Parte II
( 22 a 42 Pags.)
2. LEGISLACIÓN PARA LATINOAMERICANA
2.1 Legislación Regional
Es
flagrante comprobar la inexistencia de una legislación específica común a las
organizaciones latinoamericanas o de incidencia latinoamericana sobre el tema
de Protección de Datos Personales en el marco de la UNASUR, MERCOSUR[1].
No
obstante, algunas instituciones: la Red
Iberoamericana de Protección de Datos, RIPD, la Conferencia de las Naciones
Unidas sobre Comercio y Desarrollo, UNCTAD, la Organización
de Estados Americanos, la OEA, la Comunidad Andina de Naciones, CAN, han
propuesto Lineamientos, Directrices de Armonización, Estudios Principios
y Recomendaciones sobre
la protección de datos personales.
a. Red Iberoamericana de Protección de Datos Personales (2003)[2]
La Red Iberoamericana de
Protección de Datos, organismo público que surge con motivo del acuerdo
alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD)
celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la
asistencia de representantes de 14 países iberoamericanos. La Red pretende
crear un foro integrador que permita involucrar a diversos actores sociales,
tanto del sector público como privado. Esta iniciativa contó desde sus inicios
con un apoyo político reflejado en la Declaración Final de la XIII Cumbre de
Jefes de Estado y de Gobierno de los países iberoamericanos celebrada en Santa
Cruz de la Sierra, Bolivia, 14 y 15 de noviembre de 2003, conscientes del
carácter de la protección de datos personales como Derecho Fundamental, así
como de la importancia de las iniciativas regulatorias iberoamericanas para
proteger la privacidad de los ciudadanos.
Según el Observatorio
Iberoamericano de Protección de Datos Personales, la Red se convirtió en un
foro de promoción del Derecho Fundamental a la protección de datos en esta
comunidad, cuyo impulso y responsabilidad asumieron también los responsables
políticos de los respectivos Estados signatarios de la Declaración de Santa
Cruz de la Sierra, en aras a un mayor impulso e implantación del citado Derecho
Fundamental a través de las entidades con capacidad y competencias para instar a los gobiernos nacionales a que
elaboren una regulación normativa en esta materia a efectos de lograr la
obtención de la Declaración de Adecuación por parte de la Comisión Europea.
http://oiprodat.com/observatorio/bosquejo-internacional/
En la realidad es una
institución liderada por el Reino de
España[3] y
la República de Portugal, de la cual forman parte las ex colonias latinoamericanas
y nuevos Estados: Principado
de Andorra. República de Argentina.
Estado Plurinacional de Bolivia. República Federativa del Brasil. República de Chile. República de Colombia.
República de Costa Rica. República de Cuba,
República del Ecuador. República de El
Salvador. República de Guatemala. República de Honduras. Estados Unidos
Mexicanos. República de Nicaragua. República de Panamá. República del Perú.
República Portuguesa. República Oriental del Uruguay la República de Haití, la
República del Paraguay. República Dominicana y República Bolivariana de
Venezuela.
Esta Red pretende regularse a través de Directrices de Armonización de
Protección de Datos en la Comunidad Iberoamericana, sobre:
i) los principios relacionados con la finalidad y calidad de los datos;
ii) la legitimación para su tratamiento;
iii) la información que se debe proporcionar al interesado;
iv) el derecho de acceso, rectificación y cancelación de los datos de los
interesados;
v) otros derechos de los
interesados;
vi) la seguridad y confidencialidad en el tratamiento;
vii) las limitaciones a la transferencia internacional de datos;
viii) las autoridades de control, y
ix) las
sanciones.
Dentro
de las principales medidas relacionadas con las autoridades de control
previstas en las Directrices se encuentran:
i) la
posibilidad de dotar a las autoridades de personalidad propia, para el caso de
que dicha autoridad no forme parte de la Administración Pública o de un
Organismo Público preexistente;
ii) el
establecimiento de mecanismos que garanticen la independencia e inamovilidad de
los titulares de dichas autoridades;
iii) mantener
un registro de los tratamientos llevados a cabo por los sectores público y
privado, al que puedan acceder los interesados;
iv) autorizar
las transferencias internacionales de datos a Estados cuya legislación no
recoja lo dispuesto en las directrices;
v) promover
el uso de mecanismos de autorregulación, y
vi) generar
los mecanismos de cooperación bilateral y multilateral con otras autoridades.
Es evidente que
las leyes marcos latinoamericanas sobre la Protección de Datos Personales se
han inspirado ampliamente de las normas española y portuguesa, como éstas lo
hicieron en el pasado de otros países europeos y de sus Directivas ahora en la
Unión Europea. Este desfase responde quizás al porque las leyes de protección
de datos personales latinoamericanas han sido influenciadas menos por los
conceptos filosóficos o doctrinarios originales que por la accesibilidad de la
lengua venidas de fuentes secundarias. La autonomía e independencia de los
Órganos de Control de Protección de Datos Personales, en los países europeos
nórdicos primero, y luego en las Directivas Europeas son un ejemplo de ello.
b. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo, UNCTAD (2009)
De
otro lado, pero no con los mismos propósitos de protección de los derechos
individuales, relacionados a la privacidad, intimidad, imagen y honor de las
personas físicas sino de uso de los datos personales en la
perspectiva del comercio y desarrollo, la Conferencia de
las Naciones Unidas sobre Comercio y Desarrollo, UNCTAD, preparó hace
cuatro años, en junio 2009 un “Estudio sobre las perspectivas de la armonización de la
ciberlegislación en América Latina”[4]. Su autor principal es el señor Jorge Navarro Isla (Consultor de la
UNCTAD), pero contribuyeron igualmente los participantes al Taller Regional
sobre Ciberlegislación llevado a cabo en Buenos Aires, Argentina, en 2008.
El Estudio en el
capítulo de Protección de Datos Personales, hace referencias a los:
a) Compromisos Internacionales de la Región,
b)
Instrumentos normativos internacionales,
c)
Regulación de los Estados Participantes y d) Conclusiones:
.
“3.
Protección de Datos Personales
a)
Compromisos Internacionales de la Región
En el
numeral 39 de la Agenda de Túnez para la Sociedad de la Información (2005) se
advierte la necesidad de continuar con la promoción, desarrollo e
implementación de una cultura mundial de ciberseguridad, que implique la acción
nacional y una mayor cooperación internacional para fortalecer la protección de
la información, así como la privacidad y la protección a los datos personales,
ello de conformidad con la Resolución 57/239 de la Asamblea General de las
Naciones Unidas.
De igual
forma, el Plan Regional eLAC 2007 plantea dentro de sus metas el establecer
grupos de trabajo subregionales para promover y fomentar políticas de
armonización de normas y estándares, con el fin de crear marcos legislativos
que brinden confianza y seguridad, tanto a nivel nacional como a nivel
regional, prestando especial atención a la legislación sobre la protección de
la privacidad y datos personales como marco para el desarrollo de la sociedad
de la información.
Por su
parte, el Plan Regional eLAC 2010 establece dentro de sus metas el enlazar
portales nacionales de salud con miras a establecer una red regional para
compartir experiencias, intercambiar contenidos y promover su desarrollo,
adaptación y pertinencia, tomando en cuenta la debida protección de datos.
b)
Instrumentos normativos internacionales
Los
países participantes han adoptado los principios de la Declaración Universal de
los Derechos Humanos y de la Convención Interamericana de Derechos Humanos -
Pacto de San José de Costa Rica, en cuanto a la protección a la vida privada de
los individuos en sus constituciones nacionales.
Por su
parte, la OCDE[5]
ha emitido diversas recomendaciones en materia de protección de datos
personales, entre las que destacan las “Directrices sobre protección de la
privacidad y flujos transfronterizos de datos personales de 1980” que han
servido para armonizar la normativa internacional en materia de privacidad y
proteger este derecho fundamental, que en el entorno en línea enfrenta nuevas
amenazas, como la divulgación ilícita de datos personales, su almacenamiento
ilegal, o el alojamiento de datos inexactos, o su alternación indebida.
Las
directrices son de carácter voluntario, están dirigidas a los gobiernos, como a
las empresas, las organizaciones y los usuarios individuales; establecen
principios que abarcan todos los medios de procesamiento informático de datos
personales, así como todos los posibles tipos de procesamiento de información y
todas las categorías de datos personales. Establecen estándares mínimos para
proteger de manera efectiva los datos personales en las distintas etapas de su
obtención, procesamiento y transmisión.
Otro
organismo multinacional que se ha encargado del tema ha sido APEC, que ha
emitido el “Marco de Privacidad” que establece medidas prácticas de protección
a la privacidad de las personas físicas para lograr un equilibrio entre este
derecho fundamental y las necesidades comerciales de las empresas, con énfasis
en las expectativas razonables de los consumidores para que las empresas
reconozcan y preserven su derecho a la privacidad de conformidad con los
Principios desarrollados en el Marco, el cual recoge la pluralidad cultural
existente en las Economías que participan en APEC[6].
