.
Y el segundo más limitado, pero crecientementerelevante y demandado por los ciudadanos es lainformación de datos personales vinculados a laactividad de los partidos políticos.
Antes de entrar al tema permítanme robarlesnada más dos minutos para hacer algunasreflexiones sobre la importancia y uso de lainformación confidencial desde la óptica de lainstitución pública y autónoma como es el IFE.
¿Hay que delimitar la información pública de lareservada o confidencial?, depende en estrictosentido de su naturaleza.
En los últimos años hemos sido testigos delavance de dos movimientos de alcance mundial,el primero, desde luego más vigoroso y extendidoha sido la transparencia; el segundo, en el ladoopuesto y con un avance posterior, perocrecientemente importante ha sido lainformación confidencial.
Así nos encontramos con que la transparenciade la información gubernamental es hoy unarealidad, incluso hay plena aceptación de que lasecrecía de la información del gobierno esincompatible con las democracias modernas.
Del lado opuesto o para ser más precisos, si mepermiten la metáfora de forma recíproca a laapertura, encontramos la informaciónconfidencial, y yendo al grano, podemos hablarde la responsabilidad que tiene el gobierno deproteger los datos personales que los individuosle entregan con propósitos específicos, pormedio de las leyes el Estado determina lafrontera entre lo público y lo privado, de formaque éste debe garantizar el ejercicio de losderechos individuales, proteger la intimidad yevitar que la información personal se hagapública.
La protección de este derecho salvaguarda lavoluntad de mantener fuera del conocimientopúblico aspectos de la vida personal tales como
111
la convivencia familiar, la conducta sexual yafectiva, las creencias religiosas, el patrimoniopersonal, entre otros.
Vale decir que tanto el ordenamiento jurídicointernacional, como el mexicano han previstodisposiciones que tienen por objeto la defensa yprotección de la vida privada, no entro al detalledel marco jurídico en México, ya lo expuso contoda precisión Carlos Arce, y seguramente mejorde lo que yo podría hacerlo.
Lo que quisiera es concentrarme, si me lopermiten, en el Registro Federal de Electores;éste, sin duda, es la base de datos másimportante que maneja el Instituto y surelevancia es nacional y rebasa por mucho elámbito estrictamente electoral.
Hablamos de un banco de datos con informacióncomo nombre, sexo, edad, domicilio, clave deelector y que acumula datos de más de 70, casi75 millones de empadronados.
Por la importancia del padrón electoral suprotección y trámite se regula conforme a lodispuesto por el COFIPE, el Código Federal deInstituciones y Procedimientos Electorales, es laexcepción de la norma del manejo del padrónelectoral, es la excepción de la normaestablecida en el reglamento propio delInstituto, en el reglamento de transparencia enmateria de datos electorales.
Menciono algunas características que definenel tratamiento de este banco de datospersonales, pero que tiene las característicasprecisas de ser un banco también electoral;combina, por un lado, una característica de loelectoral y junto de un banco de datos para laidentificación de los ciudadanos.
La primera característica que define el COFIPEes que los partidos, los integrantes de losconsejos a nivel general, local y distrital, así comolos miembros de las llamadas Comisiones deVigilancia que son órganos creados ex profesospara vigilar la conformación y veracidad delbanco de datos, tienen acceso irrestricto a todos
los datos que conforman el padrón electoral y lalista nominal para efectos de control y revisión.
Por contra, el acceso a la base de datos seencuentra totalmente restringido para aquellosfuncionarios que no tengan vinculación con sumanejo.
El Registro cuenta con una plataformatecnológica que registra electrónicamentecualquier consulta realidad por funcionarios opersonal acreditado para efectos de cualquiercontrol.
Por tal motivo se puede tener plena certeza queun mal manejo de dicha información implicaría,entre otras cosas, una posible responsabilidadadministrativa. Desafortunadamente hacealgunos meses vivimos esta triste experiencia.
Otra característica relevante es que, de acuerdocon el Código Electoral, el Instituto está obligadoa compartir la información del padrón con laSecretaría de Gobernación mediante, desdeluego, la celebración de convenios.
Asimismo, el Registro Federal de Electores seencuentra obligado a proporcionar informaciónconfidencial en juicios, recursos oprocedimientos en que el IFE fuere parte o bienpor un mandato de lo que la ley señala, comojuez competente.
El Instituto ha interpretado que el concepto juezcompetente es aplicable exclusivamente a losfuncionarios del Poder Judicial y a lasautoridades administrativas, que esténtramitando asuntos de orden legal y se excluyea los ministerios públicos locales, federales o alos tribunales administrativos.
De esta forma se garantiza que la informaciónpersonal que maneja el IFE sólo será conocidapor un grupo reducidísimo de gente que tienenacceso a éste, con fines exclusivos de supervisiónelectoral. Y, por tanto, se puede concluir que laregulación del manejo de datos electoralobedece a la particularidad y objetivos delpadrón, y además de servir de insumo para emitir
112
la credencial electoral con fotografía que sirve,hay que recordarlo, como el instrumento paraejercer el voto y, desde luego, como una cédulaen el uso común de identidad nacional.
A la par de la regulación que establece el COFIPEen materia de datos personales, hago menciónque en junio pasado el Instituto aprobó unnuevo Reglamento de Transparencia, queincluye, de manera destacada, un apartadocorrespondiente a datos personales.
Resalto cuatro aspectos relevantes para el temaque hoy nos ocupa. Primero, establece esteReglamento, con toda claridad, que los datospersonales son información de carácterconfidencial y, desde luego, las definicionesalrededor de esto.
Su difusión, distribución y comercialización debeapegarse estrictamente a las disposiciones quese señalan en este Reglamento.
Segundo. Se incorpora un apartado deresponsabilidades para los servidores públicos,con lo cual se obliga a mantener laconfidencialidad de los documentos, además deprecisar las consecuencias de uso indebido parala información reservada o confidencial.
Tercero. Con la nueva regulación se garantiza laapertura de la información pública, sincomprometer datos, que son patrimonioexclusivo de los ciudadanos.
Finalmente se posibilita al ciudadanomecanismos de acceso y corrección de suspropios datos, y define los principios quepermiten la protección de informaciónconfidencial.
Me ocuparé ahora de la información, de los datospersonales vinculados a las actividades de lospartidos políticos.
Las finanzas de los partidos son asuntos deinterés público. Por ello utilizo dos ejemplossignificativos en materia de fiscalización, queinvolucran el manejo de datos personales.
Son casos complejos que buscan el equilibrioentre la necesidad de hacer información pública,relacionada con manejo de recursos, que en sumayoría, más del 90 por ciento son recursos,dineros públicos y la obligación de salvaguardarla información confidencial de personasvinculadas con las actividades de los partidos.
El primer ejemplo que quisiera señalar se refiereal Acuerdo que aprobó la Comisión deFiscalización para publicar en la página deInternet del Instituto, la información sobre elmonto total de las aportaciones que reciben lospartidos y el nombre de los aportantes. Esto comoun esfuerzo de rendición de cuentas de losingresos que obtienen los partidos políticos pormedio de sus simpatizantes.
Este acuerdo da a conocer el nombre y el montoaportado, pero mantiene la confidencialidad deotros datos personales.
Un segundo ejemplo da cuenta de las medidasque tomó también la Comisión de Fiscalizaciónpara diversificar mecanismos deautofinanciamiento, esto hace apenas haceunas semanas.
