recomendaciones: protección de datos personales principios y recomendaciones protección de datos...

Recomendaciones: Protección de Datos Personales

Principios y RecomendacionesPrincipios y RecomendacionesProtección de Datos PersonalesProtección de Datos Personales

John M. WilsonOficial Jurídico Principal

Departamento de Derecho Internacional



Antecedentes Procesales• Asamblea General:

Desde 1996 estudios sobre los marcos existentes en acceso a la información y protección de datos personales

• Comité Jurídico Interamericano:Estudios protección de datos, informes, cuestionario y resolución



Antecedentes Procesales

• Acceso a la Información: Principios, Recomendaciones, Ley Modelo; Guía de Implementación; Programa Interamericano

• Protección de Datos: Solicito el presente Estudio de Principios y Recomendaciones sobre protección de datos personales


Antecedentes SustantivosAvances Tecnológicos: • Computación, Internet, comercio electrónico,

medicina, biotecnología• Colección, Almacenamiento, transferencia,

divulgación • Incremento significativo en el procesamiento

de los datos personales• Crecimiento exponencial cada año


Antecedentes LegislativosAvances Legislativos: • La legislación se basa en el derecho de la

persona a la privacidad• El origen del derecho a la privacidad varia

región por región• Tratamiento de la protección de datos varia

país por país• Tres tipos de legislación prevaleciente


Alternativas LegislativasTres tipos de legislación prevaleciente• Sistema Europeo: Sistema más estricto de

regulaciones estatales • Sistema Estadounidense: Autorregulación de

las entidades privadas• Habeas Data: Acceso a la información

personal en manos del gobierno


Balance entre objetivos

PROTECCIÓN PROTECCIÓN derecho de privacidadderecho de privacidad

FOMENTOFOMENTO comercio electrónicocomercio electrónico


Sistema Europeo• Derecho Humano: El Consejo de Europa Reconoce la

Privacidad como un Derecho Humano• Derecho: Declaración Universal de Derechos

Humanos• Derecho: Pacto Internacional de ONU sobre los

Derechos Civiles y Políticos• Toda persona tiene derecho a la protección de la ley

contra esas injerencias o esos ataques



Sistema Europeo• Derecho a privacidad cubre todo aspecto• Procesamiento de datos por el gobierno y

entidades privadas • Convenio del Consejo de Europa para la Protección

de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal

• Directiva sobre protección de datos de la Unión Europea



Directiva de la Unión Europea• Derecho: Reconoce el derecho de los particulares

a la privacidad • Estándar: Establece el nivel estándar de la

protección de datos para los miembros de la Unión Europea

• Aplicación Extraterritorial: permite transferencia de datos personales sólo cuando el país “garantice un nivel de protección adecuado [de los datos]”



Sistema de Estados Unidos• Derecho: origina de la interpretación de la

Constitución en la jurisprudencia de las cortes

• Corte Suprema ha declarado que la Constitución protege el interés de las personas de evitar la divulgación de sus asuntos personales

• Corte Suprema ha declarado que la privacidad no es absoluta. El interés de la persona a la privacidad se debe balancear con el interés público



Interés Publico

INDIVIDUO INDIVIDUO derecho de privacidadderecho de privacidad

PUBLICOPUBLICO interés colectivo nterés colectivo



Sistema de Estados Unidos• Protección se limita a los datos procesados o

en custodia del gobierno federal

• No abarca los datos procesados o en custodia de la entidades privadas

• Auto-regulación por parte de los sectores económicos



Safe Harbor• Sistema Voluntario al cual las empresas privadas se

pueden apegar • Certifica que la entidad privada establece un nivel

adecuado de protección de los datos personales

• Requerido para las empresas que reciben datos personales de la Unión Europea

• Transferencias internacionales de datos personales



America Latina: Habeas Data• Habeas Data: Acción ante el sistema judicial

• Permite protección de la imagen, privacidad, honor, etc., de la persona

• Mecanismo que otorga a la persona la facultad de detener el abuso de sus datos personales

• En general, permite a la persona el acceso a la información personal en las bases de datos públicas y/o privadas



Habeas Data• No exige que el gobierno o entidades privadas

protejan los datos personales por iniciativa propia• Requiere que la persona agraviada presente una

denuncia ante el sistema judicial• Requiere que este compruebe que el procesamiento

de los dato personales fue indebido• Reserva como recurso legal sólo para personas a las

que se compromete su privacidad • No otorga un recurso legal a una persona agraviada

si sus datos personales han sido transferidos del país



Nueva Ley Mexicana• Ley Federal sobre la Protección de los Datos

Personales, julio de 2010

• Nueva ley regula solo los datos en custodia de actores privados

• Ley de Transparencia regula datos en custodia del gobierno

• Instituto Federal de Acceso a la Información, cobra nuevas facultades sobre Datos Personales



Definiciones• Datos Personales

• Controlador/Procesador de Datos

• Datos Personales Sensibles

• Procesamiento

• Consentimiento



Principios y Recomendaciones• Fundamento en legislaciones existentes• Documentos de principios de sociedad civil• Estudios y resoluciones del Comité Jurídico

Interamericano • Instrumentos internacionales• Jurisprudencia y resoluciones judiciales