En el ámbito del Grupo
de Manejo del Comercio Electrónico, GMCE, los países antes mencionados
participan en el “Pathfinder (Pionero) de
Privacidad de APEC” y plantean un esquema de protección de datos
personales para los consumidores basado
en el Marco de Privacidad de APEC. El sistema conjuga el uso de una plataforma tecnológica multilingüe, así
como diversos esquemas de sellos de confianza y un “Sistema de Reglas Transfronterizas de
Privacidad”, para proporcionar a los consumidores mecanismos seguros y confiables para hacer
valer sus derechos frente a los proveedores de
cualquier país que participe en el Proyecto.
El Marco
tiene como objetivos: i) permitir
a las organizaciones multinacionales que recopilen, accedan, usen y/o procesen
información en Economías de APEC, mediante el desarrollo e instrumentación de
aproximaciones uniformes dentro de sus organizaciones para acceder y utilizar
la información personal desde cualquier Economía participante, y ii) permitir a las agencias
encargadas de proteger los datos personales y cumplir con su mandato legal.
c)
Regulación de los Estados Participantes
A nivel
constitucional, la protección a la vida privada ha sido reconocida por
Argentina; Bolivia, que además ha reconocido el recurso de Habeas Data para
garantizar el acceso, la rectificación y/o eliminación de datos personales que
vulneren el derecho a la intimidad y la privacidad personal y familiar. También
tutelan el derecho a la vida privada y a la protección de datos las
Constituciones de Chile, Colombia, Ecuador y México. Adicionalmente al tema del
derecho a la vida privada, las Constituciones de Paraguay, Perú y Venezuela,
también reconocen de manera expresa el derecho del Habeas Data.
Por lo
que se refiere a la legislación, algunos de los países participantes en el
Taller han regulado el tema de la protección de datos a través de una ley
especial, tal es el caso de Argentina cuya Ley 25.326 es acorde con el modelo
Europeo planteado en la Directiva 95/46 del Consejo de Europa y con las
Directrices de Armonización de Protección de Datos en la Comunidad
Iberoamericana. Chile también ha adoptado un ordenamiento especial a través de
Ley 19.628 y la Ley 19.812, mientras que Colombia ha promulgado la Ley
Estatutaria de Habeas Data y Uruguay la Ley 18331 sobre Protección de Datos
Personales y Acción de Habeas Data. Por su parte, Bolivia, Cuba, Ecuador,
México, Paraguay, Perú y Venezuela han regulado el tema mediante distintas
leyes de diversa índole.
d)
Conclusiones
La
adecuación de la normativa nacional a lo dispuesto por las Directrices de
Armonización de Protección de Datos en la Comunidad Iberoamericana, favorecerán
el comercio transfronterizo con la Unión Europea y Argentina, sin embargo,
países como Chile, México y Perú, precisan también de algunas adecuaciones para
cumplir con lo dispuesto en el Marco de Privacidad de APEC y con los
compromisos derivados de sus respectivos tratados de libre comercio con Estados
Unidos y Canadá.
De igual forma, se estima pertinente la difusión de esquemas de
autorregulación como los vinculados con los sellos de confianza
transfronterizos del proyecto del Pathfinder de Privacidad de APEC”.
c. OEA - Principios y Recomendaciones Preliminares sobre la Protección de Datos Personales (2011).
El 17 octubre de 2011, la OEA a través de la Comisión de Asuntos
Jurídicos y Políticos propuso una serie
de Principios y Recomendaciones Preliminares sobre la Protección de Datos
Personales en los Estados Americanos, incluyendo Estados Unidos y Canadá.
Entre los principios aplicables a los delitos informáticos relativos a
los datos personales, destaca el Principio 1: legitimidad y justicia:
Los datos personales deben ser procesados legítima y justamente. Sin embargo,
la legitimidad y la justicia, como conceptos, deben ser examinados separadamente.
“Legitimidad
El procesamiento de los datos personales debe ser legítimo. Si el
procesamiento de datos personales comporta la comisión de un delito penal o
contraviene un deber impuesto por la ley, entonces puede ser ilegítimo. Por
ejemplo, el procesamiento ilegal de datos también podría implicar el
incumplimiento de un deber, como lo son la confianza, una obligación
contractual o la legislación internacional de derechos humanos (56).
Justicia
El procesamiento de datos personales debe ser
justo. La Resolución de Madrid establece que “todo procesamiento de datos
personales que da lugar... a discriminación” contra la persona es injusto. Para
que el procesamiento de datos sea justo debe mediar una razón legítima para
“recabar y usar los datos personales” El procesamiento de datos personales no
debe tener “efectos adversos injustificados para la persona afectada”. El
procesamiento de datos personales debe ser transparente. Un proceso
transparente incluye notificar al interesado quién está procesando sus datos
personales, si los datos serán compartidos con otros y el uso que se pretende
dar a los datos. Asimismo, con unas cuantas excepciones, los datos personales
deben ser procesados sólo en la forma que la persona afectada “puede razonablemente
prever”. Si, con el tiempo, el uso de los datos personales cambia a formas que
la persona razonablemente no espera, podría existir un uso injusto de los datos
personales. A esa altura, podría corresponder procurar el consentimiento de la
persona para seguir procesando sus datos personales”.
El Principio 15, se refiere al control, cumplimiento y responsabilidad
sobre la protección de los datos personales. La OEA propone recurrir al:
“Recurso
judicial:
Sin perjuicio de todo recurso administrativo que otorgue la autoridad
supervisora, las personas deben también tener un recurso ante el sistema
judicial nacional para hacer valer los derechos de protección de los datos
personales que les otorga la legislación nacional. De acuerdo con la
legislación aplicable, la persona afectada puede tener derecho a una
indemnización por daños si sufre un perjuicio porque el controlador de datos no
protegió sus datos personales. Además, la justicia también podría brindar una
instancia de revisión judicial de las decisiones administrativas de la
autoridad supervisora, y algunas violaciones graves de las protecciones de los
datos personales previstas en la legislación nacional podrían ser encausadas
como delitos penales”.
La
Organización de Estados Americanos (OEA), así como de la Comisión Interamericana de Telecomunicaciones
(CITEL) en materia de Conectividad, seguridad en redes y delitos Informáticos, según Navarro Isla, también han influido
en el desarrollo de la normativa de Argentina, Bolivia, Chile, Colombia, Ecuador, México, Paraguay,
Perú, Uruguay y Venezuela. La participación de los países antes mencionados en
la Red de Gobierno Electrónico de América
Latina y el Caribe, auspiciada por la OEA, ha promovido la integración de
sistemas de ventanilla única para los
países miembros[7].
d. Comunidad Andina de Naciones, CAN
La
Comunidad Andina de Naciones sobre la Protección de Datos Personales aprobó la Decisión
638 - Lineamientos para la Protección al Usuario de Telecomunicaciones de la Comunidad Andina, y suscribió un Acuerdo
Marco de Cooperación entre la Comunidad Económica Europea y el Acuerdo de
Cartagena.
1)
La Decisión
N° 638
Su objeto es establecer los Lineamientos
comunitarios de protección al usuario que deben tener presentes los países
miembros al definir les normativas internas en materia de telecomunicaciones,
con el fin de garantizar un tratamiento armónico en la Subregión.
Propone los derechos y deberes de los usuarios y de las obligaciones
de los operadores o proveedores de servicios de telecomunicaciones.
Derechos de los usuarios[8].
Los Países Miembros de la Comunidad
Andina se comprometen a garantizar, a través de sus normativas internas, la
efectiva protección de los derechos de los usuarios de telecomunicaciones, y en
especial:
1. La privacidad e
inviolabilidad de sus telecomunicaciones, así como al mantenimiento de la
reserva de todos los datos personales vinculados al servicio adquirido y
que han sido suministrados a terceros, salvo en los supuestos de excepción que
prevea su normativa interna. (…)
5. La recepción y respuesta
rápida y eficaz de todas sus solicitudes, quejas y/o reclamos derivados de la
prestación de los servicios de telecomunicaciones. (…)
6. La posibilidad de presentar
quejas, reclamos y denuncias ante la autoridad competente por violaciones a los
derechos del usuario contemplados en la normativa de cada País Miembro. (…)
8. La información previa, oportuna
y adecuada sobre la suspensión, restricción o eliminación de los servicios de
telecomunicaciones que haya contratado.
Deberes de los
usuarios.[9]
Los
Países Miembros se comprometen a garantizar que sus normativas internas
prevean, al menos, los siguientes deberes a cargo de los usuarios de los
servicios de telecomunicaciones:
(…)
2.
Informar al prestador del servicio,
cualquier interrupción, deficiencia o daño ocurrido en las instalaciones de
telecomunicaciones que pudiera tener conocimiento.
3. No alterar los equipos
terminales que posea, aunque sean de su propiedad, con el objeto de producir la
evasión del pago de las tarifas o precios que correspondan, o cuando a
consecuencia de ello puedan causar daños e interferencias que afecten la
calidad del servicio de acuerdo a los parámetros establecidos en la normativa
de cada uno de los Países Miembros.
Obligaciones de
los operadores o proveedores[10].