Sí, efectivamente recientemente se aprueba elAcuerdo que establece las modalidades ycriterios para la utilización de los númerostelefónicos 01-800 y 01-900, como medio pararecaudar fondos por la vía de aportaciones demilitantes y simpatizantes.
Esta medida tiene un doble valor o factorbenéfico. Por una parte permite que los partidosse alleguen de recursos de manera expedita yabsolutamente transparente. Y por otra, se tienecerteza sobre la legalidad del origen de losrecursos obtenidos, pues las aportaciones sedeben realizar por medios de tarjetas bancariasde los aportantes, y los depósitos se deben hacerdirectamente a las cuentas que para talpropósito apertura el partido. Ambosmecanismos provén de evidencias confiables delos movimientos bancarios.
113
Tanto para el caso de las aportaciones realizadaspor medio de depósitos, como por la víatelefónica, resulta relevante insistir en que deningún modo se pone en riesgo la identidad o lasituación patrimonial del aportante, pero laautoridad tiene plena certeza del origen lícitode los recursos.
El IFE es cuidadoso al revelar únicamente lainformación sobre el nombre del aportante y elmonto de la contribución. Todos los ciudadanossabrán esta información. Y de esta forma segarantiza la privacidad de otros datos personalesal omitir información como domicilio, clave deelector, número telefónico o alguna otrainformación bancaria.
Para concluir mi intervención quisiera hacerénfasis en que el reconocimiento legal delderecho a la protección de datos personales esun elemento esencial en la vida de lasdemocracias. A partir de este tipo de acciones sepuede distinguir el espacio público del privado.
La protección a la vida privada es necesaria paragarantizar el respeto a la dignidad personal, ydesde mi perspectiva existe un doble propósitoen la protección de la intimidad. Por una partese trata de asegurar la libertad individual, y porotra, se intenta restringir o prohibir el usoindebido de información confidencial.
El Instituto Federal Electoral es consciente deesta responsabilidad, por ello desarrolla accionescomo las que he mencionado para delimitar lafrontera entre la información públicarelacionada con el funcionamiento del Institutoy los partidos políticos, y de aquella informaciónque es confidencial y que le entregan losciudadanos para el cumplimiento de susobjetivos y atribuciones legales.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
La intervención estará a cargo del licenciadoAndrés Calero Aguilar, egresado de la UniversidadPanamericana y con estudios de especialidad enel Instituto Nacional de Administración Pública,
el Instituto Tecnológico Autónomo de México yla misma Universidad Iberoamericana.
En el campo laboral ha trabajado en diversasdependencias del sector público, como es laSecretaría de Relaciones Exteriores y el InstitutoMexicano de la Radio.
Inició su labor en al Comisión Nacional de losDerechos Humanos en agosto de 1990,ocupando una jefatura de departamento y halaborado por un lapso de más de 10 años teniendoactualmente el honroso cargo de TercerVisitador General.
PPPPPonenonenonenonenonentetetetete: Andrés Calero Aguilar.
Quiero compartir la experiencia esta mañanade la Comisión Nacional de los DerechosHumanos en materia de protección de datospersonales y refiriendo un poco a las ideasplanteas por el doctor Chirino, de la concordanciapráctica entre el derecho a la información y elderecho a la protección de datos personales conalgunos ejemplos que hemos tenido en el senodel ombudsman nacional.
La CNDH en su carácter de órgano constitucionalautónomo y por lo tanto sujeto obligado de lasdisposiciones de la Ley Federal de Transparenciay Acceso a la Información PúblicaGubernamental ha realizado una serie deacciones en materia de acceso a la informacióny protección de datos personales:
1.- La normatividad de la Comisión Nacional deDerechos Humanos en materia de datospersonales.
Reconociendo la importancia de que laspersonas tengan conocimiento de lainformación que de ellos obra en la ComisiónNacional y con la finalidad de que hagan uso desu derecho de acceso y corrección de los datospersonales.
En primer término en la Comisión Nacional deDerechos Humanos se realizó el proyecto denormatividad en el que se establecen los
114
órganos, criterios y procedimientosinstitucionales para proporcionar a particularesel acceso tanto a los datos personales, como a lainformación en posesión del ombudsmannacional.
Una vez elaborado dicho proyecto, el ConsejoConsultivo de la Comisión Nacional de DerechosHumanos en su sesión ordinaria número 174,celebrada el 8 de abril del 2003 emitió elReglamento de Transparencia y Acceso a laInformación de la Comisión Nacional deDerechos Humanos, mismo que fue publicadoen el Diario Oficial de la Federación el 29 de abrildel 2003.
El Título Tercero de este Reglamento se refiere ala protección de datos personales y, dentro delas disposiciones más importantes establecidasen dicho apartado se encuentran las siguientes:
En el caso de las solicitudes de datos que obrenen un sistema de datos personales, sólo lostitulares de los mismos o sus representespodrán, previa acreditación, solicitar a la Unidadde Enlace se les proporcionen los datos queobren en un sistema de datos personales.
La Unidad de Enlace deberá entregarle alsolicitante en un plazo de 10 hábiles contadosdesde la fecha en que se presentó la solicitud, lainformación o bien la respuesta que al respectoremite el área responsable.
Por lo que se refiere a las solicitudes demodificación de los datos, los titulares de éstoso sus representantes podrán solicitar, previaacreditación ante la Unidad de Enlace, que semodifiquen los datos que obran en cualquiersistema de datos personales.
El titular deberá entregar una solicitud en la quese señale el sistema de datos personales,indiquen las modificaciones que debanrealizarse y aporten la documentación quemotive su petición.
La Unidad de Enlace deberá entregar alsolicitante en un plazo de 30 días hábiles,
contados desde la fecha en que presentó lasolicitud, la comunicación por medio de la cualel área responsable haga constar lasmodificaciones o bien, informe de manerafundada y motivada las razones por las cualesno procedió lo solicitado.
Contra la negativa de entrega o corrección deestos datos personales, así como la falta derespuesta en los términos que se establecieronen los dos supuestos anteriores, procede elrecurso de revisión al que se refiere el propioReglamento de la Comisión Nacional deDerechos Humanos.
Con posterioridad, en concordancia con loestablecido en el artículo 20 de la Ley Federal deTransparencia, en agosto de 2003 se elaboró elprocedimiento para la atención de las solicitudesde acceso y corrección de datos personales quese reciben por escrito en la Comisión Nacionalen el cual se plasman las disposiciones básicaspara atender este tipo de solicitudes y seestablecen los mecanismos para que su atenciónsea pronta y expedita, a efecto de que las áreasresponsables de conocer este tipo de solicitudescontaran con los elementos necesarios parahacerlo.
2.- La protección de datos personales en poderde la Comisión Nacional de Derechos Humanos.
Con el objeto de informar sobre las políticas dela Comisión Nacional de Derechos Humanos enrelación con la protección de datos personales,el 30 de septiembre de 2003 el ConsejoConsultivo de la misma emitió el acuerdo 7/2003en el cual se establece que las personas queentreguen información y datos personales a laComisión, se les comunicará que la informaciónque ellos proporcionen podrá ser suministrada aun tercero que lo solicite, después de un lapsode 12 años, contados a partir de la fecha en quese resuelva el asunto respectivo.
