Por: Carlos FERREYROS SOTO
INTRODUCCIÓN
a. Tratamiento de los principios.
b. Organización y funciones de la
autoridad administrativa.
CONCLUSIONES PRELIMINARES
BIBLIOGRAFÍA
RESUMEN
La presente ponencia analiza la concepción
y los textos relativos a los principios de protección de los datos personales en
el Proyecto elaborados por el Ministerio de Justicia del Perú y la Ley Orgánica
de Protección de Datos de Carácter Personal de España, Ley 15/1999, afín de conocer
si el Proyecto acentúa un mayor control administrativo del Poder Ejecutivo sobre
los datos personales, y si el Proyecto quiebra o continua y/o refuerza la mercantilización
de los datos personales.
PALABRAS CLAVES
DATOS PERSONALES/PROTECCIÓN/PERÚ/ESPAÑA/CONTROL
ADMINISTRATIVO/MERCANTILIZACIÓN/PODERES DEL ESTADO/PODER EJECUTIVO/MINISTERIO DE
JUSTICIA/ACCESO A LA INFORMACIÓN/DERECHOS HUMANOS//
INTRODUCCIÓN
Esta ponencia es acápite de un Libro que el autor prepara
sobre un tema más amplio, cuyo título preliminar es: “Derecho de Personas, Identidad
e Identificación numérica”.
Dos hipótesis subyacen en esta Ponencia: la primera,
referida a: ¿Si el Proyecto de Ley de Protección de Datos Personales, elaborado
bajo la tutela del Ministerio de Justicia del Perú, MINJUS, acentúa un mayor control
administrativo del Poder Ejecutivo sobre los datos personales?; la segunda,
¿Sí el Proyecto continua y refuerza la mercantilización de los datos personales?
Los requisitos impuestos en la presentación de las Ponencias
al Congreso "II Encuentro Latinoamericano de Bibliotecólogos,
Archiveros y Museólogos", no permiten hacer una
demostración exhaustiva de las hipótesis planteadas, solo acaso la comparación entre
dos concepciones y textos de ley, y algunas referencias sobre lo que ha “quedado
en el tintero”, al decir de Ricardo Palma, nuestro bibliotecario mendigo.
Aun cuando la Comisión del Proyecto del Ministerio de Justicia,
MINJUS - en adelante el Proyecto - reconoce haber: “tomado como base importante”
Ley Orgánica de Protección de Datos de Carácter Personal de España - en adelante,
la Ley 15/1999 - subsisten marcadas diferencias, omisiones, adendas como exactas
coincidencias.
La idea de esta confrontación preliminar y análisis es
obtener un primer escenario de la relación entre ambos cuerpos legislativos y establecer
algunas tendencias mayores sobre la visión de la protección de datos personales
de la virtual Autoridad de Protección de Datos Personales en el Perú. Dos variables
nos orientan para este propósito: el tratamiento de los principios de protección
de los datos personales y la organización y funciones de la autoridad administrativa.
El análisis, en forma de acotaciones, se centra sobre los
principios de protección y de autoridad administrativa sobre los datos personales,
propuestos entre el Proyecto del MINJUS y la Ley española N° 15/1999. Al final se
presentan algunas Conclusiones Preliminares.
Actualmente, el Proyecto de Ley de Datos Personales ha
sido enviado por la Presidencia de la República al Congreso de la República para
su debate legislativo, Se desconoce si este será debatido en la penúltima legislatura
del actual gobierno iniciada el 28 de julio último o en la próxima del otoño del
2011.
a. Tratamiento
de los principios.
Los principios propuestos
por la Comisión en el Proyecto son: información, responsabilidad, consentimiento,
excepciones al consentimiento, consentimiento para la cesión o transferencia de
datos personales, clasificación especial, seguridad, seguridad en los contratos
y confidencialidad.
Numerosos artículos
de la Ley 15/1999 han sido transpuestos en el Proyecto, aunque algunos aspectos
previstos en el primero no tienen el mismo rigor, precisión o acuciosidad de la
segunda. De otro lado, existen marcadas diferencias, omisiones, como inclusiones
inapropiadas, es el caso de la institución Centrales Privadas de
Información de Riesgos y de Protección al Titular de Información, CEPIRS, preexistente ya
en la legislación nacional, pero cuya legitimidad en el Proyecto debiera haber merecido
un mayor análisis sobre su pertinencia.
a.1. Información.
El principio de
Información, artículo 6°, en el Proyecto, torna alrededor de la idea que
el interesado o la persona de la cual se recaban sus datos personales, debiera ser
informado de esta obtención.
6.1. Para efectos de la obtención
de los datos personales, el interesado deberá ser previamente informado, de modo
expreso, explícito, detallado e inequívoco:
6.1.1. Del responsable del fichero
o quien solicita sus datos.
La Ley 15/1999 incluye dos criterios que no han sido tomados
en cuenta u omitidos por la Comisión: que pueda ser también informado el interesado
por el representante del responsable del fichero, agregando dos condiciones: la
identidad de estos y su dirección.