Los
Países Miembros se comprometen a contemplar en sus normativas internas las
obligaciones de los operadores o proveedores de los servicios de
telecomunicaciones, según sea el caso, y en especial las siguientes:
1. El cumplimiento de las disposiciones legales
sobre protección al consumidor y al usuario de los servicios de
telecomunicaciones, así como las instrucciones sobre la materia impartidas
por la autoridad competente, previstas en las normativas internas de los Países
Miembros.
(…)
3. El suministro de información
veraz, suficiente, precisa y que no induzca a error a los usuarios, respecto de
los servicios, sus derechos y los procedimientos para solicitar su protección,
la cual deberá ser adecuada y oportunamente difundida entre los usuarios, de
acuerdo con las normas nacionales.
4. La colaboración con las
autoridades competentes a fin de que éstas puedan realizar las inspecciones y
auditorías que se requieran a fin de verificar el cumplimiento de las normas
jurídicas y técnicas que correspondan. (…)
9. La adopción de medidas
necesarias para garantizar las condiciones de seguridad de las redes, la correcta medición del consumo, y
las que sean necesarias para atender las peticiones de quejas y reclamos de los
usuarios, de conformidad con lo previsto en las normativas nacionales de los
Países Miembros.
10. El establecimiento de
mecanismos, áreas u oficinas de atención al usuario, con el objeto de recibir,
atender, tramitar y responder las peticiones, quejas y/o reclamos, verbales o
escritos.
2) Acuerdo Marco de Cooperación
entre la Comunidad Económica Europea y el Acuerdo de Cartagena
La
CAN firmo con la Unión Europea en mayo de 2007 un Acuerdo Marco de Cooperación
entre la Comunidad Económica Europea y el Acuerdo de Cartagena y sus países miembros:
la República Plurinacional
de Bolivia, la República de
Colombia, la República del Ecuador, la República del Perú y la República de
Venezuela. Esta última se separó de la CAN en 2006. También han suscrito
acuerdos similares con la Unión Europea Chile y México.
Este Acuerdo tiene por objeto dar un
nuevo impulso a las relaciones entre la Comunidad Económica Europea (CEE) y los
países del Pacto Andino. Su propósito es favorecer el desarrollo de la
cooperación en los ámbitos de comercio, inversiones, finanzas y tecnologías.
Tiene por objeto también promover el refuerzo y la consolidación del proceso de
integración subregional andina.
Comercio. Las Partes se otorgan el
tratamiento de nación más favorecida y comprometen a diversificar sus
intercambios comerciales. Se efectuarán estudios para reducir
y eliminar los obstáculos al desarrollo del comercio, en particular aquellos
que no estén vinculados a aranceles aduaneros. Podrían instaurarse
procedimientos de consulta mutua. Las dos Partes se comprometen a realizar
actividades de promoción comercial y cooperación entre los servicios aduaneros.
Tecnología. En el ámbito de las tecnologías
de la información y las telecomunicaciones, se busca
fomentar la normalización, las pruebas de conformidad y la certificación, las
telecomunicaciones terrestres y espaciales, la electrónica y la microelectrónica,
la informatización y la automatización, la televisión de alta definición, la
investigación y la promoción de las inversiones.
2.2 Legislación Nacional:
Un
primer rasgo de la legislación en el continente americano es que la protección
de los datos personales es muy reciente y dispar; y los Órganos de Control,
cuando estos existen, heterogéneos.
Una
segunda característica es que la regulación del tratamiento de datos personales
puede aplicarse exclusivamente a entidades oficiales o públicas (Estados Unidos
de Norteamérica), en otros, exclusivamente, a entidades privadas (República
Federal de Estados Unidos de México) y en la mayoría de los otros países
latinoamericanos, tanto a las instituciones privadas como públicas.
Para los
objetivos de este artículo se han examinado las legislaciones de Colombia,
Chile, México, Uruguay, Argentina y Perú.
a. Colombia: Ley Estatutaria. N° 1581 (2012).
Colombia aprobó el 17 octubre 2012 una nueva ley general de protección de datos
personales, la misma que incorpora los principales lineamientos internacionales
sobre la materia al igual que elementos innovadores como el de la
autorregulación. La ley regula de manera general el derecho de los titulares de
los datos personales a conocer, actualizar y rectificar la información que
sobre ellos se encuentre en bases de datos o archivos. Las disposiciones
contenidas en esta ley son aplicables para bases de datos tanto de naturaleza
pública como privada, estableciendo así, bajo una sola normatividad las
obligaciones de Responsable y Encargados tanto del sector público como privado.
1)
Autoridad Nacional de Datos Personales
La Autoridad de
Protección de Datos recae en una Delegatura
para la Protección
de Datos Personales dependiente de la
Superintendencia de
Industria y Comercio:
Artículo 19.
Autoridad de Protección
de Datos.
La Superintendencia de
Industria y Comercio,
a través de
una Delegatura para
la Protección de
Datos Personales, ejercerá
la vigilancia para
garantizar que en
el Tratamiento de
datos personales se
respeten los principios,
derechos, garantías y
procedimientos previstos en
la presente ley.
Parágrafo
1. El Gobierno Nacional en el plazo de seis meses (6) contados a partir de la entrada en vigencia de la
presente ley incorporara dentro de la estructura un despacho de Superintendente delegado para
ejercer las funciones de Autoridad de Protección de Datos Personales.
Parágrafo
2. La vigilancia del tratamiento de los datos personales regulados en la ley
1266 de 2008[11]
se sujetará a lo previsto en dicha norma.
Esta
Delegatura podrá imponer a los responsables del tratamiento, las siguientes
sanciones:
ARTICULO 23.
Sanciones.
(…)
a) Multas
de carácter personal
e institucional hasta
por el equivalente
de dos mil
(2.000) salarios mínimos
mensuales legales vigentes
al momento de
la imposición de
la sanción. Las
multas podrán ser
sucesivas mientras subsista
el incumplimiento que
las originó.
b) Suspensión
de las actividades
relacionadas con el
Tratamiento hasta por
un término de
seis (6) meses.
En el acto
de suspensión se
indicarán los correctivos
que se deberán
adoptar.
c)
Cierre temporal de
las operaciones relacionadas
con el Tratamiento
una vez transcurrido
el término de
suspensión sin que
se hubieren adoptado
los correctivos ordenados
por la Superintendencia de
Industria y Comercio.
d) Cierre
inmediato y definitivo
de la operación
que involucre el
Tratamiento de datos
sensibles.
Parágrafo. Las
sanciones indicadas en el presente
artículo sólo aplican
para las personas
de naturaleza privada .
En el
evento en el
cual la Superintendencia de
Industria y Comercio
advierta un presunto
incumplimiento de una
autoridad pública a
las disposiciones de
la presente ley,
remitirá la actuación
a la Procuraduría
General de la
Nación para que
adelante la investigación
respectiva.
2)
Delitos Informáticos relacionados a los Datos Personales
En
enero de 2009, Colombia aprobó la ley sectorial N° 1273, por la cual modifica
el Código Penal creando un
nuevo bien jurídico tutelado denominado “de la protección de la información y
de los datos”, adicionándose un Título VII BIS denominado “De la Protección de
la información y de los datos”, el mismo que comporta dos Capítulos: I De los atentados contra la confidencialidad,
la integridad y la disponibilidad de los datos y de los sistemas informáticos;
y Capitulo II De los atentados informáticos y otras infracciones.
Solo
el Capitulo I[12], Artículo 269F,
se refiere directamente a la violación
de datos personales relacionados a los datos personales, sancionando a los
autores, persona natural o jurídica, quienes sin estar facultados, en provecho
propio o de terceros:
“obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes”
Será
sancionado con pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Un detalle innovador se destaca en este
articulo: el objeto material del delito no es solo el contenido o el tratamiento
sino el soporte, el mismo que no es únicamente informático, sino: “archivo o
medios semejantes”, es decir, se sancionan las violaciones realizadas por medios
físicos, papel y otros.
b. Chile: Ley 19628 Protección de Datos de Carácter Personal (1999)
El propósito del proyecto de
ley de protección de datos personales en Chile fue el de fortalecer el marco
jurídico creado en 1999 para el tratamiento de datos personales. Reforzar la
protección de datos personales, poniendo a disposición de sus titulares los
instrumentos legales para el ejercicio de su derecho de propiedad sobre sus
datos, controlar su exactitud y
actualidad y el uso de los mismos por parte de los responsables del tratamiento
de datos.
Lo anterior suponía en
contraparte a la protección de datos que se pretendía reforzar, el nacimiento
de obligaciones de los entes públicos de tornar transparentes determinadas
informaciones, haciéndolas públicas.
Para Chile, el tratamiento de datos
personales debía conciliar no solamente las normas nacionales - sino al igual
que México - cumplir con los estándares de tratamiento de los datos personales
exigidos por la Organización para la Cooperación y Desarrollo Económico, OCDE,
de la cual son miembros, desde 1994 y 2010, respectivamente.
1)
Autoridad Nacional de Datos Personales
La ley no crea ninguna Autoridad
Nacional de Datos Personales, encargando al Servicio de Registro Civil, de
llevar un Registro de de los bancos de datos personales a cargo de organismos
públicos.