En el caso de que se acrediten violaciones gravesa los derechos humanos se podrá tener accesoal expediente desde el momento en que elmismo sea concluido, de acuerdo con lo
115
dispuesto por el artículo 14 de la Ley Federal deTransparencia y 10 del Reglamento de dicha leypara la Comisión Nacional de los DerechosHumanos.
Los datos personales que esta Comisión recibaserán manejados con fines exclusivamente deidentificación y se les dará un tratamientoconfidencial, esa es la prevención, la leyenda quea toda persona que se acerca a la ComisiónNacional a solicitar su intervención se le esentrega.
Por otra parte, la Comisión Nacional de DerechosHumanos, desde el año de 1990 se ha ocupadode la seguridad de la información contenida enlos distintos sistemas que conforman sus basesde datos, la clave incluye datos personales de losquejosos, agraviados, incluso, de presuntosresponsables o responsables de las violaciones aderechos humanos.
En ese sentido, se mantienenpermanentemente actualizadas las medidas deseguridad para controlar el acceso a la base dedatos de la comisión, el cual está restringido alas estaciones ubicadas en las distintasinstalaciones con que cuenta la institución aefecto de evitar el acceso a través de sistemasremotos, lo cual contribuye a elevar los nivelesde seguridad.
Aunado a lo anterior, el acceso a la base de datosestá limitado a un determinado número defuncionarios, quienes en su mayoría lo hacen enla modalidad de consulta, mientras que losresponsables de ingresar información o bienrealizar modificaciones en caso de que seanecesario están plenamente identificados.
La experiencia de la Comisión Nacional enrelación a solicitudes de acceso y corrección dedatos personales.
En el período comprendido entre el 12 de juniode 2003 al 31 de octubre del presente año, anteCNDH se han presentado tres solicitudes enmateria de corrección de datos personales,mismas que fueron presentadas en el mes de
enero, en las cuales se solicitaba la modificaciónde datos personales de solicitantes de acceso ala información, situación que fue realizada deconformidad a las peticiones.
Desde el momento mismo en que empezaron aatenderse y a resolverse las solicitudes de accesoa la información, de acuerdo con lo dispuesto enla Ley Federal de Transparencia, se dio acceso aéstas a través de su consulta en la página deInternet de la institución, en la direcciónwww.cndh.org.mx, pueden consultar cada unade las solicitudes que han sido presentadas y lasrespuestas que se da a las mismas, claro,eliminando aquellos datos personales.
4.- La protección de los datos personales frenteal acceso a la información.
El artículo Cuarto de la Ley de la ComisiónNacional de los Derechos Humanos estableceque el personal de la misma deberá de manejarde manera confidencial la información odocumentación relativa a los asuntos de sucompetencia.
Lo anterior no ha impedido al Ombudsmannacional, tal como se ha dado cuentaanteriormente, dar cabal cumplimiento a lasdisposiciones de la Ley Federal de Transparenciay Acceso a la Información PúblicaGubernamental.
En ese sentido, es importante resaltar quedurante el período comprendido del 12 de juniodel 2003 al 31 de octubre de 2005, únicamente el6.85 de las 321 solicitudes presentadas han sidoconsideradas como reservadas, porque así lodispone tanto la Ley Federal de Transparencia yAcceso a la Información Pública Gubernamental,como el Reglamento de ésta para la ComisiónNacional de Derechos Humanos.
A mayor abundamiento, en este período sólo sehan presentado trece recursos de revisión encontra de la respuesta entregada al solicitanteo con motivo de la resolución del Comité deInformación de la Comisión Nacional. De esteuniverso, dos se encuentran en trámite,
116
mientras que las once restantes han sidoconcluidas.
No obstante lo anterior, existe la preocupaciónde que aún y cuando en las solicitudes de accesoa la información se otorgue acceso a las mismaseliminando los datos personales, en algunoscasos esto no es suficiente, ya que alinterrelacionarla sea posible inferir la identidado demás datos personales de los quejosos y/oagraviados.
Para quienes han depositado la confianza en elOmbudsman nacional con la finalidad de buscarprotección en contra de los abusos de autoridad,lo menos que desearían es que un tercero, lacontraparte en algún procedimiento o, inclusive,las mismas autoridades responsables de laviolación a sus derechos fundamentalestuvieran acceso a los asuntos por ellosplanteados ante la Comisión.
Por desgracia tal afirmación cobra fuerza alrecordar algunos casos en que los quejosos y/oagraviados ante las Comisiones de DerechosHumanos en nuestro país, han sido objeto deamenazas, intimidaciones e incluso la muerteal denunciar acciones u omisiones de lasautoridades, como es el lamentablefallecimiento del señor Rodolfo BenítezFigueroa, tal como se recuenta en el texto de larecomendación nueve de 2001, misma quepuede ser consultada en el sitio de la ComisiónNacional.
A manera de conclusión, a partir de este ejemplosurge la necesidad de reflexionar sobre el hechode que el garantizar a la persona la facultad dedecisión sobre el uso y destino de sus datospersonales trasciende el propósito de asegurarsu adecuado tratamiento e impedir latransmisión ilícita y lesiva para la dignidad dederechos del afectado, en algunos casos obedecemás a la imperiosa necesidad de garantizar lasalvaguarda de su integridad e incluso el derechoa la vida, condición esencial para el desarrollo dela persona.
Esta situación en ningún momento debeutilizarse a manera de justificación, para que lossujetos obligados clasifiquen como reservada oconfidencial la información en su poder, bajo unfalso argumento de que toda la informaciónpone en riesgo la vida o seguridad dedeterminadas personas.
Por ello, es urgente ampliar aquellasdisposiciones normativas o inclusive crear unanueva legislación, a fin de que se reconozca laimportancia de garantizar a los individuos suderecho a la autodeterminación informativa, sinafectar el derecho a la información de terceros.
Por ultimo, agradezco al Instituto Federal deAcceso a la Información Publica y a la RedIberoamericana de Protección de Datos, lainvitación a participar en este magnífico eventoque ha permitido intercambiar experiencias yampliar el debate en estos apasionantes temas,que son la Protección de Datos Personales y elAcceso a la Información, conceptos que seencuentran estrechamente entrelazados einclusive, como se ha comentado, en algunasocasiones parecieran entrar en conflicto.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Pasaríamos ahora a la participación de OscarPuchinelli. Doctor en Derecho por la Facultad deDerecho de la Universidad Nacional de BuenosAires. Es profesor adjunto de DerechoConstitucional Uno y Derecho ConstitucionalDos. Esta cátedra la imparte en la Facultad deDerecho de la Universidad Nacional de Rosario.Es Profesor a Cargo de Cátedra, Derecho ProcesalDerecho Procesal Constitucional yTransnacional, en la Facultad de Derecho de laUniversidad Nacional de Rosario.
Entre los premios obtenidos quisiéramosdestacar el siguiente: El primer premio, ConcursoColegio de Abogados de Rosario, año 2003, en lacategoría Derecho Público, con el trabajo LosDesafíos del Hábeas Corpus argentino, en el
117
centenario de la Constitución de 1853, apropósito del Habeas Corpus contra particularesy del Habeas Corpus colectivo.
PonentePonentePonentePonentePonente: Oscar Puchinelli.
Muchísimas gracias, por la presentación, por lainvitación del IFAI y de la Red Iberoamericana, esun alto honor para mí compartir la mesa y porsupuesto este evento que es tan trascendentede no solamente para México, sino paraIberoamérica en general.