6.1.2. De la finalidad del fichero y de los motivos para
los que se solicitan los datos personales.
El Proyecto no toma en cuenta u omite el hecho de informar
al interesado sobre la existencia de un fichero o tratamiento de datos de carácter
personal, ni menos el destinatario de los mismos.
Párrafo 6.1.3. De
la cesión o transferencia de los datos personales.
La Ley 15/1999 utiliza en varios artículos la noción de
cesión.
En su Artículo 3. Definiciones, al referirse a:
c) Tratamiento de datos: [1] considera a
la cesión como una forma de tratamiento de datos, que resulten de comunicaciones,
consultas, interconexiones y transferencias. En el mismo artículo inciso i) Cesión
o comunicación de datos: [2] la define como
revelación o comunicación de datos realizada a una persona distinta del interesado.
En ningún caso la identifica como transferencia de la propiedad del fichero o archivo,
aunque este criterio ha sido evocado en las Directivas europeas, bajo condiciones
bastante precisas.
En el Artículo 7. Datos especialmente protegidos. Inciso
2. [3] la Ley 15/1999
al referirse a la excepción de los ficheros mantenidos por los partidos políticos,
sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones
y otras entidades sin ánimo de lucro, se prevé que la cesión de dichos datos
precisará siempre el previo consentimiento del afectado.
En el Artículo 8. Datos relativos a la salud. La
ley 15/1999 prevé una derogación contraria, respecto de la cesión consignada
en su artículo 11°, en la cual no se requiere el consentimiento del interesado para
el tratamiento de datos relativos a la salud, y a justa razón, porque existe un
bien mayor a proteger el de la sociedad, en desmedro del derecho de la persona.
[4]
En el Artículo 11. Comunicación de Datos. Inciso
1, se precisan las relaciones entre el cedente, el cesionario y el interesado. El
principio es el previo consentimiento del interesado. El mismo que se completa con
los fines y funciones legítimas (determinadas por la ley) del cedente y del cesionario.
[5] El precedente
inciso se completa con las excepciones previstas en el inciso 2 del mismo artículo
[6] relativas a
las excepciones previstas para la ley (datos necesarios para la administración del
Estado, la defensa, la seguridad o la transferencia internacional de datos personales),
de fuentes accesibles al público, de una relación jurídica o de una exigencia administrativa
o jurisdiccional.
El Artículo 27. Comunicación de la cesión de datos.
Se refiere al procedimiento a seguir en el caso de comunicación de la cesión:
información al interesado, finalidad del fichero, naturaleza de los datos cedidos.
Lamentablemente la Ley 15/1999, si bien exige el nombre y dirección del cesionario,
no requiere los mismos identificantes para el cedente. Esta obligación de Comunicación
de la cesión de datos, no es aplicable en el caso de los artículos 6° Consentimiento
del afectado, 11° Comunicación de datos, incisos 2, párrafos c), d),
e) y, ni cuando la cesión sea impuesta por la ley. [7]
El Artículo 44. Tipos de infracciones establece
en su inciso 4. Son infracciones muy graves: b) La comunicación o cesión
de los datos de carácter personal, fuera de los casos en que estén permitidas.
Finalmente, en el Artículo 49. Potestad de inmovilización
de ficheros. En los supuestos, constitutivos de infracción muy grave, de utilización
o cesión ilícita de los datos de carácter personal en que se impida gravemente
o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos
y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan,
el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad
sancionadora, requerir a los responsables de ficheros de datos de carácter personal,
tanto de titularidad pública como privada, la cesación en la utilización o cesión
ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección
de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos
efectos de restaurar los derechos de las personas afectadas.
Los párrafos siguientes del artículo 6°, que van
del 6.1.4. al 6.1.7. propuestos por la Comisión, todos ellos corresponden
exactamente a los propuestos en la Ley 15/1999.[8]
En el párrafo 6.1.8. del artículo 6°, el Proyecto
propone algo inédito en las múltiples leyes que hemos podido identificar y analizar,
incluyendo la Directiva N° 95/46/CE del Parlamento Europeo y el Consejo
de la Unión Europea sobre la materia, y que los proponentes del Proyecto mencionan
en la Exposición de Motivos, III. Situación Internacional de Protección de Datos
Personales: “los interesados de los cuales se solicitan sus datos personales, deberían
ser informados de la cesión de datos personales a favor de ficheros de solvencia
patrimonial administrados por las Centrales Privadas de Información de Riesgos,
CEPIRS u otros similares”. Este inciso no tiene equivalencia con la Ley 15/1999,
y será motivo de un análisis más detallado al referirnos al tema de la mercantilización
de los datos personales.
Sobre este párrafo cabe la pena mencionar que éste no solo
no protege los datos personales de los titulares sino trasgrede dos otros principios
internacionales: el de prohibición de interconexión de archivos o ficheros, y el
que los datos personales solo puedan ser violentados por motivos de defensa y seguridad
nacionales, y no a fines privados.