“Artículo
22.- El Servicio de Registro Civil e Identificación llevará un registro de los
bancos de datos personales a cargo de organismos públicos. Este registro tendrá
carácter público y en él constará, respecto de cada uno de esos bancos y
descripción del universo de personas que comprende, todo lo cual será definido
en un reglamento. El organismo público responsable del banco de datos
proporcionará esos antecedentes al Servicio de Registro Civil e Identificación
cuando se inicien las actividades del banco, y comunicará cualquier cambio de
los elementos indicados en el inciso anterior dentro de los quince días desde
que se produzca”.
Los criterios de indemnización por el
daño causado en el tratamiento de datos personales fueron recogidos por el Artículo 23.-
“La
persona natural o jurídica privada o el
organismo público responsable del banco de datos personales deberá indemnizar el daño
patrimonial y moral que causare por el
tratamiento indebido de los datos, sin
perjuicio de proceder a eliminar, modificar o
bloquear los datos de acuerdo a lo requerido por el titular o, en su caso, lo ordenado por el
tribunal. La acción consiguiente podrá interponerse conjuntamente con la reclamación destinada a
establecer la infracción, sin perjuicio
de lo establecido en el artículo 173 del
Código de Procedimiento Civil. En todo
caso, las infracciones no contempladas en los artículos 16 y 19, incluida la indemnización de los
perjuicios, se sujetarán al
procedimiento sumario. El juez tomará todas
las providencias que estime convenientes para hacer efectiva la protección de los derechos que
esta ley establece. La prueba se
apreciará en conciencia por el juez. El
monto de la indemnización será establecido
prudencialmente por el juez, considerando las circunstancias del caso y la gravedad de los
hechos”.
2)
Delitos Informáticos relacionados a los Datos Personales
En mayo de 1993 Chile aprobó una ley sectorial, N° 19223, relativa a los delitos informáticos, por la que sanciona con penas, de privación de libertad, algunas conductas vinculadas a los sistemas de tratamiento de la información y contenidos, mediante el Código Penal:
Artículo
1º.- El que maliciosamente destruya o inutilice un sistema de tratamiento de
información o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si
como consecuencia de estas conductas se afectaren los datos contenidos en el
sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo[13].
Artículo
2º.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la
información contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a él, será castigado con presidio menor en su grado mínimo
a medio.
Artículo
3º.- El que maliciosamente altere, dañe o destruya los datos contenidos en un
sistema de tratamiento de información, será castigado con presidio menor en su
grado medio.
Artículo
4º.- El que maliciosamente revele o difunda los datos contenidos en un sistema
de información, sufrirá la pena de presidio menor en su grado medio. Si quien
incurre en estas conductas es el responsable del sistema de información, la
pena se aumentará en un grado.".
c. México: Ley de Protección de Datos Personales para el Distrito Federal (2010)
La Ley Federal de Protección de Datos
Personales en Posesión de Particulares (LFPDPPP), es la norma aprobada por
el Congreso de la Unión de México el 27 de abril de 2010, cuyo objetivo es regular
el derecho a la autodeterminación informativa. Publicada el 5 de julio del 2010
en el Diario Oficial de la Federación, entró en vigor el día 6 de julio del 2010.
Sobre ella subsisten algunas interrogantes en relación al enfoque diferente sobre
la protección de la privacidad y de los datos personales en el continente
americano si se le compara con los regímenes previstos por la Unión Europea,
Estados Unidos y del Habeas data.
1)
Autoridad Nacional de Datos Personales
A diferencia del
criterio seguido por Estados Unidos, que regula principalmente el tratamiento
de datos por entidades del Estado, la ley mexicana impone la protección de los
datos personales en posesión de particulares. Además, el Instituto Federal de
Acceso a la Información, que antes de la aprobación de la nueva Ley Federal sobre
Datos Personales ejercía la supervisión exclusiva del acceso a información en
custodia de organismos estatales, ahora posee facultades ampliadas para dirigir y vigilar el cumplimiento de la presente Ley del
sector privado en lo relativo a los datos personales, aunque paradójicamente la
nueva ley no se aplica a los datos personales procesados por organismos
estatales[14].
2)
Delitos Informáticos relacionados a los Datos Personales
El Capítulo X, sobre las Infracciones
y Sanciones, enumera las diferentes infracciones
a la ley[15] y
las correspondientes sanciones. La ley contempla como sanciones, multas que van
de los 100 a los 320,000 días de salario mínimo vigente en el Distrito Federal,
las cuales podrán aumentarse por reincidencia, duplicándose cuando las
infracciones se refieran al tratamiento de datos personales sensibles. De
conformidad con el salario mínimo del Distrito Federal para el 2013, estas
multas oscilan entre los $ 6,476.00 (mínimo) y $ 20’723,200.00 (máximo). 1 Peso
mexicano = 0.0766 US$ en
noviembre 2013.
El Capítulo XI, De los Delitos en
Materia del Tratamiento Indebido de Datos Personales, la ley contempla penas
privativas de libertad, que van desde los tres meses hasta los 5 años de
prisión, las mismas que también podrán duplicarse cuando las conductas guarden
relación con datos personales sensibles[16].
d. Uruguay: Ley N° 18331 Ley de Protección de Datos Personales (2008)
1)
Autoridad Nacional de Datos Personales
Por
esta ley Uruguay regula la protección de datos personales, creando como Órgano
Desconcentrado de la Agencia para el Desarrollo
del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) la
Unidad Reguladora y de Control de Datos
Personales como Órgano de Regulación y Control, con amplia autonomía
técnica. Dirigida por un Consejo por tres miembros, el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo[17].
2)
Delitos Informáticos relacionados a los Datos Personales
Entre las potestades sancionatorias, el artículo 35[18], prevé que el Órgano de control podrá aplicar medidas sancionatorias a los responsables de las bases de datos o encargados del tratamiento de datos personales en caso que se violen las normas de la presente ley:
1) Apercibimiento.
2) Multa de hasta quinientas mil unidades indexadas.
3) Suspensión de la base de datos respectiva.
El
Capítulo VIII Acción
de Protección de Datos Personales, faculta a toda persona a entablar una acción
judicial de conocimiento de los datos referidos a su persona y de finalidad y
uso que consten en base de datos públicas o privadas (Art. 37), estableciendo a
Procedencia y de los titulares de
los datos, y la Competencia de los Juzgados
Letrados de Primera Instancia en lo Contencioso Administrativo, cuando la
acción se dirija contra una persona pública estatal, y los Juzgados Letrados de
Primera Instancia en lo Civil en los restantes casos[19].
Ni en la Ley N° 18331, ni en los Decretos
de aplicación o leyes sectoriales, la legislación uruguaya no sanciona como delito especifico, informático o no, las
infracciones a los datos personales.
De manera general, contempla la apertura de acciones específicas contra
infracciones a los sistemas informáticos o inviolabilidad de secretos, el Código
Penal en el TÍTULO XI, DELITOS CONTRA LA
LIBERTAD, CAPÍTULO I De los delitos contra la libertad individual, y CAPÍTULO
III Delitos contra la inviolabilidad del secreto,
Uruguay por Decisión de Ejecución de la Comisión
Europea de 21 de agosto de 2012 fue declarado país adecuado en materia
de Protección de Datos Personales, de conformidad con la Directiva 95/46/CE[20].
e. Argentina: Ley de Protección de los Datos Personales (2000)
La
ley de protección de los datos personales en Argentina establece el control por
cada persona, mediante reglas y principios, el consentimiento para su
tratamiento, acciones judiciales, limitaciones a las bases de datos en función
de su contenido, en las cesiones o transferencias a terceros y en la
intervención de agencias especializadas del Estado destinadas a tutelar estos
derechos. La Dirección de Protección de Datos Personales empezó a dictar normas
reglamentarias en materia de registro, infracciones, medidas de seguridad y
códigos de ética a partir de 2002.
1)
Autoridad Nacional de Datos Personales
El artículo 29
del Capítulo V Control de la ley, establece las funciones y atribuciones del
Órgano de Control, órgano
descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de
la Nación, el mismo que goza de autonomía funcional.
Este órgano de control será dirigido y
administrado por un Director designado por el término de cuatro (4) años, a
dedicación exclusiva, por el Poder Ejecutivo con acuerdo del Senado de la Nación,
debiendo ser seleccionado entre personas con antecedentes en la materia,
pudiendo ser removido por el Poder Ejecutivo[21].
2)
Delitos Informáticos relacionados a los Datos Personales
El artículo 8º de la ley 26.388, promulgada el 24 de junio de 2008, sustituye el
artículo 157 bis del Código Penal. Según este articulo, se reprime el
acceso fraudulento, la provisión o revelación de secretos contenidos en un
archivo o base de datos, o la inserción pasiva o activa en un archivo de datos
personales, con prisión de un (1) mes a dos (2) años. La forma
agravada contempla, además, pena de inhabilitación especial de uno (1) a cuatro
(4) anos.
Artículo 157
bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que:
1. A sabiendas
e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos,
accediere, de cualquier forma, a un banco de datos personales;
2.