Me permito leer un pequeño trabajo que salióen el diario La Tercera, de Chile, el día 31 deoctubre. Unos parrafitos, pido disculpas si algunade las palabras no es muy apropiada. Es unapublicación de Jaime Bayly, que es un periodistaperuano bastante conocido, que llamatrabalenguas. Y ahí dice, en un párrafo, que creoque es el menos dificultoso para mí mencionar,les dice: Checa que viene la ley, dijo unmexicano; para que bien la cana chabón, dijo unargentino; ojo, huevón, ahí están los pacos, dijoun chileno; corre que vienen los maderos, dijoun español; suave que viene los tombos, dijo unperuano.
Esto que de algún modo sirve como prolegómenode lo que voy a decir, tiene que ver con la riquezade la lengua española, que sinceramente nopodemos dejar de destacar, y la riqueza que fuedestacada también en la Declaración deMontreux, en cuanto a que el derecho a laprotección de datos es un derecho universal, peroque debe respetar la diversidad.
En nuestra América Latina, desde luego hay unagran diversidad, y una gran diversidad deenfoques en materia de protección de datos, enmateria de Hábeas data que llevan precisamentea una consecuencia negativa.
La consecuencia negativa precisamente es quela terminología utilizada, incluso los conceptosmuchas veces son hasta contradictorios yconspiran precisamente con la finalidad quedebe tener todo sistema de protección de datos,que es por supuesto que haya una claridad
conceptual, que haya una claridadterminológica, y que por supuesto se simplifiqueal máximo todo lo que tiene que ver con suregulación, por supuesto no dejando de ladoregulaciones fundamentales.
En este punto quiero hacer algunasaclaraciones, esta mesa se refiere precisamenteal control que ejercen los gobiernos, y en esto yome voy a detener un poquito en analizar algunasde las formas de control o las que debieran estary cómo han sido evaluadas en líneas generalesen derecho comparado. Los medios de protecciónpueden ser legislativos administrativos ojudiciales; y aquí tenemos múltiples variantes,tanto en América Latina, como en Europa, quesin embargo está bastante homogeneizado apartir de las normativas internacionales.
Los medios de protección legislativos o de índolenormativo general, podríamos decirlo, parten detres fuentes fundamentales. La primera son losconvenios, digamos, en orden ascendente,descendente, los convenios regionales. EnAmérica Latina, desde luego, no tenemos todavíauna convención americana, aunque hayproyectos en la OEA al respecto y de algún modolos trabajos de la Red están tendiendo a estaconcreción.
Luego vienen las constituciones que en el casode América Latina a partir de las reformas delregreso generalizado de la democracia en ladécada de los ochenta hizo lo que podía ser, crearlo que se llamó el Hábeas data con distintosmatices en cada uno de los países, porque lo quehizo fue crear una acción de garantíaprácticamente sin desarrollar el derecho al cualdebía proteger.
Este es uno de los motivos por los cuales hay unagran diversidad, no solamente en terminológicasen las legislaciones y conceptual, también, si noen los diversos proyectos que hoy están en losparlamentos de los distintos paíseslatinoamericanos que todavía no tienen ley deprotección de datos.
118
Destaco y rescato la figura del Hábeas dataporque de algún modo ha sido puesto encuestionamiento. Aquí en México ustedestienen un amparo que es gigantesco, enAmérica Latina hay mayor diversificación deinstitutos de garantía de acciones procesalesconstitucionales y una de ellas es precisamenteel Hábeas data que en realidad se limita a esopero tiene una gran utilidad.
Creo y en esto estoy parcialmente endesacuerdo con lo que el profesor ChirinoSánchez, no es una acción que sólo lleguecuando no haya nada más nada que hacer,precisamente uno de los roles quefundamentalmente ha tenido América Latina,ha sido el rol preventivo.
Desde luego muchas de las veces también llegancuando los daños están siendo ocasionados. Peroen materia de protección de datos, salvo que setrate de la desaparición física de una persona ola lesión a la integridad corporal, siempre se estáa tiempo de prevenir daños posteriores, es decirque el Hábeas data siempre sirve, salvo esassituaciones donde no se puede ejercer.
Dentro de los medios de protección están desdeluego las leyes de protección de datos y otrasnormas que no son leyes generales de protecciónde datos, pero que desde luego contribuyen aesa protección.
En este punto, ayer se relataba con muchodetalle las diferentes leyes que hay en México,incluyendo el Código Civil, el Código PenalFederal, la Ley Federal Financiera, la Ley deInstituciones de Crédito, la Ley Federal deProtección al Consumidor, la Ley de InformaciónEstadística y Geográfica, la Ley deResponsabilidades del Funcionario Público, la Leyde Transparencia y Acceso a la InformaciónPública, todas ellas tienen algo que ver con laprotección de datos.
Y en este punto, que voy a evaluar después, desdeluego que es bueno que las autoridades relativasa cada sector, incluso las autoridades electorales
también tengan función en este aspecto,tengan y cuiden los datos personales.
Pero también sí es muy importante que hayauna autoridad única que de algún modoestablezca criterios uniformes, porque si lalegislación no es clara se puede producir unaserie de discordancias en el ordenamientointerno que no es aconsejable, por lo menos defrente a lo que se le debe proporcionar a losciudadanos.
También en la protección judicial ya hablábamosde la Hábeas data, pero también a través desanciones penales, a través de sanciones civiles,un medio eficaz de control a falta de la ley deprotección de datos han sido los reclamosindemnizatorios.
Muchos tratantes de datos han debido adecuarsus prácticas precisamente porque los jueceshan sido sumamente rigurosos en la aplicaciónde sanciones de carácter civil frente a lostratamientos abusivos de los datos.
Las sanciones civiles, desde luego estánpropiciadas desde el orden internacional, elprincipio octavo de las directrices de la ONU, elartículo 23 de la directiva europea 95 46, undocumento del año 2004 del Grupo del artículo29 de la Unión Europea, el artículo 23 de la leychilena, el artículo 19 de la ley española, en fin.La mayoría de las legislaciones aluden al deberde indemnización. Los jueces han sidosumamente estrictos en cuanto a la apreciacióndel daño y, sobre todo la reparación del dañomoral e independientemente del daño materialsufrido por quienes fueron objeto detratamientos indebidos de datos personales.
Y desde luego las sanciones penales, ahí hay unadiscusión si deben o no estar dentro de una leyde protección de datos. En el caso español seprefiere estar fuera de la ley de protección y, enel caso argentino se optó por algo diferente, seincorporó en la ley de protección de datos, perocomo una incorporación anexa al código penal.
119
En el campo de la protección administrativa, eldeber de protección a través de una autoridadde control independiente surge claramente dela directiva 95 46 de la declaración Montreuxque decíamos antes y de la resolución 45 95 dela ONU, el principio rector número ocho.
Es decir, que esto de que haya una autoridadindependiente es y diría yo, única, por lo menosen cuanto al nivel último de decisión, si biendebe haber otras autoridades que puedan aplicary que deben aplicar los principios de la protecciónde datos esto ha traído determinadas formas deregulación, desde luego, en el derechocomparado tenemos muchas, el PrivacyCommissioner of Canadá, el Garante per laprotezione dei dati personali en Italia, la AgenciaEspañola de Protección de Datos, que es unaautoridad independiente, en el caso argentinola Dirección Nacional de Protección de Datos quedepende del Ministerio de Justicia, en la leychilena el Servicio del Registro Civil deIdentificación, en la ley uruguaya una comisiónque depende del Ministerio Económico yFinanzas, en México vemos una diversificación,pero también lo elabora el IFAI, es muyimportante y también desde luego la derivadadel control de la ley de defensa al consumidor, esdecir, hay diversas formas de controlar, algunasson de fracción parlamentaria, otras son deextracción ejecutiva, otras son autoridadesindependientes.