El párrafo 6.1.9.
del artículo 6°, propuesto en el Proyecto, relativo al tiempo durante el cual
se pueden conservar los datos personales, ha sido tomada en cuenta la Ley 15/1999,
pero la Comisión pero no precisa un tiempo determinado. Sin embargo, si nos referimos
al Artículo 4° de la Ley 15/1999 Calidad de los datos, se hace referencia
indirecta a estos términos. En una de nuestras notas de pie de página indicamos
que el criterio de conservación es relativo, porque este es tributario de la necesidad
o pertinencia de la finalidad de los datos, y que estos criterios son variables[9]:
en función de las disposiciones aplicables, o de un contrato celebrado entre la
persona o entidad responsable del tratamiento y el interesado, en el cual ambas
fijan el tiempo de conservación.
Inciso 6.2.
En caso de que los interesados no sean informados debidamente; según lo indicado
precedentemente, pueden negarse a proporcionarlos, pudiendo impugnar o ejercer las
acciones que estime convenientes dentro de lo establecido por esta Ley y sus normas
complementarias.
La Ley 15/1999, precisa con mayor detalle las impugnaciones
o el ejercicio de determinadas acciones: Artículo 5°, inciso 1, d) De la posibilidad
de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Inciso 6.3. En
el caso que se utilicen cuestionarios u otros impresos para la obtención de datos
personales, deberán acompañarse a éstos las advertencias que hagan posible conocer
la información a que se refiere el presente artículo.
En la Ley 15/1999
figura casi el mismo texto, en el artículo 5, inciso e) numeral 2, del Derecho
de información en la recogida de datos.
2. Cuando se utilicen cuestionarios u otros impresos para
la recogida, figurarán en los mismos, en forma claramente legible, las advertencias
a que se refiere el apartado anterior.
6.4. Cuando se
trate de recopilación de direcciones, reparto de documentos, publicidad, venta a
distancia, actividad comercial y otras actividades similares, se podrán utilizar
nombres o direcciones, cuando la persona lo consienta por escrito o expresamente,
así como otros datos personales que figuren en las fuentes accesibles por el público,
debiendo indicarse el origen de los datos.
La Ley 15/1999, en su Artículo 30. Tratamientos con
fines de publicidad y de prospección comercial, establece en su inciso 1., casi
similar principio, varía solo el tiempo del verbo: el condicional por el imperativo.
[10]
El nuevo Código de Consumo aprobado hace poco en el Perú,
debiera servir de referencia al momento del debate legislativo del Proyecto que
analizamos.
a.2. Responsabilidad.
El artículo 7°
Responsabilidad de la Comisión, y todos sus incisos, incluyendo el párrafo final
que lo acompaña son más o menos similares a los previstos en la Ley 15/1999, sobre
todo con los Artículo 4. Calidad de los datos y el Artículo 43. Responsables.
Solo el inciso 7.3. es diferente por la concepción general respecto de la garantía
del ejercicio de los derechos de los interesados. Mientras la Comisión se propone
garantizar el ejercicio de los derechos del interesado reconocidos en la presente
ley, en la Ley 15/1999, artículo 4° se precisa que el derecho de los interesados
se refiere a los datos almacenados y que estos lo serán de forma tal que permitan
el ejercicio del derecho de acceso.
Este último artículo,
se complementa con los derechos previstos en la Ley 15/1999, en los artículos: 5°
Derecho de información en la recogida de datos, inciso 1, párrafo d); 9° Seguridad
de los datos, inciso 1; 15° Derecho de acceso; 16° Derecho de rectificación y cancelación;
17°. Procedimiento de oposición, acceso, rectificación o cancelación; 18°. Tutela
de los derechos; Artículo 20° Creación, modificación o supresión, inciso g); y 23°
Excepciones a los derechos de acceso, rectificación y cancelación.
a.3. Consentimiento.
Según el artículo
6° de la Ley 15/1999: El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra
cosa. El artículo 9° del Proyecto, es más detallado, precisa que debe ser: “previo,
informado e indubitable del interesado”. En el caso de los datos sensibles dicho
consentimiento además será inequívoco, expreso y por escrito, salvo las excepciones
previstas en el artículo siguiente y otras previstas por ley.
La propuesta es conforme a la tendencia internacional,
pues va en el mismo sentido de las declaraciones de datos personales más corrientes
realizadas en los países europeos, principalmente. Sin embargo, esta propuesta es
contradictoria con lo expuesto en el párrafo 6.1.8. del artículo 6° del Proyecto,
“sobre la cesión de datos personales a favor de ficheros de solvencia
patrimonial administrados por las Centrales Privadas de Información de Riesgos,
CEPIRS u otros similares”.