Principio 1: Legitimidad y Justicia • Legitimidad: procesamiento de los datos

personales debe ser legal y legítimo • Justo: procesamiento de datos personales

debe ser justo• Todo procesamiento de datos personales que

da lugar a discriminación contra la persona es injusto



Principio 2: Propósito Especifico• Los datos personales deben ser procesados

con un propósito específico y explícito• EL propósito debe ser acorde a las

expectativas razonables y consentimiento de la persona afectada

• Consentimiento Explicito: 1) datos sensibles; 2) uso distinto de los datos



Principio 3: Procesamiento Limitado• Limitado: procesamiento debe ser adecuado,

relevante y no excesivo con relación al propósito y sólo la cantidad mínima de datos personales para cumplir con el propósito

• Necesario: personales sólo será necesario si el mismo contribuye directamente a la consecución del objetivo para el cual fueron obtenidos y procesados los datos



Principio 4: Transparencia• procesamiento debe ser transparente: • información sobre la identidad del controlador

de datos• propósito del procesamiento• a quien se podrán revelar los datos personales• cómo puede ejercer sus derecho la persona• cualquier otra información necesaria para el

procesamiento justo de los datos personales



Principio 5: Rendición de Cuentas• El controlador es responsable de adoptar

todas las medidas necesarias que imponga la legislación o autoridad competente

• El controlador tiene la obligación de demostrar que cumple con las directivas necesarias para proteger los datos personales

• Responsabilidad personal por incumplimiento



Principio 6: Condiciones Necesarias• Consentimiento: consentimiento libre,

inequívoco e informado de la persona antes de procesar sus datos personales

• Intereses: se deben balancear los intereses del de la persona afectada v. del procesador

• Condición: relación contractual; autoridad legal; circunstancias excepcionales



Principio 7: Revelación Limitada• Comparición de Datos a terceros requiere la

notificación a la persona interesada

• Establecimiento de protecciones en caso de transferencia a un tercero controlador de datos

• Relación contractual, respecto al marco normativo existente



Principio 8: Transferencia Internacional• Las transferencias internacionales de datos

personales sólo deberán efectuarse si el país receptor ofrece el mismo nivel de protección de los datos personales

• Factores para considerar: 1) la naturaleza de los datos; 2) el país de origen; 3) el país receptor; 4) el propósito para el cual se procesan los datos, y 5) las medidas de seguridad vigentes para la transferencia y el procesamiento de los datos personales



Principio 9: Derecho de Acceso• derecho de la persona a solicitar y obtener la

información sobre sus datos personales • solicitar información sobre un dato personal

específico y/o sobre cómo y por qué se procesa el dato personal • transparencia señalado, toda la información

que se suministre a la persona afectada debe ser clara y fácilmente comprensible



Principio 10: Derecho de Corregir• La persona tiene derecho a solicitar que el

controlador de datos corrija o suprima los datos personales que puedan ser incompletos, inexactos, innecesarios o excesivos

• Si los datos personales han sido divulgados a terceros, el controlador de datos debe también notificar a estos del cambio



Principio 11: Derecho de Objetar• La persona podría objetar el procesamiento en los

casos en que exista una razón legítima, como un perjuicio o angustia injustificada y sustancial

• Sólo puede objetar el procesamiento de sus propios datos personales

• No podrá objetar: si los datos son necesarios para cumplimiento de un deber impuesto por ley, para ejecución de una obligación contractual entre la persona y el controlador de datos, o si la consintió



Principio 12: Personalidad• Las personas y sus representantes pueden

ejercer el derecho de acceso, derecho de corrección y supresión y derecho de objetar el procesamiento de los datos personales

• El controlador de datos puede requerir que la persona suministre información razonable para determinar su identidad



Principio 13: Seguridad de los Datos • El controlador y el procesador de datos deben tener las

medidas técnicas y de organización para garantizar la integridad, confidencialidad y disponibilidad de los datos personales

• El controlador debe informar a la persona de toda violación de la seguridad que afecte sus derechos y toda medida que adopte para subsanar la violación



Principio 14: Confidencialidad• Los controladores y los procesadores tienen el

deber de mantener la confidencialidad de todos los datos personales

• Deber de confidencialidad se extiende hasta después de terminada la relación

• La confidencialidad puede ser supeditada por las cortes para proteger la seguridad pública, la seguridad nacional o la salud pública



Principio 15: Cumplimiento• Para asegurar el cumplimiento y la aplicación

de la protección de datos, los estados deben contar con una autoridad supervisora y establecer un recurso judicial

• Los controladores y procesadores de datos que no procesen conforme lo previsto en la legislación nacional podrían ser sujetos a responsabilidad administrativa, civil o penal



Medidas Proactivas• Los estados pueden crear programas de

capacitación, educación y conciencia pública para fomentar la comprensión de la legislación, los procedimientos y los derechos en materia de protección de los datos personales

• Los estados también pueden crear procedimientos operativos normalizados para los controladores de datos, a fin de prevenir, detectar y contener las posibles violaciones de la seguridad



Cooperación• La cooperación entre las autoridades nacionales

y las autoridades internacionales es parte esencial de la protección de los datos personales

• Los estados debe promover cooperación entre autoridades nacionales encargadas de la protección de datos personales, a nivel nacional e internacional para promover la protección



Conclusiones• Los estados miembros debieran seguir

estudiando el tema• Comprometerse a salvaguardar el derecho a la

privacidad de las personas• Considerar la posibilidad de actualizar sus

sistemas regulatorios de protección de los datos personales en base a los principios y recomendaciones del presente trabajo



Conclusiones• Principios de protección de datos• Recomendaciones de proteccion de datos• Modelo para legislacion interna en materia de

proteccion de datos• Intrumento internacional para las

transferencias transfronterizas• Programa Interamericano


recomendaciones: protección de datos personales principios y recomendaciones protección de datos...

Documents