En este punto, me parece importante destacarque la independencia central en cualquiersistema de protección, por ahí una dependencia,la defensoría del pueblo puede ser unaalternativa.
Desde luego, normalmente, porque en este casohay muchas diferencias regulatorias en losdistintos países, normalmente el defensor delpueblo actúa sólo sobre la actividad de laadministración y obviamente esto es poco,porque el tratamiento de datos no solamenteen la administración pública en el sentido delPoder Ejecutivo, sino también lo hace el propioLegislativo, lo hace el Poder Judicial y lo hacenlos particulares, con lo cual pareciera más
conveniente que fuera de tipo independiente yno de extracción parlamentaria ni de extracciónejecutiva.
En el caso de Argentina una de las observacionesa la declaración de país con nivel adecuado deprotección por parte del grupo de trabajo, artículo29 de la Directiva Europea, ha sido que desde elpunto de vista normativo no existeindependencia en el órgano de control ytampoco hay legislación en los Estadosfederados que de algún modo esté de acuerdocon éste y con la legislación federal.
Esto, sin embargo, no ha sido óbice para elenorme despliegue que ha hecho el DirectorNacional de Protección de Datos, quise poner enel currículum a último momento, porque paramí es honor, aunque sea un dato aparentementenegativo, haber perdido el concurso con eldoctor Travieso, que está haciendo una granlabor desde que asumió la dirección de laDirección Nacional.
Y desde luego también ser honesto en decir queme gustaría que fuera formalmente másindependiente, aunque lo sea desde el punto devista personal, ¿no? Me gustaría que realmentepodamos lograr una Dirección Nacional que nosea un apéndice desde el punto de vista formaldel Ejecutivo, sino una Dirección Nacional quesea un órgano extra-poder en todo caso y no unamera dependencia.
En este punto, ya no me va quedando muchotiempo, quiero retomar un poquito lo que veníadiciendo al principio, esto de provocarlos con lascuestiones terminológicas.
Nosotros en la primera sesión hablábamos devarias cuestiones relativas al derechofundamental a la protección de datos ysurgieron al lado de las mesas algunascontradicciones con esa posición,contradicciones que surgen de las distintasposiciones o las distintas culturas jurídicas quehoy se están volcando en este foro.
120
Yo insisto en la necesidad de unificar criterios yen esto insto a la Red de la cual formo parte enhacer esfuerzos para que en las legislacionesnacionales unifiquen las terminologías.
Me parece que utilizar la palabra derecho a laprotección de datos es el término adecuado, meparece que es superador de otras construccionesanteriores, por ejemplo, libertad de informática,incluso, intimidad informática, Hábeas data quese usaba como derecho, incluso hoy se usa comosinónimo de derecho, que en realidad no lo es, elHábeas data es una garantía de otros derechosy me parece que esto es muy importante que sepueda visualizar desde el punto de vistaconceptual.
Por ejemplo, en los proyectos de Colombia,incluso, en la doctrina de la Corte Constitucionalse usa la palabra derecho de Hábeas data comola primera frase que tiene que ver con el accesoy después a la segunda fase se llama derechosconexos de rectificación, etc.
Me parece que tendríamos que tratar de unificary rescatar el sentido inicial del Hábeas data quefue una acción procesal constitucional quenació en una constitución brasileña del ochentay ocho y que tenía como finalidad actuar sobrelos datos personales para tutelar, en ese caso sepensó mucho en la libertad física, en la integridadfísica, en el derecho a la vida, porque se tratabade la idea de los constituyentes a acceder a losbancos de datos oficiales para prevenir futurasdiscriminaciones, en función de que estávolviendo la democracia en los bancos de datosde la dictadura.
Entonces, volver a esa idea de la Hábeas datacomo un mecanismo protector, limitado a eso yno confundirlo conceptualmente, y por supuestoel derecho a la protección de datos seríasuperador también, en mi opinión, del conceptode autodeterminación informativa, que fueacuñado por el Tribunal Federal alemán, en 1983,en la Famosa Ley de Censo de la Población, que sibien coincido con el profesor Chirino Sánchez,no debemos hacer una cuestióndeterminológica muy aguda, sí digo que su
propia denominación apunta prácticamente auno sólo de los aspectos, que es la facultad de,uno, de autodeterminar o de decidir qué se hacey qué se no se hace con sus datos, y en realidadesto es mucho más que eso.
Me parece que conceptualmente la palabraqueda superada. Les doy solamente un ejemploque me viene a la memoria en este momento:En Argentina sobre protección de datos es uncaso llamado Urteaga, que es el caso delhermano, un desaparecido, que solicitainformación sobre los restos de su humano y laCorte dijo, de manera clara, que a través de laHábeas data se podrían garantizar muchosderechos, entre ellos la identidad, la dignidad, laintimidad, el honor, la libertad, la propiedad eincluso, y en esto me detengo, el derecho al dueloy el derecho a enterrar a los difuntos.
Y ustedes dirán: ¿Qué conexión puede tener conla protección de datos? Bueno, precisamenteeste es uno de los puntos interesantes.
Desde luego esta persona reclamaba el derechode acceso a los datos personales de su hermanodesaparecido.
También propongo que además de llamarderecho a la protección de datos, a este nuevoderecho, como lo hace el artículo 8 de la Cartade Derechos fundamentales de Niza de 2000, sehable de una nueva disciplina que es el derechode la protección de datos.
Es una disciplina claramente interdisciplinaria,que está muy conectada obviamente con elderecho a la información, que fantásticamentecreo, aquí se ha visto como dos caras de unamisma moneda, como también decía el profesorChirino Sánchez, en la regulación de la ley y lasfacultades que se le da al IFAI.
El acceso a información pública y la protecciónde los datos personales, no pueden estardesvinculados y es bueno que haya un solocriterio en estos dos puntos.
121
Las causales para no permitir el acceso a lainformación pública y las causales para denegarla protección de los datos personales son lasmismas: Seguridad nacional, seguridad pública,defensa de intereses de terceros, salud pública,etc. Allí es bueno que haya un criterio rectoruniforme.
Desde luego, todo está en el ámbito del derechoa la información, como gran madre de estadisciplina. Ya quedan superados, desde luego, losconceptos, que lo ligaban al derecho informáticoo a la informática jurídica. Éstos al principio eranquienes habían tratado, los especialistas enderechos informáticos e informática jurídica, losque habían tratado esta temática.
Con esto voy a ir terminando y simplemente paramostrarles algunas de las diferencias quetenemos en las distintas legislaciones y queameritaría unificarse.