El consentimiento para el tratamiento de los datos va en
doble sentido: de aquel que trata los datos quien lo requerirá del afectado, y de
éste mismo, quien lo requerirá de la Autoridad de Datos Personales, bajo las llamadas
normas simplificadas, establecidas conforme a un modelo ya definido, y aplicables
en particular a las administraciones y de las personas morales u organismos privados
que administran un servicio público. Es imperativa la declaración previa a la puesta
en marcha del tratamiento o del fichero que contiene los datos personales. Por oposición,
la otra forma de declaración es la normal, más extensa, e incluye a los organismos
privados que administran bienes y servicios privados, e incluyen las declaraciones
de datos sensibles de los organismos públicos y privados. En ambos tipos de declaración,
la propuesta es expresa, inequívoca y se presenta firmada por el representante legal,
el responsable informático, y actualmente, en el caso francés después de 2004, por
los Corresponsales de Informática y Libertades o Corresponsales de Datos Personales
(CIL). De establecerse las normas simplificadas, pre-establecidas ya, por la Autoridad
de los Datos Personales, la declaración previa, informada e indubitable al titular
de los datos personales no tiene sentido pues las normas han sido previamente publicadas,
debatidas y consensualmente aprobadas por la Autoridad de Datos Personales.
Cuanto a la revocatoria del consentimiento y al consentimiento
de los incapaces otorgado por sus representantes a que alude el Proyecto, el primero
es idéntico a la Ley 15/1999, y el segundo, entiendo que la Autoridad de
Protección de Datos Personales española no tuvo necesidad de mencionarlo pues este
derecho había sido tratado ya en el Código civil.
a.4. Excepciones al consentimiento.
El Proyecto destaca
en su Artículo 9° algunos casos de excepciones al consentimiento, cuatro
son similares a los propuestos en el Artículo 6° Consentimiento del afectado en
la Ley 15/1999. Es el caso de los incisos: 9.1., 9.3., 9.4., 9.5.; solo dos
casos no han sido contemplados: el 9.2. y el 9.6., referidos a la identificación
o individualización de datos e información de las personas fallecidas que se empleen
en investigaciones de carácter científico, y las referidas al CEPIRS. No se requerirá
el consentimiento del interesado cuando: 9.6. Los datos personales o información
de riesgo consten en los ficheros de las Centrales Privadas de Información de Riesgos
-CEPIRS o similares.
Sobre estos dos
últimos, los datos personales del primero, si bien no existen antecedentes específicos,
creo que deberían caer bajo el consentimiento de los familiares, a través de la
obligación de preservación de la memoria y honor del difunto, como en caso de los
incapacitados, y solo podría exceptuarse el consentimiento de sus parientes próximos,
si se deduce de las investigaciones que se encuentra comprometido el interés vital
de su entorno, o la seguridad pública. Cuanto al segundo, los CEPIRS, serán materia
de análisis específico en el libro que se encuentra en preparación. Podemos adelantar,
sin embargo, que por técnica legislativa, este párrafo, debería ser incluido como
Disposición Transitoria, toda vez se refiere a datos personales en giro, que “consten
en los ficheros de las Centrales Privadas de Información de Riesgos - CEPIRS o similares”.
Desde el punto de vista del consentimiento, nos reafirmamos en la transgresión del
principio del consentimiento del titular de los datos personales y de las excepciones
referidas a la seguridad y defensa nacionales, como ha sido ya normado en otras
legislaciones.
a.5. Consentimiento para
la cesión o transferencia de datos personales
La propuesta de este articulo
puede ser visto desde dos ángulos, el primero, a partir de la noción de cesión avanzada
por el Proyecto, diferente de aquella legislada por la Ley 15/1999, y el
segundo, respecto a la finalidad, legitimidad y a las partes intervinientes en la
cesión.
En relación a la noción de cesión, el Artículo 10° del
Proyecto establece el previo consentimiento expreso del interesado para la cesión
o transferencia de datos personales. La técnica legislativa utilizada por el Ley
15/1999 fue más rigurosa en definir, al menos operativamente, la univocidad
de la noción. En su artículo 3° Definiciones, inciso c) Tratamiento de datos: la
Ley 15/1999 estima la cesión de datos como una de las formas de tratamiento
“(…) las cesiones de datos (son aquellas) que resulten de comunicaciones, consultas,
interconexiones y transferencias”. Existe entonces una enorme diferencia entre dos
conceptos que la Comisión elaboradora del Proyecto pretende como sinónimos: datos
comunicados o datos cedidos a terceros, y la consideración de cesión de datos expresada
por el Ley 15/1999 como una forma de tratamiento, resultante de comunicaciones,
consultas, interconexiones y transferencias.
Respecto a la finalidad,
legitimidad y partes intervinientes en la cesión, el Proyecto no las toma en cuenta,
mientras que Artículo 11° Comunicación de datos de la Ley 15/1999 sí; precisando
que si bien los datos personales podrán ser comunicados a terceros con el previo
consentimiento del interesado, estos solo lo serán para el cumplimento de
fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
La cesión debe respetar entonces dos principios: el de finalidad y el de legalidad
de las funciones de las partes intervinientes en la cesión: el interesado, el cedente
y el cesionario.