Ilegítimamente proporcionare o revelare a otro información registrada en un
archivo o en un banco de datos personales cuyo secreto estuviere obligado a
preservar por disposición de la ley.
3.
Ilegítimamente insertare o hiciere insertar datos en un archivo de datos
personales.
Cuando el autor
sea funcionario público sufrirá, además, pena de inhabilitación especial de un
(1) a cuatro (4) años.
Como en el caso de Colombia, se destaca
el detalle innovador sobre el objeto material del delito: no es solo el contenido
o el tratamiento sino el soporte, el mismo que no es únicamente informático,
sino: “archivo”, es decir, se sancionan las violaciones realizadas por medios
físicos, papel, aunque no a “medios semejantes”, como en el ejemplo
colombiano.
Argentina, por
Decisión de Ejecución de
la Comisión Europea de 30 de
junio de 2003 fue declarado el primer país latinoamericano adecuado en
materia de Protección de Datos Personales, de conformidad con la Directiva
95/46/CE.[22]
f. Perú: Ley de Protección de Datos Personales Ley 29733 (2011)
Perú adopto la Ley de Protección de
Datos Personales, después de sucederse tres periodos gubernamentales, sobre la
base de un Proyecto elaborado por el Ministerio de Justicia en 2004.
1)
Autoridad Nacional de Datos Personales
Según el artículo 32 de la ley 29733, la Dirección Nacional de Justicia es la Autoridad Nacional de Protección de Datos Personales, ANPDP, dependiente del Ministerio de Justicia, se rige por lo dispuesto en esta Ley, en su reglamento y en los artículos pertinentes del Reglamento de Organización y Funciones del Ministerio de Justicia. Para el cumplimiento de sus funciones cuenta con el apoyo y asesoramiento técnico de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros, o la que haga sus veces.
La ANPDP ejerce funciones
administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y
sancionadoras.
2)
Delitos Informáticos relacionados a los Datos Personales
1.- Proceso sancionador de la ANPDP
El proceso sancionador se inicia de
oficio por la ANPDP o por denuncia de parte
las resoluciones de la ANPDP agotan la vía administrativa, contra éstas
procede la acción contenciosa-administrativa. (Art. 37)
Constituyen infracciones sancionables
toda acción u omisión de los autores personas natural o jurídica, que
contravenga las normas que regulan la protección de datos personales,
calificándose como leves, graves y muy graves.
(Art. 38); Las sanciones pueden ser multas, que van respectivamente de
cero coma cinco (0,5) a cien (100) Unidades Impositivas Tributarias, UIT. Una
UIT es igual a 3,700 nuevos soles, que representan 1324 US$ a razón de 1 dólar
= 2.793 nuevos soles, al 06 de noviembre 2013. Sin embargo, en ningún caso la
multa no podrá exceder el del diez por ciento de los ingresos brutos anuales
que hubiera percibido el presunto infractor durante el ejercicio anterior.
Pudiendo adicionarse multas coercitivas hasta diez UIT como obligaciones
accesorias a la sanción impuesta, incluyéndose el ejercicio de otros medios de
ejecución forzosa (Art. 40)
La imposición de la multa se efectúa sin
perjuicio de las sanciones
disciplinarias al personal de las entidades públicas en los casos de bancos de
datos personales de la administración pública, así como de la indemnización por
daños y perjuicios y de las sanciones
penales a que hubiera lugar (Art. 39).
Sobre ésta última afirmación vale la pena
detenerse a fin de analizar si se refiere a las penas aplicables solo a los
funcionarios o particulares, o a los delitos informáticos.
Obviamente, el artículo 39 ha
recurrido a un atajo sobre las sanciones penales a que hubiera lugar para la
aplicación de penas a funcionarios o particulares, naturales o personas
jurídicas. El derecho penal es otro de los medios de control social formal,
complementario al Derecho administrativo. Ello quiere decir que sólo el Derecho
Penal puede imponer sanciones penales
(penas y medidas de seguridad),
obviamente, previo proceso penal.
El deslinde absoluto entre el
Derecho Penal y el Derecho Administrativo es que las sanciones penales del
primero son aplicadas por un órgano jurisdiccional (magistrados) y las
sanciones administrativas son impuestas por una autoridad administrativa. El
Derecho Penal es aplicable a conductas altamente graves, sus sanciones también
lo son. El Derecho Penal es aplicable última ratio como último recurso o
razón, mientras el Derecho Administrativo debe ser preferentemente aplicable ex ante, previamente al Derecho penal.
Sólo en la medida que el Derecho Administrativo no sea suficiente ante una
conducta contraria a la paz y cohesión social, intervendrá el Derecho Penal.
Ello requiere entonces que las resoluciones
administrativas así lo dispongan, o las denuncias de la ANPDP, del Ministerio
Publico o terceros legítimamente interesados ante los órganos jurisdiccional en
lo penal.
El Código
Penal (Artículo 28) establece que las penas aplicables son:
- Privativa de libertad;
- Restrictivas de libertad;
- Limitativas de derechos; y
- Multa.
Las dos primeras se aplican vía sentencia de los
Jueces o Tribunales penales, por lo que no podrían ser facultativas de
sanciones penales por el órgano administrativo ANPDP.
Cuanto a la tercera, penas limitativas de
derechos, (Artículo 31) estas
son:
1. Prestación de servicios a la
comunidad;
2. Limitación de días libres; e
3. Inhabilitación.
Para la aplicación de penas limitativas de derechos prevista en
los dos primeros incisos, ellas se
aplican como autónomas cuando están específicamente señaladas para cada delito
y también como sustitutivas o alternativas de la pena privativa de libertad,
cuando la sanción sustituida, a criterio del Juez, no sea superior a cuatro
años (Artículo 32)
En las penas de inhabilitación,
principal o accesoria, ellas producen: privación,
incapacidad prohibición o suspensión, según se disponga en la sentencia (Artículo 36).
Finalmente, la pena aplicable
de multa, obliga al condenado a pagar al Estado una suma de dinero fijada en
días-multa (Art. 41). Esta no difiere, en sustancia, de las sanciones aplacadas
por el órgano administrativo.
En consecuencia, es posible el
establecimiento de sanciones penales, pero estas no revienen al órgano
administrativo sino al órgano
jurisdiccional penal y pueden incluir a funcionarios como a particulares,
personas naturales o jurídicas.
Las sanciones penales pueden
referirse a los delitos previstos en el Libro Segundo, Parte Especial –
Delitos, Titulo XVIII: Delitos
Contra la Administración Pública (Artículo 361 al 426), Capítulo I Delitos
cometidos por particulares (Artículo 361 al 375) Capítulo II Delitos cometidos por
funcionarios públicos (Artículo 376 al 401), como a los Delitos Informáticos.
2.- Delitos Informáticos
El Código Penal reguló los
llamados delitos informáticos, artículos 207-A a 207-D, hasta el 21 de octubre
de 2013, los mismos que han sido derogados por la Ley 30096.
El articulo 207-D, incorporado al Código Penal por el Artículo 2 de la Ley Nº 30076, dos meses
antes, el 19 de agosto 2013, ha sido
mantenido en su contenido y titulo, reenumerándosele en la nueva ley como
artículo 6°[23].
Este artículo, Tráfico ilegal
de datos, tiene una vinculación directa con las infracciones, delitos
informáticos relacionados a los datos personales, penalizando estos, sanciona con
pena privativa de libertad no menor de tres ni mayor de cinco años:
Al o los autores, personas naturales o jurídicas, públicas o privadas,
que crean, ingresan o utilizan indebidamente una base de datos sobre una persona natural o jurídica,
identificada o identificable, para comercializar,
traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la
esfera personal, familiar, patrimonial, laboral, financiera u otro de
naturaleza análoga, creando o no perjuicio.
Tres observaciones pueden
hacerse a este artículo: el deficiente
uso del lenguaje, el alcance de las acciones y la referencia al soporte.
Deficiente uso del lenguaje.-
La creación, ingreso o utilización indebida de una base de datos no se refiere
a los datos personales de una persona
natural o jurídica, que el valido, sino a mas de una.
Alcance de las acciones.- Las
acciones de comercializar, traficar, vender, promover, favorecer, o facilitar informacion, no agotan
las acciones indebidas que pueden realizarse en una base de datos, como si
fueran numerus clasusus, se requiere
de una formula más general, enunciativa.
Referencia al soporte.- Si seguimos
apropiadamente la redacción de este artículo, este no contempla los delitos
contra los datos personales, si los soportes en los cuales se encuentran
contenidos o tratados, son archivos manuales o soportes físicos.
CONCLUSIONES
·
Los
diversos organismos e instituciones internacionales y latinoamericanos han
adoptado políticas, estrategias y legislaciones no necesariamente integradoras ni
compatibles en Latinoamérica en relación a la protección de datos personales
globalizada.
Así, los rangos
de penas varían entre ninguna sanción privativa de libertad a ocho (8) años
como máximo para el caso de Colombia.