Les digo que, por ejemplo para la ley chilena, loque nosotros debiéramos denominar sistemasde información en general, es denominado comoregistro de banco de datos, en la legislaciónespañola como ficheros, en la Argentina comoarchivo, registro, base o banco de datos, en lalegislación peruana como banco de datos, en lalegislación uruguaya como archivo, registros,bases, con relación a quienes tratan los datos,en Chile se les trata como responsables, enEspaña se distingue entre responsables defichero y de tratamiento, en Argentina se divideentre responsables de la base de banco de datosy usuario, pero usuario utilizado de una maneradiferente a la que se utiliza en el resto de lalegislación, se utiliza en el sentido deresponsable de tratamiento; también en Españase alude a encargado de tratamiento, esanormativa no tiene un reflejo exacto en el restode las legislaciones.
Cuando se alude al titular de los datos se aludede manera diferente, como titular de los datos,como afectado o como interesado, comoconcernido, etc., no hay uniformidad en ladenominación. Esto se debe precisamente, enalgunos casos, a la riqueza de la lengua española
y en algunos otros se debe a erroresconceptuales que no tengo en este momentoforma de desarrollar.
En este punto quisiera dejar como mensaje lanecesidad de unificar, a fin de que, en definitiva,la legislación se aclare en uniforme.
Rescato lo que decía el doctor Travieso alprincipio, cuando se puede copiar es buenocopiar. En este punto yo creo que si laslegislaciones fueran exactamente iguales, porlo menos en lo sustancial y en lo conceptualestaríamos en una perspectiva de protecciónmucho más eficiente, mucho más eficaz.
Y desde luego esto es muy importante para queno se vea en la práctica de algún modo cumplidoaquel exorcismo literario que George Orwell dealguna manera hizo a través de 1984, y que laley en definitiva no sea una telaraña quedetenga los insectos y deje pasar a los pájaros.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Se abrirá en espacio para las preguntas yrespuestas.
Al licenciado Carlos Arce Macías. ¿Existe unapropuesta de Ley de la PROFECO sobre laprotección de datos personales en asuntoscomerciales y electorales? Si la respuesta esafirmativa, ¿en qué consiste?, negativa,¿entonces por qué?
PonentePonentePonentePonentePonente: Carlos Arce Macías.
Rápidamente, no. No tenemos esta atribucióncomo para hacer una iniciativa ni mucho menos.No hay propuesta al respecto de parte de laPROFECO.
La PROFECO simplemente tiene una serie defunciones de protección de datos personales.Como ya lo comenté, las listas de no llamadas,que es una cuestión facultativa, podemoshacerlo o no y depende sobre todo depresupuesto. Esperamos que en el presupuesto
122
2006 poder llevar a cabo precisamente estesistema de inscripción de listas para no sermolestados vía telefónica en su domicilio.
Por otra parte, conozco simplemente lainiciativa que existe en el Congreso. En elCongreso está aprobado por el Senado ya unainiciativa. Está en minuta en la Cámara deDiputados, tiene que ser discutida y que ya fueaprobada previamente, por supuesto en elSenado.
Sin embargo, reitero, primero, la secuencia lógicaen cuestión de datos personales debería dehaber sido, primero: Ley de archivos, Ley deProtección de Datos Personales y la Ley Federalde Acceso a la Información PúblicaGubernamental.
Al inicio de este sexenio se vio que lasposibilidades estratégicas dentro del Congreso,y creo que así fue el asunto, se daba en laposibilidad de tramitar la Ley Federal de Accesoa la Información Pública Gubernamental, la cualpudo salir a inicios del sexenio y ahora esta leyprecisamente esta siendo el efecto contrario, osea, percutiendo la necesidad de la Ley de DatosPersonales y por supuesto de la Ley de Archivos,porque el otro asunto a donde vamos a llegar esdónde están nuestros datos, quién protegenuestros datos, quién utiliza y cómo se guardany resguardan nuestros datos que sería la Ley deArchivos.
De tal manera que el asunto que como yo ya locomentaba está cojo mientras no tengamos laLey de Protección de Datos Personales y la otramuy importante, Ley de Archivos.
Por lo pronto no hay ni habrá ninguna propuestapor parte de PROFECO, hay minuta en la Cámarade Diputados en este momento.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Procurador le pediríamos que pueda seguir conel micrófono porque es otra pregunta que se leformula.
¿Cómo sancionar a las empresas y al mismogobierno cuando éste último vende los datos aparticulares?
PonentePonentePonentePonentePonente: Carlos Arce Macías.
Bueno, evidentemente en el gobierno sí habría,dependiendo de la diferente legislación, habríaresponsabilidad de los servidores públicos a nivelindividual y podrían ser sancionados, porsupuesto, ya ha habido algunos casos en el IFEpor ejemplo, pero ahí hay ciertos controles y laLey Federal de Acceso a la Información PúblicaGubernamental previene también una parte dedatos, de protección de datos personales y seprevino así precisamente en el conocimiento deque no había una ley ex profeso para la materia,igual que hay una serie de instrucciones enrelación a archivos.
En estos momentos en relación a las empresascomerciales, pues evidentemente no se puedehacer nada, no hay ningún tipo de regulación alrespecto y hay una negociación continua entreellas para recabar listados de datos personales,incluso en el Internet se pueden encontrar porahí la venta de discos de grandes ficheros,grandes listas de datos personales de ejecutivos,de personas de ciertas condiciones económicas,etcétera.
No hay ningún tipo de regulación que acote enestos momentos esa situación, cosa que ya seha comentado aquí, es uno de los problemasgraves que estamos enfrentando y los problemastecnológicos incluso.
Doy un dato. Incluso con cierto Softwareapropiado podría haber un seguimiento porllamadas telefónicas de dónde se mueve lagente. Aparte de la situación relativa al ADN porejemplo, que podríamos saber prácticamente dequé nos vamos a morir y de qué nos vamos aenfermar, y para las empresas puede ser muyimportante esto no solamente para las médicas,las de seguros, etcétera.
Podemos también saber dónde está la gente, enqué zonas se mueve, en qué zonas comerciales.
123
Podemos tener un seguimiento con la mineríade datos, como comentan, podríamos tener unconocimiento muy preciso de todo elcomportamiento comercial de una persona parasaber qué le vendemos, cómo le vendemos, quémercadotecnia usamos, en qué áreas se desplaza,etcétera.
Este es el problema. Estas son las agendas delsiglo XXI, es lo que se tiene que estar discutiendoen México porque es lo que se está discutiendoen el mundo y no estar atorados en otros tiposde agendas que tenemos que resolverrápidamente.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.Pregunta para el Consejero Andrés AlboMárquez: La información que mencionórespecto de las aportaciones de militantes y/osimpatizantes de los partidos ¿ya está cargada oa la vista en la página Web del IFE?
¿Cuál fue la sanción que se le aplicó al servidorpúblico que divulgó información relativa a datospersonales, del caso que se presentó en el IFE?Según mencionó usted en su exposición.
¿Qué medidas como resultado de estaexperiencia se aplicaron o se aplicarán?
Se ha planteado en México la implementacióndel voto electrónico. ¿En este caso un sistemade voto electrónico debería implementarmedidas para evitar que se identifiquen laspreferencias políticas de los electores? ¿Hay unmarco normativo que permita evitar esasituación?
PonentePonentePonentePonentePonente: Andrés Albo Márquez.
En lo relativo a las aportaciones sí hay unacuerdo que desde el 2003 hace pública lasaportaciones, si no mal recuerdo, lasaportaciones de los militantes y de lossimpatizantes de los partidos políticos y éstasya se encuentran en Internet.