Cuanto a las excepciones
al consentimiento de la cesión, el Proyecto establece en el inciso 10.1. de su propuesta
varios casos de figura, algunos de los cuales son más o menos similares, o han sido
adaptados a la organización del Estado peruano a los propuestos por la Ley 15/1999,
es el caso de los apartados: 10.1.1., 10.1.2., 10.1.3., 10.1.4., 10.1.5. Solo el
apartado 10.1.6., presenta una diferencia importante sobre la disociación. Según
este parágrafo, la Ley 15/1999 indica que “Si la comunicación se efectúa previo
procedimiento de disociación, no será aplicable lo establecido en los apartados
anteriores. Obviamente, la idea subyacente de la Ley 15/1999 es proteger
las posibles amenazas o violaciones a la vida privada e íntima de la persona humana,
procedimiento que puede obtenerse a partir del cruce o interconexiones de ficheros,
principio que ya hemos evocado. Disociando el contenido, o mejor, anonimizándolo,
la condición del consentimiento previo y expreso no tiene sentido. Similar criterio
no ha sido retenido en el Proyecto por la Comisión elaboradora.
a.6. Clasificación especial
El artículo 11°
del Proyecto incorpora una clasificación especial de datos, los mismos que son
definidos por la Ley 15/1999 como datos especialmente protegidos. No hay
diferencias sustantivas entre ellos, ni cuanto a la clasificación especial de los
datos, ni tampoco al previo consentimiento del interesado, salvo que debe ser escrito,
en el caso del Proyecto. Otras legislaciones utilizan distintas denominaciones:
datos sensibles, ficheros a riesgo, datos nominativos sensibles.
El Proyecto no hace
alusión a los derechos y libertades de la persona establecido en la Constitución
peruana, como en el caso de la Ley 15/1999 respecto de la Constitución española,
articulo 16, apartado 2 [11] pero sigue
casi el mismo fraseo, incluso amplia el criterio de la Ley 15/1999: ideología,
religión o creencias, a la afiliación sindical, origen racial, genético, salud o
vida sexual y otros que señala el Reglamento de la presente ley. Esperemos que en
éste se incluya otras categorías de datos sensibles o se corrija algunos que han
sido propuestas en otras legislaciones. Por ejemplo: opiniones políticas y filosóficas.
Los datos - y no los orígenes - genéticos, biométricos, las infracciones, condenas,
o medidas de seguridad, los números de seguridad social, las apreciaciones sobre
dificultades sociales de las personas, o de interconexiones. Incluyendo los tratamientos
susceptibles de excluir determinadas categorías de personas del beneficio de un
derecho, de una prestación, o de un contrato cuando no existe un marco legislativo
o reglamentario.
a.7. Seguridad
El artículo 12°
del Proyecto propone las medidas de seguridad a adoptar en el tratamiento de los
datos por el responsable del fichero, las mismas que son similares a las propuestas
por la Ley 15/1999, salvo la parte final del párrafo 2. de esta última, precisando
el origen de los riesgos. Existen dos otras diferencias entre el Proyecto y la Ley
15/1999, relacionadas una, por la acción: no obtención de los datos personales
de un lado o el no registro de los datos en el segundo. Dos, en el establecimiento
de requisitos y condiciones que deban reunir los ficheros y las personas, previsto
por la Ley 15/1999, mientras que el Proyecto solo se refiere a los ficheros.
a.8. Seguridad en los contratos
El artículo 13°
del Proyecto prevé, en el caso de celebración de contratos para el tratamiento de
datos y cuya ejecución permita el acceso a terceros la obligación de implementar
las medidas de seguridad y guarda de secreto. La referencia más próxima a este concepto
en la Ley 15/1999 es el Artículo 12. Acceso a los datos por cuenta de terceros.
Según éste, la Ley 15/1999 delimita primero, el concepto de comunicación
de datos; segundo, precisa una de las formalidades del contrato: por escrito
o en alguna otra forma que permita acreditar su celebración y contenido, conforme
a las instrucciones del responsable del tratamiento, su inaplicación para finalidad
distinta de lo previsto en el contrato, ni comunicación, ni conservación, incluyendo
las medidas de seguridad. Pero aún más: la Ley 15/1999 estipula que una vez cumplida
la prestación contractual, los datos personales deben ser destruidos o devueltos,
así como los soportes o documentos en que conste el objeto del tratamiento; como
en el caso destino distinto de la finalidad por el responsable del tratamiento.
a.9. Confidencialidad
No existe mayor
diferencia entre lo artículos 14° Confidencialidad, del Proyecto y el 10° Deber
de secreto, de la Ley 15/1999, aun cuando los conceptos no son idénticos,
y el Proyecto los asume como intercambiables. Una última diferencia estriba en la
obligación de guardar secreto por el titular de fichero o el responsable del mismo,
que propone la Ley 15/1999 pero que no es tomado en cuenta en el Proyecto.
b. Organización
y funciones de la autoridad administrativa.