·
Sin
embargo, la regulación latinoamericana en materia de protección de datos
personales responde a esas concepciones e influencias, las mismas que vehiculan
múltiples orientaciones, concepciones o intereses contradictorios u opuestos (hegemónicos,
securitarios, económicos, comerciales como libertarios, democráticos, y
protectores de la privacidad y reputación del ser humano).
· Las
Directivas Europeas, Planes y Proyectos como sus transposiciones en Leyes
nacionales sobre la protección de datos personales y delitos, son las que más significativamente
han influenciado las legislaciones latinoamericanas. España y Portugal, a
través de la Red Iberoamericana de Protección
de Datos Personales son quienes más han pretendido influir en ello, intentando
ubicarse como interlocutores históricos y privilegiados de la Unión Europea en relación con Latinoamérica y viceversa, a fin de mantener liderazgos cada vez más
contestables.
·
Los
Foros Internacionales entre la Unión Europea y América Latina y el
Caribe sobre la Sociedad de la Información, en materia de privacidad,
fiabilidad y seguridad de Internet, subrayan que éstas son: imprescindibles para el buen funcionamiento
de nuestras economías, y nuestras sociedades y apoyan la cooperación internacional en estas materias materia para promover acciones que favorezcan la seguridad
en línea y proteger la privacidad de las comunicaciones y las informaciones.
Ello ha privilegiado también los aspectos de narcotráfico, pedofilia; información a usuarios y lucha contra los contenidos nocivos en desmedro de niños
y menores.
·
Los Planes Regionales eLAC Europa – Latinoamérica han alentado,
promovido diálogos, intercambios y cooperación, particularmente, la legislación
sobre de delitos informáticos y delitos por medios de las TICs, lo mismo que el
Convenio de Budapest, aun cuando no todos los países latinoamericanas han
seguido o adherido a estos, ni las normas regionales, subregionales o
nacionales las han tomado en cuenta, sistematizado u adaptado. Sobre el
particular ver: http://derecho-ntic.blogspot.fr/2013/09/convenio-sobre-cibercriminalidad.html
·
Entre los países europeos, la legislación francesa es precursora en
materia de delitos contra la personalidad, tanto en la Ley de Informática y
Libertades, Capitulo de Disposiciones Penales, como en el Código Penal, Capítulo
VI De los atentados contra la personalidad, particularmente, la Sección V
Atentados a los derechos de la persona resultantes de los ficheros y
tratamientos informáticos.
· La UNCTAD reafirma la promoción y desarrollo de la ciberseguridad en la protección
de la información, privacidad y protección de datos personales, de conformidad
con la Resolución 57/239 de la Asamblea
General de las Naciones Unidas. Concluyendo que las Directrices de
Armonización de Protección de Datos en la Comunidad Iberoamericana, favorecerán el comercio transfronterizo
con la Unión Europea.
· La OEA reconoce en el Principio de Legitimidad: El procesamiento de los datos personales debe ser legítimo. Si el
procesamiento de datos personales comporta la comisión de un delito penal o
contraviene un deber impuesto por la ley, entonces puede ser ilegítimo.
·
El Foro de Cooperación Económica Asia Pacifico, APEC, de los cuales
forman parte Chile, México y Perú, pero igualmente Canadá y Estados Unidos,
promueve y plantea un esquema de protección
de datos personales para los consumidores basado en el Marco de
Privacidad de APEC, de fuerte impregnación económica-comercial. El sistema conjuga el uso de una plataforma tecnológica multilingüe, así
como diversos esquemas de sellos de confianza y un “Sistema de Reglas Transfronterizas de
Privacidad”, para proporcionar a los consumidores mecanismos seguros y confiables para hacer
valer sus derechos frente a los proveedores de
cualquier país que participe en el Proyecto.
· La Comunidad Andina de Naciones reconoció en su Decisión 638 entre los
derechos del usuario (contribuyente, consumidor, ciudadano, menor…) la
privacidad e inviolabilidad de sus telecomunicaciones. No existe, sin embargo,
Decisiones sobre la protección de los datos personales destinadas a garantizar
en los Países Miembros, atentados contra estos mediante tratamientos ni
ficheros, ni las infracciones o delitos sancionando estos. Ni menos se
desprende del Acuerdo Marco de Cooperación entre ésta y la Comunidad Económica
Europea, en sus aspectos comerciales o tecnológicos, propuesta de normas de protección
de datos personales.
Los seis países latinoamericanos analizados mantienen intereses y
legislaciones no necesariamente coincidentes, complementarias, ni adhieren a los
mismos organismos internacionales.
· Sus Autoridades Nacionales de
Datos Personales dependen, cuando ellas existen, mayoritariamente, del
Poder Ejecutivo. Colombia: Delegatura para la
Protección de Datos
Personales dependiente de la Superintendencia de
Industria y Comercio. Chile: la
ley no crea ninguna Autoridad Nacional de Datos Personales, encarga al Servicio
de Registro Civil de llevar un Registro de de los bancos de datos personales a
cargo de organismos públicos. México:
la ley mexicana impone la protección de los datos personales en posesión
de particulares. El Instituto Federal de Acceso a la Información tiene
facultades ampliadas para dirigir y
vigilar el cumplimiento de la presente Ley del sector
privado. Uruguay: Unidad Reguladora
y de Control de Datos Personales dependiente de la Agencia para el
Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la
Información y del Conocimiento (AGESIC) Argentina: Órgano de
Control, órgano descentralizado del
Ministerio de Justicia y Derechos Humanos de la Nación. Perú: la Dirección
Nacional de Justicia es la Autoridad Nacional de Protección de Datos
Personales, ANPDP, dependiente del Ministerio de Justicia.
·
Las Autoridades Nacionales de Protección de Datos Personales no han
seguido los criterios de autonomía ni de independencia de estos Órganos
propuestos en la doctrina, Directivas y normas europeas.
· Cuanto a los Delitos Informáticos
relacionados a los Datos Personales, las normativas de los países analizados,
cuando estas existen, son igualmente heterogéneas,
mayoritariamente, generales y relevantes de Códigos Penales y no de Leyes de Proyección
de Datos Personales. Los delitos telemáticos relacionados a los datos
personales no han sido específica ni sistemáticamente incluidos en las normas
nacionales. No existen normas penales de protección de datos personales en
soportes físicos.
o
Colombia:
El Capitulo I, Artículo
269F de la ley sectorial N° 1273, se refiere directamente a la violación de datos
personales, sancionando con pena de prisión
de cuarenta y ocho (48) a noventa y seis (96) meses (4 a 8 años) y en multa
de 100 a 1000 salarios mínimos legales mensuales vigentes.
o
Chile: aprobó una ley
sectorial, N° 19223, sobre delitos informáticos, sin regular de manera específica los relativos a los delitos de datos
personales.
o
México: El Capítulo X, de la Ley Federal de Protección de Datos Personales en Posesión de Particulares
(LFPDPPP),
sobre las
Infracciones y Sanciones, contempla
como sanciones, multas que van de los 100 a los 320,000 días de salario mínimo. El
Capítulo XI, De los Delitos en Materia del Tratamiento Indebido de Datos
Personales, la ley contempla penas privativas de libertad: tres meses a 5 años de prisión
o
Uruguay: Ni en la Ley N°
18331, ni en los Decretos de aplicación o leyes sectoriales, la legislación
uruguaya se sanciona como delito
especifico, informático o no, las infracciones a los datos personales.
o Argentina: El artículo 8º de la ley 26.388, promulgada el 24 de junio de 2008, sustituye el Artículo 157 bis del Código Penal: reprimiendo
al o autores mencionados líneas arriba, con
pena de prisión de un (1) mes a dos (2)
años; si el autor es funcionario público, un (1) mes a cuatro (4) años.
o Perú: El articulo 207-D, incorporado al Código Penal por el Artículo 2 de la Ley Nº 30076, dos meses
antes, el 19 de agosto 2013, ha sido
mantenido en su contenido y titulo, reenumerándosele en la nueva ley 30096 como
artículo 6°, pena privativa de libertad no
menor de tres ni mayor de cinco años
Las
referencias sobre las observaciones hechas al artículo sobre Tráfico Ilegal de
datos en la Ley de delitos informáticos de Perú pueden ser aplicables a los
diferentes articulados latinoamericanos en la materia: deficiente uso del
lenguaje, el alcance de las acciones y la referencia al soporte.
Entre los bienes subjetivos afectados y los rangos de las infracciones y
penalidades propuestas, estas solo pudieran ser disuasivas en Colombia. Ello
ilustra la relativa importancia otorgada a los derechos individuales, aun
cuando las Constituciones de los países analizados reivindican a la persona
humana como el fin último del Estado.
Finalmente, si el derecho y la informática tiene vocación internacional, los países latinoamericanos deberían obrar porque sus Autoridades de Control y sus legislaciones de proteccion de datos personales, administrativas como penales sean mas uniformes, acordes con sus características y proyectos de desarrollo particulares.