Los nuevos sistemas que se estáninstrumentando para recabar fondos o por la víade las tarjetas de crédito o por las vías deaportaciones directas vía telefónica, estostodavía no se echan a andar, todavía no tenemosreportes, todavía no se ha fiscalizado, pero desdeluego va a ser objeto de publicación.
En el caso de las aportaciones vía telefónicas sesolicita al aportante algunos dato que permitenel consentimiento del aportante o cuandomenos del propietario de la línea.
El funcionario de nivel administrativo que fueobjeto de la investigación y, bueno, se ledemostraron algunas responsabilidades en elcaso este tan penoso de utilización de bancosde datos, bueno, ahora está en la cárcel.
A partir de ello sí el Instituto ha realizado variasacciones, algunas de carácter práctico,inmediatas, de carácter tecnológico comoreforzar los sistemas de información, acceso,control, de estos datos, incluso desdemodificaciones en la infraestructura material yde resguardo de esta información.
Pero también ha habido acciones de tiporeglamentario, de tipo normativo en los alcancesque tiene el Instituto, que básicamente ha sido,pues, reflejar en el Reglamento de Transparenciauna parte específica para todos estos datos. Perodada las particularidades del padrón también hahabido algunos acuerdos al respecto.
Pero diría que además de estos sistemas se tieneprevisto un sistema tecnológico de controlmucho más preciso.
En el caso del voto electrónico, bueno, ya elmismo voto que se realiza en urnas tiene unareglamentación muy precisa y muy estricta entérminos de la confidencialidad, los candadosque le llamamos coloquialmente para impedirtoda identidad del votante. A pesar de ello, bueno,en cumplimiento de ello sí se hacen algunosestudios, incluso, recientemente se publicaronlos primeros datos de preferencias políticas a
124
nivel agregado, votos, algunas características enuna muestra de urnas.
En el caso del voto electrónico que nosotros noestamos contemplando este instrumento paralas próximas elecciones, sino que tendría que serde manera experimental hasta probablementeel 2006, lo que se está buscando es desarrollaruna tecnología propia, pero también se estáviendo cuáles son las ventajas del votoelectrónico en algunos estados, incluso enalgunas partes del mundo, pero uno de losrequisitos y de los elementos que se estántomando en consideración justamente es laconfidencialidad de los votantes y de losmomentos en los que se ejerza el voto.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.
Para el doctor Alfredo Chirino Sánchez. Ya queno pudo exponer toda su ponencia, no sé sientendí su idea. En México la privacidad delderecho de autodeterminación de lainformación ha sido del Estado y no de losparticulares.
El artículo Octavo de la Constitución garantiza,desde hace años, que un funcionario deberesponder a la petición de un ciudadano. Perono daba el derecho a que le informara de laactividad de dicho funcionario, como ahora.
Hasta donde entendí de su exposición, laprivacidad se refiere a que en América Latina seconsidera que sólo el que tiene algo que ocultar,es el que pide precisamente esta privacidad, noacceso a sus datos personales; quién no tienenada que ocultar, obviamente, entonces lo dejaprecisamente a plena libertad.
Y en este caso yo considero, es mi experiencia,que en el gobierno mexicano eso es lo que se hadado. La privacidad era exclusivamente por partedel Estado y cada vez que se pedía información,antes de la Ley de Transparencia, simplementese trataba como si fuera una cuestión deseguridad nacional, cuestiones muy sencillas,cuestiones bastante puntuales acerca delfuncionamiento del Estado.
Entonces, yo quisiera que el doctor me aclarara,si es que entendí mal su exposición, a qué serefería con esto.
Ponente: Ponente: Ponente: Ponente: Ponente: Alfredo Chirino Márquez.
Mucha gracias por la pregunta, yo la verdadhabía quedado con muchos deseos decontestarle al doctor Puchinelli, al cual me damucho gusto conocerlo, ya que había leído sulibro sobre la situación del derecho de Hábeasdata en el sistema Indoamericano, y me pareceun excelente libro.
Voy aprovechar entonces para contestar lapregunta que me hacen, y decir algo que estárelacionado con los criterios terminológicos a losque aludía mi colega argentino.
Me parece que yo quería hacer alusión a ladiferencia que hay entre el tratamiento jurídicoo dogmático del derecho a la privacidad, a laintimidad y a la autodeterminación informativay su correlato cultural.
Me parece, y aquí estoy hablando únicamentede la cultura social de mi país, la cultura de laprivacidad o de mantener asuntos en laintimidad siempre refleja el sentimiento socialde sospecha, de que aquel que oculta algo esporque efectivamente quiero esconder algo dela vista pública.
Esa es la situación cultural de mi país, que esintransferible a otros países, y sólo puedo hablarde ella, porque es la que conozco bien.
Lo que usted me plantea de México a partir de laevolución constitucional del derecho depetición y respuesta, que está consignado en casitodas las constituciones liberales posteriores ala Segunda Guerra Mundial reflejaefectivamente que el derecho de acceso a lainformación era puramente formalista, se referíaexclusivamente a tener acceso a registros yarchivos públicos, y muchas veces se ridiculizóese derecho diciendo para lograr mejor acceso alos archivos públicos lo que hay que hacer losaparcamientos más grandes.
125
El derecho al acceso a la información públicaquedó ridiculizado mucho tiempo, consideradoexclusivamente como un derechoconstitucional de petición.
Con los avances que se han dado en la discusiónsobre el acceso de la información, repito,principalmente en temas de acceso a lainformación pública en materia de protecciónambiental, es que hoy, efectivamente, el derechode acceso a la información es la contracara, elanverso de la moneda relacionada con elderecho de la protección de datos.
Que ocurra eso en México en relación con losfuncionarios públicos, y que por mucho tiempoesa situación de secrecía, como dicen ustedes,se refiere específicamente a la vida privada y alas gestiones privadas, que de alguna maneraestán conectadas con lo público del ciudadano,probablemente tiene que ver con una nuevaatmósfera democrática que se vive no sólo enMéxico, sino en toda América Latina.
Aprovecho la pregunta solamente para decir aldoctor Puchinelli, que en efecto mi ataque altema del Hábeas data es para generar esedebate que no hemos podido generar y que talvez sería muy interesante tener, y eraprecisamente para causar esa sensación de queel con el Hábeas data realmente estamossolamente en una parte de la discusión.
Pero yo tengo que reconocer públicamente quesin Hábeas data no tendríamos la evoluciónjurisprudencial que se ha dado en mi país, hastael punto de reconocer a través de una garantíaprocesal el derecho sustantivo a la protecciónde datos.
Por esa razón creo que, en efecto, hay quediscutir esto desde un punto de vista dogmático,normativo, pero no podemos perder la vista delbosque por un solo árbol.
Lo comentaba ahora con la doctora SepúlvedaToro, es indudable que la mesa está sobre lostemas del gobierno y los datos que maneja, ydiscutir sobre las múltiples formas de observar
este derecho y esta garantía moderna en lassociedades de la información, podría hacernosperder la oportunidad histórica y política dealcanzar el derecho a la protección de datos queparece ser la única garantía en una sociedad deinformación, donde hasta el dinero ha perdidosu valor, y la información tiene el másimportante desde que aquel importante filósofodijo: El poder la información lo es todo.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Pediría ahora la respuesta a Andrés CaleroAguilar.
PPPPPonenonenonenonenonentetetetete: Andrés Calero Aguilar.