En el Título V del
Proyecto de Protección de Datos Personales, la Comisión elaboradora propone la creación
de la Autoridad Nacional de Protección de Datos Personales, establece sus funciones,
el régimen aplicable y define sus bienes y recursos.
b.1. Creación
El
Artículo 35° del Proyecto crea la Autoridad Nacional de Protección de Datos
Personales, en adelante APDAP, como organismo público descentralizado con personería
jurídica de derecho público interno, adscrito a la Presidencia del Consejo de Ministros;
con régimen de autonomía técnica, económica, presupuestal y administrativa.
La APDAP es la
encargada de velar por el cumplimiento de la legislación sobre protección de datos
personales y controlar su aplicación. Se regirá por lo dispuesto en la presente
Ley y en su Reglamento de Organización y Funciones.
La Ley 15/1999 igualmente
en su Artículo 35° Naturaleza y régimen jurídico define:
1. La Agencia de
Protección de Datos, como un ente de derecho público, con personalidad jurídica
propia y plena capacidad pública y privada, que actúa con plena independencia de
las Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo
dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.
2. En el ejercicio
de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus
disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad
con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales
y contratación estará sujeta al derecho privado.
Si bien la Ley 15/1999
y el Proyecto otorgan a la Agencia de Protección de Datos y a la Autoridad Nacional
de Datos el carácter de ente u organismo público, la primera previó que esta tenga
el carácter de descentralizado a fin de garantizar la independencia del organismo
como lo establece en su considerando 62. la Directiva 95/46 sobre la Autoridades
Nacionales de Datos Personales en los actuales veintisiete países de la Unión Europea,
al momento de sus transposiciones[12].
Implícitamente, este considerando intenta situar las Autoridades
de Datos Personales fuera del control de alguno de los Poderes del Estado: Ejecutivo,
Legislativo, Judicial, o inclusive un eventual Poder Electoral. Por ello la Ley
15/1999 reafirma personalidad jurídica propia y plena capacidad pública y privada,
con que actúa la Agencia, con plena independencia de las Administraciones públicas
en el ejercicio de sus funciones. Es el caso igualmente el caso de la Commission
Nationale d’Informatique et Libertés, CNIL. Ese no ha sido el caso de la Comisión
elaboradora del Proyecto, quien le atribuye personería jurídica de derecho público
interno, adscribiéndolo a la Presidencia del Consejo de Ministros y sometiéndolo
al control del Poder Ejecutivo. La autonomía técnica, económica, presupuestal y
administrativa mencionada en la parte final del articulo pre citado resultan contradictorias
por dependencia, mejor, sujeción a lo prescrito por el Poder Ejecutivo.
b.2. Funciones
Las funciones previstas
en el Proyecto en su artículo 36° en sus 15° incisos son, de manera general,
similares a las ya adoptadas por la Ley 15/1999. Solo hay dos funciones que no tienen
correspondencia: los incisos 36.8. y 36.13. En el primero, la Comisión deberá comunicar
al Ministerio Publico los casos de transgresión a la legislación sobre protección
de datos personales pasibles de denuncia. Sin embargo, el artículo 28° sobre la
Autoridad de Control, inciso 3°, de la Directiva 95/46/CE si lo contempla, afirmando
que la autoridad de control dispondrá no solo de capacidad procesal, sino que sus
decisiones administrativas podrán ser objeto de recurso jurisdiccional [13].
En el segundo, el Proyecto fija entre las funciones de la autoridad de datos personales,
la de “Adoptar medidas cautelares que importen la cesión de los datos, la suspensión
del tratamiento o la suspensión del fichero, entre otras medidas que establezca
el Reglamento de la presente Ley”. Esta función no es explícita en la Ley 15/1999,
pero se encuentra contemplada en la capacidad procesal antes mencionada resultante
de la Directiva 95/46/CE, y no se restringe exclusivamente a las medidas previstas
por la Comisión, sino a otras aplicables a la propiedad inmaterial: secuestro, embargo…
b.3. Régimen aplicable
Sustancialmente
no existen diferencias entre lo previsto en el Proyecto en su artículo 37° y la
Ley 15/1999 en su artículo 35°, respecto del régimen aplicable, en ambos casos los
referentes son las propia ley, su reglamento y las normas aplicables al régimen
jurídico de la administración pública y del procedimiento administrativo.
La sola diferencia
radica en el régimen regulatorio de las adquisiciones patrimoniales y contratación
de personal de la autoridad de control, sujeta al derecho privado para la Ley
15/1999 y pública en el Proyecto. A esto la Ley 15/1999 precisa en su
inciso 3°, del mismo artículo 35°: Los puestos de trabajo de los órganos y servicios
que integren la Agencia de Protección de Datos serán desempeñados por funcionarios
de las Administraciones públicas y por personal contratado al efecto, según la naturaleza
de las funciones asignadas a cada puesto de trabajo. Este personal está obligado
a guardar secreto de los datos de carácter personal de que conozca en el desarrollo
de su función. En el Proyecto de la Comisión no se mencionan las funciones del Director
de la Agencia, quizás reservándose su desarrollo al momento de la elaboración del
Reglamento.
b.4. Bienes y recursos
No existe diferencia
alguna entre los bienes y recursos previstos por el Proyecto de la Comisión y los
de la Ley 15/1999.