BIBLIOGRAFÍA
· Acuerdo Marco de Cooperación entre la Comunidad Económica Europea y el Acuerdo de Cartagena
· Acuerdo Marco de Cooperación entre la Comunidad Económica Europea y el Acuerdo de Cartagena
·
Código Penal francés
·
Código Penal peruano
·
Decisión Marco 2005/222/JAI (España)
·
Decisión
N° 638 - Lineamientos para la Protección al Usuario de Telecomunicaciones
de la Comunidad Andina
·
Directiva Europea 95/46/CE
·
Directiva Europea 2002/58/CE
·
FERREYROS SOTO, Carlos A.
o
“Aspectos
Metodológicos del Delito
Informático”. http://derecho-ntic.blogspot.fr/2013/10/aspectos-metodologicos-del-delito.html
o
“Convenio sobre Cibercriminalidad -
Convenio De Budapest 2001” http://derecho-ntic.blogspot.fr/2013/09/convenio-sobre-cibercriminalidad.html
·
Ley Informática y Libertades de 1978
(Francia)
·
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (España)
·
Ley Orgánica 5/2010 (España)
·
Ley
Orgánica 10/1995 Código Penal español
·
Navarro Isla, Jorge “Estudio sobre las perspectivas
de la armonización de la ciberlegislación en América Latina Conferencia de las Naciones Unidas sobre Comercio y Desarrollo”, UNCTAD
(2009) http://unctad.org/es/Docs/webdtlktcd20091_sp.pdf
·
OEA - Principios
y Recomendaciones Preliminares sobre la Protección de Datos Personales (2011)
·
Plan
Regional eLAC 2007
·
Planes
Regionales eLAC 2010
·
Red Iberoamericana de Protección de Datos
(RIPD) http://www.redipd.org/la_red/Organos/index-ides-idphp.php
·
V
Foro Ministerial Unión Europea (UE) -América Latina y el Caribe (ALC)
·
Colombia:
o
Ley
Sectorial N° 1273
·
Chile:
o
Ley 19628 Protección de Datos de
Carácter Personal (1999)
o
Ley sectorial, N° 19223
o
Código Penal
·
México:
o
Ley
de Protección de Datos Personales para el Distrito Federal (2010)
·
Uruguay:
o Ley N° 18331 Ley
de Protección de Datos Personales (2008) http://www.agesic.gub.uy/innovaportal/v/2303/1/agesic/gran_paso:_uruguay_logra_adecuacion_en_proteccion_de_datos.html
·
Argentina:
o
Ley de Protección de los Datos
Personales (2000)
o
Ley 26.388 sustituye el artículo 157 bis del Código Penal.
·
Perú:
o
Ley de Protección de Datos Personales
Ley 29733 (2011)
o
La Ley Protección de Datos Personales,
Ley N°29733
o
Reglamento de la Ley de Protección de
Datos Personales, Decreto Supremo N° 013-JUS-2013
o Ley Delitos Informaticos; Ley N°
30096
o
Ley Nº 30076
[1]
Argentina, Brasil, Paraguay y Uruguay forman parte del
Mercado Común del Sur (MERCOSUR) y por conducto del Subgrupo de Trabajo N° 13
“Comercio Electrónico” del MERCOSUR han
impulsado las negociaciones para incentivar el comercio transfronterizo a
través de medios electrónicos, mediante
mecanismos que permitan, entre otras cuestiones, el reconocimiento de certificados digitales
entre los Estados Partes.
[2] La Red Iberoamericana de
Protección de Datos (RIPD), surge con motivo del acuerdo alcanzado en el
Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua,
Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes de
14 países iberoamericanos.
Según este enlace, la Agencia Española de Protección
de Datos se reserva la Secretaria de la RIPD, cuyas funciones son determinantes
de liderazgo cuyo es determinante.
III. Secretaría de a RIPD.
La Secretaría de la Red Iberoamericana
de Protección de Datos, RIPD, se ejercerá por la Agencia Española de Protección
de Datos, quién asumirá las tareas de coordinación como órgano técnico y de
seguimiento de las actividades de la RIPD.
La Secretaría de la RIPD asumirá las
siguientes funciones:
- Mantener una relación continua con el Comité Ejecutivo de la RIPD.
- Establecer contactos con organismos nacionales e internacionales, instituciones afines y cooperantes a fin de gestionar posibles apoyos técnicos y logísticos para el desempeño de las actividades de la RIPD.
- Llevar a cabo junto con los Grupos de Trabajo, el desarrollo de las decisiones y proyectos aprobados en los EIPDs.
- Procurar una comunicación abierta e intercambio de información entre los miembros de la RIPD, atendiendo sus iniciativas y propuestas.
- Coordinar las actividades de los Seminarios y Grupos de Trabajo.
- Instruir las solicitudes de incorporación a la RIPD de nuevos miembros.
- Convocar y colaborar en la organización de los EIPDs.
- Tramitar las invitaciones de expertos y observadores a los EIPDs.
[4]
http://unctad.org/es/Docs/webdtlktcd20091_sp.pdf
[5]
De los países participantes en el Taller, solamente México forma parte
de la OCDE
[6]
De los países que participaron en el Taller forman parte de APEC Chile,
México y Perú.
[7] Ver: Jorge
Navarro Isla,
UNCTAD, “Estudio sobre las perspectivas de la armonización
de la ciberlegislación en América Latina” Pág. 31
[8]
Artículo 2.-
[9]
Artículo 3.-
[10]
Artículo 4.-
[11]
Ley Estatutaria Nº 1266, de 31 de diciembre de 2008 . “Por
la cual se dictan las disposiciones generales del hábeas data y se regula el
manejo de la información contenida en bases de datos personales”.
[12]
CAPITULO I
De
los atentados contra la confidencialidad, la integridad y la disponibilidad de
los datos y de los sistemas informáticos
Artículo
269A: Acceso abusivo a un sistema informático. <Ver Notas del
Editor> El que, sin autorización o por fuera de lo acordado, acceda en todo
o en parte a un sistema informático protegido o no con una medida de seguridad,
o se mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos
legales mensuales vigentes.
Artículo
269B: Obstaculización ilegítima de sistema informático o red de
telecomunicación. El que, sin estar facultado para ello, impida u
obstaculice el funcionamiento o el acceso normal a un sistema informático, a
los datos informáticos allí contenidos, o a una red de telecomunicaciones,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes,
siempre que la conducta no constituya delito sancionado con una pena mayor.
Artículo
269C: Interceptación de datos informáticos. El que, sin orden judicial
previa intercepte datos informáticos en su origen, destino o en el interior de
un sistema informático, o las emisiones electromagnéticas provenientes de un
sistema informático que los transporte incurrirá en pena de prisión de treinta
y seis (36) a setenta y dos (72) meses.
Artículo
269D: Daño Informático. El que, sin estar facultado para ello, destruya,
dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa
de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Artículo
269E: Uso de software malicioso. El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga
del territorio nacional software malicioso u otros programas de computación de
efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales
vigentes.
Artículo
269F: Violación de datos personales. El que, sin estar facultado para
ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o
emplee códigos personales, datos personales contenidos en ficheros, archivos,
bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.
Artículo
269G: Suplantación de sitios web para capturar datos personales. El que
con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle,
trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o
ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales
mensuales vigentes, siempre que la conducta no constituya delito sancionado con
pena más grave.
En
la misma sanción incurrirá el que modifique el sistema de resolución de nombres
de dominio, de tal manera que haga entrar al usuario a una IP diferente en la
creencia de que acceda a su banco o a otro sitio personal o de confianza,
siempre que la conducta no constituya delito sancionado con pena más grave.
La
pena señalada en los dos incisos anteriores se agravará de una tercera parte a
la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del
delito.
Artículo
269H: Circunstancias de agravación punitiva: Las penas imponibles de
acuerdo con los artículos descritos en este título, se aumentarán de la mitad a
las tres cuartas partes si la conducta se cometiere:
1.
Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o
del sector financiero, nacionales o extranjeros.
2.
Por servidor público en ejercicio de sus funciones.
3.
Aprovechando la confianza depositada por el poseedor de la información o por
quien tuviere un vínculo contractual con este.
4.
Revelando o dando a conocer el contenido de la información en perjuicio de
otro.
5.
Obteniendo provecho para sí o para un tercero.
6.
Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7.
Utilizando como instrumento a un tercero de buena fe.
8.
Si quien incurre en estas conductas es el responsable de la administración,
manejo o control de dicha información, además se le impondrá hasta por tres
años, la pena de inhabilitación para el ejercicio de profesión relacionada con
sistemas de información procesada con equipos computacionales.
[13] Los grados son determinados por el Art. 56. Del Código Penal. Las penas divisibles constan de tres grados, mínimo, medio y máximo, cuya extensión se determina en una Tabla Demostrativa.
[14] Artículo 39.- El
Instituto de Acceso a la Información Pública del Distrito Federal tiene entre
sus atribuciones vigilar y verificar el cumplimiento de la presente Ley, así
como de las normas que de ella deriven; será la autoridad encargada de
garantizar la protección y el correcto tratamiento de datos personales
Constituyen infracciones a esta Ley,
las siguientes conductas llevadas a cabo por el responsable:
I. No cumplir con la solicitud del
titular para el acceso, rectificación, cancelación u oposición al tratamiento
de sus datos personales, sin razón fundada, en los términos previstos en esta
Ley;
II. Actuar con negligencia o dolo en
la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación
u oposición de datos personales;
III. Declarar dolosamente la
inexistencia de datos personales, cuando exista total o parcialmente en las
bases de datos del responsable;
IV.