Es un planteamiento que me voy a permitir leerpara el entendimiento de la respuesta. Señalaque la Academia Mexicana de DerechosHumanos solicitó información acerca delConsejo Consultivo de la CNDH y éstapretextando que es confidencial la negó. Laopacidad de la CNDH ha provocado la necesidadde un programa como Atalaya del ITAM paraanalizar y evaluar realmente la Comisión.
Dos cosas: El planteamiento es equivocado; lasactas del Consejo Consultivo en su versiónpública han sido entregadas a la Academia, elConsejo está integrada por personas que no sonservidores público, por los cuales no se les puedeobligar entregar la información y por lo tanto sehizo una versión pública.
Segundo. No sólo el programa Atalaya hasupervisado, analizado y estudiado la Comisión;existen programas de la Academia Mexicana deDerechos Humanos de FUNDAR, y de laUniversidad de San Diego, a los cuales laComisión ve con muy buenos ojos, estamos comoorganismo público autónomo sujetos a ladisposiciones de la ley y, tal como se señalóanteriormente únicamente siete por ciento delas más de 300 solicitudes de transparencia hansido clasificadas porque así lo dispone la ley, comoinformación reservada, únicamente menos delsiete por ciento.
126
ModerModerModerModerModeradoradoradoradorador::::: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Rápidamente dos últimas preguntas por obviodel tiempo.
A la doctora María Alejandra Sepúlveda Toro.¿Qué experiencia tienen en Chile respecto a laaplicación de la ley de protección en los aspectos:financieros, información crediticia, acceso a lainformación, bancos de datos en gobierno versusprotección de datos personales?
PPPPPonenonenonenonenonentetetetete: María Alejandra Sepúlveda Toro.
La experiencia que tenemos respecto de eltratamiento de datos personales por losorganismos privados se vincula principalmenterespecto a reclamaciones que se realizan entorno a entrega de información, sin que estépendiente la decisión o la definición de unnuevo crédito, solamente para la informacióngeneral que podría tener un banco sin quenecesariamente el titular de los datos estéhaciendo unas gestiones específica deobtención de algún nuevo préstamo.
Por otra parte, la otra reclamación tiene que vercon mantener la información más allá de losplazos que se ha previsto en la ley, que se vinculacon los cinco años desde que la obligación sehizo exigible o una vez que ya está prescrita laacción penal o administrativa. Yo diría que enese contexto están más bien planteadas lasreclamaciones.
Ahora, también hay reclamaciones que serealizan al servicio nacional del consumidor, quetiene que ver con temas vinculados al gran flujode correspondencia que llega, sin que laspersonas hayan entregado sus datos para talesefectos.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Terminaríamos con una última preguntaformulada al doctor Oscar Puchinelli, consisteen lo siguiente: ¿Qué riesgos considera usted
que existen si la autoridad garante de laprotección de datos personales dependedirectamente del Poder Ejecutivo? Es decir, queno sea autónoma e independiente o de creacióno dependencia parlamentaria.
Ponente: Ponente: Ponente: Ponente: Ponente: Oscar Puchinelli
En primer lugar es una cuestión inicial decredibilidad. Cuando uno le da la función decontrol a un órgano dependiente del que va acontrolar, evidentemente la gente no tienemucha confianza, de entrada.
Si usted le va a decir al Poder Ejecutivo que es elque maneja la mayor cantidad de base de datosque tenga una dependencia, que lo va acontrolar, esto es de alguna manera bastante,desde el punto de vista de la gente, bastantepoco confiable, aunque la institución resulteconfiable, un primer argumento arranca desdela necesidad de que el controlador no esté en lamisma órbita del controlado, este es un principiobásico del sistema en contrapeso.
Hay una tendencia general en los ejecutivos ade alguna manera utilizar los datos, yo puedodar dos ejemplos de mi país: recientementehubo campañas electorales y mucha gente harecibido llamadas telefónicas del Presidente dela República para pedir su apoyo en la votación,no hay elecciones presidenciales, sino huboelecciones legislativas y mucha gente que nisiquiera estaba, no era público su dato, digamos,en el directorio telefónico, también recibió lasllamadas, es decir, esto requiere de algunamanera cierta fuerza para controlar ese tipo desituaciones.
Desde luego, muchas o la mayoría pueden noser reconocidas, pueden no ser vislumbrada porla autoridad de control, pero sí digo que muchasveces hay una tendencia por parte del PoderEjecutivo de utilizar los datos personales contrala propia Ley de Protección de Datos, incluso otrasautoridades no necesariamente del PoderEjecutivo, de autoridades electorales, hubo unagran discusión hace muy poco tiempo donde seincluyó en el padrón electoral disponible a
127
cualquiera el dato de afiliación partidaria y estogenera una gran discusión.
Desde luego, los criterios de la autoridad decontrol yo los entiendo absolutamenteindependientes, porque conozco a la personaque lo dirige, pero tal vez no se ha vislumbradode esta manera por la sociedad en general, ¿meexplico? Es decir, en un primer momento yo diríala autoridad de control no tiene que tener querelación con los sujetos que va a controlar, debeser completamente independiente.
En el campo del defensor del pueblo se aplica lomismo, el defensor del pueblo, en general, en laslegislaciones latinoamericanas y ese es el origen,digamos, institucional del ombudsman es elcontrol de la administración pública. Está bien,va a controlar los bancos de datos del PoderEjecutivo, pero ¿qué pasa con los otros bancosde datos? ¿Naturalmente es una instituciónapropiada para controlar los bancos de datosprivados? Aparentemente no.
No quiere decir que no pueda hacerse, uno eningeniería constitucional puede modelar condistinto resultados de acuerdo a la idiosincrasiade cada país, pero me parece que siempre hayque atender a una autoridad independiente.
Y les digo mi experiencia personal, una de lascosas que no coloqué ahí en el currículum fueque asesoro a legislador y que usualmente mehan consultado legisladores entre distintoslugares de mi país.
Cuando quieren dictar una ley de adhesión a laLey Nacional de Protección de Datos y crear unaautoridad de control, siempre, como pauta,digamos ineludible, era: ¿Por qué no ponemos laautoridad de control en el Poder Ejecutivo?Siempre la idea es por qué poner la autoridad decontrol en el Poder Ejecutivo, porquenormalmente es lo que menos daño puedecausar al gobierno.
Esto sin perjuicio de que como en el casoargentino hay independencia en autoridad decontrol, hay estabilidad, de alguna manera está
cubierto por lo menos por el período en el queestá designada la autoridad de control, pero hayque dotarla siempre una fuerte independencia,en este punto para mí me parece central.
Lo que no quiere decir, como dije antes, que lasdependencias del Poder Ejecutivo tambiénejerzan su control en función de suscompetencias, esto también es cierto, pero ladecisión final debiere estar, por lo menos elcriterio definitivo desde el punto de vistaadministrativo, porque después están loscorrectivos judiciales desde luego, y en estaactividad los jueces ha sido muy valorada porsupuesto en América Latina y sobre todo enArgentina, Colombia, donde han tenido un grandesarrollo, el criterio definitivo debiera estar porlo menos en una autoridad independiente queunifique además ese criterio para los ciudadanosque no pueden estar sujetos a distintos criteriosque puedan tener el Poder Ejecutivo en funciónde sus distintas reparticiones.
Esa es mi visión del tema, pero no pretende ser unavisión que descarte las otras alternativas,simplemente es lo que entiendo que favorecería unamejor protección de los datos de carácter personal.