CONCLUSIONES PRELIMINARES
Las principales conclusiones preliminares a las que llegamos
hasta ahora, se basan se refieren a las hipótesis planteadas en la Introducción,
y que se trata aun de un Proyecto de Ley, Proyecto que suponemos será debatido por
las fuerzas políticas y que además se requerirá elaborar su Reglamento; aunque ya
existió antes un Proyecto de similar enfoque presentado por Carlos Chipoco, Antero
Flores-Araoz, Barrón Cebreros Xavier, Flores Nano Lourdes, a fines de la década
de los noventa por iniciativa parlamentaria del partido político al cual pertenecían
y que fue archivado, este antecedente no ha sido mencionado en el Proyecto presentado
por el MINJUS. Sobre el particular ver: www2.congreso.gob.pe/Sicr/TraDocEstProc/CLProLey1995.nsf
[14]
En relación a la primera hipótesis: sobre
si se acentúa un mayor control administrativo del Poder Ejecutivo sobre los datos
personales, nuestra respuesta no puede ser sino afirmativa, el control administrativo
y las funciones relativas a éste recaen en el Ministerio de Justicia, órgano integrante
del Poder Ejecutivo. La Autoridad Nacional de Protección de Datos Personales, APDAP,
también se arroga el control contencioso administrativo jurisdiccional como así
lo prescribe el artículo 36° Funciones de la APDAP, 36.4. Resolver las reclamaciones
formuladas por los interesados en segunda y última instancia. [15]
En relación a la segunda hipótesis: ¿Si el
Proyecto continua y refuerza la mercantilización de los datos personales?, es igualmente
afirmativa la respuesta. Solo citaremos un ejemplo: El Título II del Proyecto, artículo
6°, parágrafo 6.1. Establece que: “Para efectos de la obtención de los datos
personales, el interesado deberá ser previamente informado, de modo expreso, explícito,
detallado e inequívoco”. Sin embargo, en el parágrafo 6.1.8. relativo a “la
cesión datos personales e información de riesgos a favor de ficheros de
solvencia patrimonial administrados por las Centrales Privadas de Información de
Riesgos -CEPIRS o similares, el Proyecto baraja varias nociones y procesos,
no necesariamente relacionadas con los datos personales ni con la preexistencia
de datos personales ya en explotación. Indicando que el “Reglamento establecerá
disposiciones complementarias para los casos de cesión de datos personales a favor
de estas entidades”.
En primer lugar baraja varias nociones, cuando diferencia
la cesión de datos personales de la información de riesgos; la pregunta obligada
es: ¿Cómo establecer información de riesgos sin vincularlas a datos personales o
a identificantes personales? ¿Es que existe información de riesgos sin vinculación
a datos personales? La segunda observación es respecto al proceso, a los datos
existentes ya en los CEPIRS. ¿Cómo proceder en el caso de las personas para
autorizar la cesión de sus datos personales, si antes no se les ha pedido
de manifestar su voluntad para el tratamiento de los mismos? Y ello ha sido resuelto
indicando que el “Reglamento establecerá disposiciones complementarias, ¿cómo
resolver lo complementario si antes no ha sido resuelto el principal? Creo que mientras
no se discuta el Proyecto no podremos resolver las inquietudes que subraya sobre
los datos personales, menos aún, no se podrá resolver la continuidad y reforzamiento
de la mercantilización de los mismos por los CEPIRS u otras entidades de riesgos.
BIBLIOGRAFÍA
- Ley Orgánica de Protección de Datos de Carácter Personal de España, Ley
15/1999
- La loi 78-17 du 6 janvier 1978, France
- Décret n°2005-1309 du 20 octobre
2005, France.
- Proyecto de Ley de Protección de Datos Personales, Ministerio de Justicia,
Perú, 2004
- Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos.
- Directiva 2002/58/CE del Parlamento
Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los
datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
- Ley Nº 25326 Ley de Protección de Datos
Personales, Argentina 2000.
[1] “Operaciones y procedimientos técnicos de carácter automatizado
o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias. “
[2] “Toda revelación de datos realizada a una persona distinta del
interesado.”
[3] “Sólo con el consentimiento expreso y por escrito del afectado
podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología,
afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos
por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas
y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos
a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará
siempre el previo consentimiento del afectado. “
[4] Artículo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artículo 11 respecto
de la cesión, las instituciones y los centros sanitarios públicos y privados y los
profesionales correspondientes podrán proceder al tratamiento de los datos de carácter
personal relativos a la salud de las personas que a ellos acudan o hayan de ser
tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o
autonómica sobre sanidad.
[5] Artículo 11. Comunicación de datos.