Dar tratamiento a los datos personales en contravención a los principios
establecidos en la presente Ley;
V. Omitir en el aviso de privacidad,
alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;
VI. Mantener datos personales
inexactos cuando resulte imputable al responsable, o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente procedan cuando
resulten afectados los derechos de los titulares;
VII. No cumplir con el
apercibimiento a que se refiere la fracción I del artículo 64;
VIII. Incumplir el deber de
confidencialidad establecido en el artículo 21 de esta Ley;
IX. Cambiar sustancialmente la
finalidad originaria del tratamiento de los datos, sin observar lo dispuesto
por el artículo 12;
X. Transferir datos a terceros sin
comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el
titular sujetó la divulgación de los mismos;
XI. Vulnerar la seguridad de bases
de datos, locales, programas o equipos, cuando resulte imputable al responsable;
XII. Llevar a cabo la transferencia
o cesión de los datos personales, fuera de los casos en que esté permitida por
la Ley;
XIII. Recabar o transferir datos
personales sin el consentimiento expreso del titular, en los casos en que éste
sea exigible;
XIV. Obstruir los actos de
verificación de la autoridad;
XV. Recabar datos en forma engañosa
y fraudulenta;
XVI. Continuar con el uso ilegítimo
de los datos personales cuando se ha solicitado el cese del mismo por el
Instituto o los titulares;
XVII. Tratar los datos personales de
manera que se afecte o impida el ejercicio de los derechos de acceso,
rectificación, cancelación y oposición establecidos en el artículo 16 de la
Constitución Política de los Estados Unidos Mexicanos;
XVIII. Crear bases de datos en
contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y
XIX. Cualquier incumplimiento del
responsable a las obligaciones establecidas a su cargo en términos de lo
previsto en la presente Ley.
[16]
CAPÍTULO XI De los Delitos en Materia del Tratamiento
Indebido de Datos Personales
Artículo
67.
Se impondrán de tres meses a tres
años de prisión al que estando autorizado para tratar datos personales, con
ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo
su custodia.
Artículo
68.
Se sancionará con prisión de seis
meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate
datos personales mediante el engaño, aprovechándose del error en que se
encuentre el titular o la persona autorizada para transmitirlos.
Artículo
69.
Tratándose de datos personales
sensibles, las penas a que se refiere este Capítulo se duplicarán.
[17] Artículo
31. Órgano de Control.- Créase como
órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la
Sociedad de la Información y del
Conocimiento (AGESIC), dotado de la más
amplia autonomía técnica, la Unidad Reguladora y de Control de Datos
Personales. Estará dirigida por un
Consejo integrado por tres miembros: el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo
entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia
aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus
cargos.
A excepción del Director Ejecutivo
de la AGESIC, los miembros durarán cuatro años en sus cargos, pudiendo ser
designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su
remoción dispuesta por el Poder Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las
garantí as del debido proceso.
[18] Artículo 35. Potestades sancionatorias.- El órgano de
control podrá aplicar las siguientes medidas sancionatorias a los responsables
de las bases de datos o encargados del tratamiento de datos personales en caso
que se violen las normas de la presente ley:
1) Apercibimiento.
2) Multa de hasta quinientas mil
unidades indexadas.
3) Suspensión de la base de datos
respectiva.
A tal efecto se faculta a la AGESIC
a promover ante los órganos
jurisdiccionales competentes, la suspensión de las bases de datos, hasta por un
lapso de seis días hábiles, respecto de
los cuales se comprobare que infringieren o transgredieren la presente ley.
Los hechos constitutivos de la
infracción serán documentados de acuerdo a las formalidades legales y la suspensión deberá decretarse dentro de los
tres días siguientes a aquel en que la
hubiere solicitad o la AGESIC, la cual
quedará habilitada a disponer por sí la suspensión si el Juez no se pronunciare
dentro de dicho término.
En este último caso, si el Juez
denegare posteriormente la suspensión, ésta deberá levantarse de inmediato por la AGESIC.
Los recursos que se interpongan
contra la resolución judicial que hiciere lugar a la suspensión, no tendrán efecto suspensivo.
Para hacer cumplir dicha resolución,
la AGESIC podrá requerir el auxilio de la fuerza pública.
La competencia de los Tribunales
actuantes se determinará por las normas de la Ley Orgánica de la Judicatura, Nº
15.750, de 24 de junio de 1985, sus
modificativas y concordantes.
[19]
Artículo 37. Habeas data.- Toda persona tendrá derecho a entablar
una acción judicial efectiva para tomar conocimiento de los datos referidos a
su persona y de su finalidad y uso, que consten en bases de datos públicos o
privados; y - en caso de error, falsedad, prohibición de tratamiento, discriminación
o desactualización - a exigir su rectificación, inclusión, supresión o lo que
entienda corresponder.
Cuando se trate de datos personales cuyo registro esté
amparado por una norma legal que consagre el secreto a su respecto, el Juez
apreciará el levantamiento del mismo en atención a las circunstancias del caso.
Artículo 38. Procedencia y competencia.- El titular de datos
personales podrá entablar la acción de protección de datos personales o habeas
data, contra todo responsable de una base de datos pública o privada, en los
siguientes supuestos:
A)
Cuando quiera conocer sus datos personales que se encuentran registrados en una
base de datos o similar y dicha información le haya sido denegada, o no le
hubiese sido proporcionada por el responsable de la base de datos, en las
oportunidades y plazos previstos por la ley.
B)
Cuando haya solicitado al responsable de la base de datos o tratamiento su
rectificación, actualización, eliminación, inclusión o supresión y éste no
hubiese procedido a ello o dado razones suficientes por las que no corresponde
lo solicitado, en el plazo previsto al efecto en la ley.
Serán competentes para conocer en las acciones de
protección de datos personales o habeas data:
1)
En la capital, los Juzgados Letrados de Primera Instancia en lo Contencioso
Administrativo, cuando la acción se dirija contra una persona pública estatal,
y los Juzgados Letrados de Primera Instancia en lo Civil en los restantes
casos.
2)
Los Juzgados Letrados de Primera Instancia del Interior a quienes se haya
asignado competencia en dichas materias.
[21]
Capítulo
V Control
ARTICULO 29. - (Órgano de
Control).
1. El órgano de control deberá realizar todas las acciones necesarias
para el cumplimiento de los objetivos y demás disposiciones de la presente ley.
A tales efectos tendrá las siguientes funciones y atribuciones:
a) Asistir y asesorar a las personas que lo requieran acerca de los
alcances de la presente y de los medios legales de que disponen para la defensa
de los derechos que ésta garantiza;
b) Dictar las normas y reglamentaciones que se deben observar en el
desarrollo de las actividades comprendidas por esta ley;
c) Realizar un censo de archivos, registros o bancos de datos alcanzados
por la ley y mantener el registro permanente de los mismos;
d) Controlar la observancia de las normas sobre integridad y seguridad
de datos por parte de los archivos, registros o bancos de datos. A tal efecto
podrá solicitar autorización judicial para accederá locales, equipos, o
programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la presente ley;
e) Solicitar información a las entidades públicas y privadas, las que
deberán proporcionar los antecedentes, documentos, programas u otros elementos
relativos al tratamiento de los datos personales que se le requieran. En estos
casos, la autoridad deberá garantizar la seguridad y confidencialidad de la
información y elementos suministrados;
f) Imponer las sanciones administrativas que en su caso correspondan por
violación a las normas de la presente ley y de las reglamentaciones que se
dicten en su consecuencia;
g) Constituirse en querellante en las acciones penales que se
promovieran por violaciones a la presente ley;
h) Controlar el cumplimiento de los requisitos y garantías que deben
reunir los archivos o bancos de datos privados destinados a suministrar
informes, para obtener la correspondiente inscripción en el Registro creado por
esta ley.
2. El órgano de control gozará de autonomía
funcional y actuará como órgano descentralizado en el ámbito del Ministerio de
Justicia y Derechos Humanos de la Nación.
3. El órgano de control será dirigido y
administrado por un Director designado por el término de cuatro (4) años, por
el Poder Ejecutivo con acuerdo del Senado de la Nación, debiendo ser
seleccionado entre personas con antecedentes en la materia.
El Director tendrá dedicación exclusiva en su función, encontrándose
alcanzado por las incompatibilidades fijadas por ley para los funcionarios
públicos y podrá ser removido por el Poder Ejecutivo por mal desempeño de sus
funciones.
[23]
Articulo
6. Tráfico ilegal de datos
El
que, crea, ingresa, o utiliza indebidamente una base de datos sobre una persona
natural o jurídica, identificada. o identificable, para comercializar;
traficar, vender, promover, favorecer o facilitar información relativa a
cualquier ámbito de la esfera personal, familiar, patrimonial, laboral,
financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido
con pena privativa de libertad no menor de tres ni mayor de cinco años.
No hay comentarios:
Publicar un comentario