1. Los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.
[6] 2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles
al público.
c) Cuando el tratamiento responda a la libre y legítima
aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto
se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por
destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales
o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación
tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor
del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones
públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos
a la salud sea necesaria para solucionar una urgencia que requiera acceder a un
fichero o para realizar los estudios epidemiológicos en los términos establecidos
en la legislación sobre sanidad estatal o autonómica.
3. Será nulo el consentimiento para la
comunicación de los datos de carácter personal a un tercero, cuando la información
que se facilite al interesado no le permita conocer la finalidad a que destinarán
los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien
se pretenden comunicar.
4. El consentimiento para la comunicación de los datos
de carácter personal tiene también un carácter de revocable.
5. Aquel a quien se comuniquen los datos de carácter personal
se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones
de la presente Ley.
6. Si la comunicación se efectúa previo procedimiento de
disociación, no será aplicable lo establecido en los apartados anteriores.
[7] Artículo 27. Comunicación de la cesión de datos.
2. La obligación establecida en el apartado anterior no
existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo
11, ni cuando la cesión venga impuesta por ley.
[8] 6.1.4. Del carácter obligatorio o facultativo de su respuesta a
las preguntas que se le plantee;
6.1.5. De las consecuencias resultantes de la obtención
de los datos o de la negativa a suministrarlos;
6.1.6. De los derechos que le asisten respecto a sus datos,
su acceso, modificación, rectificación y cancelación sobre los mismos;
6.1.7. De la identidad del
responsable del tratamiento de los datos solicitados
[9] Ver Artículo 16 Derecho de rectificación y cancelación, inciso
5. de la Ley 15/1999
[10] “1. Quienes se dediquen a la recopilación de direcciones, reparto
de documentos, publicidad., venta a distancia, prospección comercial y otras actividades
análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando
los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados
por los propios interesados u obtenidos con su consentimiento.”
1. Se garantiza la libertad ideológica, religiosa y de
culto de los individuos y las comunidades sin más limitación, en sus manifestaciones,
que la necesaria para el mantenimiento del orden público protegido por la Ley.
2. Nadie podrá ser obligado a declarar sobre su ideología,
religión o creencias.
3. Ninguna confesión tendrá carácter estatal. Los poderes
públicos tendrán en cuenta las creencias religiosas de la sociedad española y mantendrán
las consiguientes relaciones de cooperación con la Iglesia Católica y las demás
confesiones.
[12] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos: (62)
Considerando que la creación de una autoridad de control que ejerza sus funciones
con plena independencia en cada uno de los Estados miembros constituye un elemento
esencial de la protección de las personas en lo que respecta al tratamiento de datos
personales;”
[13] 3. La autoridad de control dispondrá, en particular, de:
- poderes de investigación, como el derecho de acceder
a los datos que sean objeto de un tratamiento y el de recabar toda la información
necesaria para el cumplimiento de su misión de control;
- poderes efectivos de intervención, como, por ejemplo,
el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo
20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar
el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional
o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación
al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras
instituciones políticas nacionales;
- capacidad procesal en caso de infracciones a las disposiciones
nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones
en conocimiento de la autoridad judicial.
Las decisiones de la autoridad de control lesivas de derechos
podrán ser objeto de recurso jurisdiccional. (El subrayado es del autor)
[14] Ver Documentos de Ley Relacionados
Periodo: |
Periodo de Gobierno 1995 - 2000. |
Legislatura: |
Primera Legislatura Ordinaria de 1999 |
Número: |
05233 |
Fecha Presentación: |
23/09/1999 |
Proponente: |
CONGRESO DE LA REPÚBLICA |
Grupo Parlamentario: |
|
Título: |
INFORMÁTICA: PRIVACIDAD DATOS-LEY DE... |
Sumilla: |
Ley sobre la Privacidad de los Datos Informáticos y la creación del Comisionado
para la Protección de la Privacidad. |
Autores(*): |
CHIPOCO CACEDA CARLOS,FLORES-ARAOZ ESPARZA ANTERO, BARRON CEBREROS XAVIER,FLORES
NANO LOURDES |
Seguimiento: |
27/09/1999 A Comisión Constitución y Reglamento |
(*) Proyectos presentados por el Congresista
(**) Proyectos de otros Congresistas a los que se ha adherido,
son independientes de los Proyectos presentados por cada Congresista
[15] Aun cuando no ha sido tratado en este acápite, las prerrogativas
establecidas en favor de ficheros de la Policía Nacional del Perú, y de la Administración
Tributaria, artículos 25 y 26, respectivamente, en el Capítulo relativo a los Ficheros
de la Administración Pública, el Proyecto no solo no toma en cuenta los criterios
de Defensa y Seguridad Publica, para recrear sobre este principio los ficheros públicos
– que puedan o no ser administrados por una entidad pública o no – si no, que no
prohíbe que el tratamiento de los datos personales por estas dos entidades puede
ser atentatorios o violatorios de delitos contra el perfil, la imagen o la identidad
real o numérica de la persona vía las interconexiones de ficheros o el cruce de
informaciones.
No hay comentarios:
Publicar un comentario