Este
artículo comporta dos partes, una primera, introductoria a los conceptos de
interoperabilidad, interconexión y tratamiento de datos personales; una segunda,
relaciona esas nociones a la protección de datos personales, y
las recientes medidas tomadas por el Ejecutivo en merito a la facultades
excepcionales de legislar otorgadas por el Congreso de la República mediante Ley Nº 30336 en materia de
fortalecimiento de la seguridad ciudadana, lucha contra la delincuencia y el crimen
organizado, por un plazo de noventa (90) días calendario.
A. INTEROPERABILIDAD
La interoperabilidad es un
concepto clave en las Políticas y Estrategias propuestas por la
Oficina Nacional de Gobierno Electrónico, ella permite identificar
sistemas de información y procedimientos, evaluarlos
y compartir datos, información y conocimientos, sin que haya
sido necesario planteemos hasta ahora, su legitimidad en el tratamiento de
los datos personales.
Capacidad de los sistemas de
información y de los procedimientos, para compartir datos y posibilitar el
intercambio de información y conocimiento.
La
capacidad de dos o más sistemas para intercambiar y utilizar la información” –
IEEE
La utilidad de la
Interoperabilidad se justifica por la necesidad que tanto las entidades de
la Administración Pública como sus autoridades, mantengan un
lenguaje común, procedimientos estandarizados y una conectividad entre sus
sistemas tecnológicos, que permitan que la información, y en consecuencia, los
servicios de Administración, o Gobierno Electrónico se ofrezcan dentro del
menor tiempo y costo posible en beneficio de las personas.
Entre sus beneficios,
se mencionan:
Cooperación
entre instituciones de la administración pública, sin distinción del nivel de
desarrollo tecnológico de estas.
Simplificación
de la actividad administrativa y de los procesos de negocio de las
instituciones.
Uso
fácil de estándares abiertos y aplicaciones tecnológicas de distinta generación.
Reutilización
de datos y funcionalidades que puede redundar en una disminución de los costos.
Mayor
facilidad en la realización de trámites por el ciudadano o usuario
ONGEI, determina tres niveles de
Interoperabilidad:
1. Organizacional
2. Semántica
3. Técnica
1. La
Interoperabilidad Organizacional:
Define las políticas, los
objetivos de negocios, modela los procesos y facilita la colaboración entre
entidades que desean intercambiar información y pueden tener diferentes
estructuras organizacionales y procesos internos.
Entre los
Objetivos Estratégicos de la Agenda Digital 2.0, el Objetivo 5, busca:
Acercar la administración del
Estado y sus procesos a la ciudadanía y a las empresas en general, proveyendo
servicios de calidad, accesibles, transparentes, seguros y oportunos, a través
del uso intensivo de las TI en la administración Pública, se refiere específicamente a
la Interoperabilidad.
Orientar, en base a los
requerimientos de la comunidad usuaria, los servicios que deben estar
disponibles, fácilmente identificables, accesibles y orientados al usuario.
Articular mecanismos de
gobierno de los sistemas interoperables, así como las condiciones de seguridad
aplicables.
2. La
Interoperabilidad Semántica:
Siempre, según ONGEI:
Asegura y garantiza que el
significado preciso de la información y datos intercambiados sea entendida sin
ambigüedad por todas las aplicaciones que intervengan en una determinada
transacción y habilita a los sistemas para combinar información recibida con
otros recursos de información y así procesarlos de forma adecuada.
3. La
Interoperabilidad Técnica
Asegura que las cuestiones
técnicas (software, hardware, telecomunicaciones), necesarias para
interconectar sistemas computacionales y servicios, incluyendo aspectos clave
como interfaces abiertas, servicios
de interconexión, integración de datos y middleware, presentación e intercambio
de datos, accesibilidad y servicios de seguridad, estén preparados para
colaborar todos juntos.
Tiene como objetivo garantizar
la independencia en la elección de alternativas tecnológicas por las entidades
y los administrados, así como su adaptación al progreso de la tecnología.
B. INTERCONEXION
Y TRATAMIENTO DE DATOS
Un segundo concepto, igualmente complejo, es la Interconexión,
como una de las formas del tratamiento de datos.
Si la interoperabilidad, además
de identificar y evaluar sistemas de información y procedimientos, entraña
compartir datos, informaciones y conocimiento facilitando su intercambio:
la interconexión o el tratamiento de datos, amplía, completa, profundiza
la información y conocimiento sobre los mismos. Dicho de otra manera: la interoperabilidad
pretende el paso de lo heterogéneo a lo homogéneo; mientras la interconexión, amplia
datos, informaciones y conocimientos sobre lo homogéneo.
La primera reflexión que
nos viene al espíritu es sí la interconexión – u otras nociones sinónimas,
vecinas o asociadas – se practica sobre los datos personales? Y si ella derivan
hacia informaciones, conocimiento de las personas físicas y jurídicas?
Las siguientes interrogantes se interesan a su alcance? o legitimidad?
Desafortunadamente, la respuesta al perímetro de esas cuestiones rebasa
largamente el alcance del presente artículo.
Por ahora, el análisis solo lo circunscribiremos, introductoriamente, a la interconexión
de datos personales de las personas físicas.
Lo sorprendente del concepto de interconexión y de
las nociones sinónimas, vecinas o asociadas (aproximación, correlación,…) es la 1. Complejidad y densidad de su
significado; su 2. Valor refugio de protección preventiva de
datos personales en Europa, principalmente en Francia, y su 3. Casi nula significación en
la normativa peruana.
1. Complejidad y Densidad de significados e
interpretaciones:
La densidad del significado de
interconexión permite explorar criterios que permiten definir o determinar lo
que constituye o no una interconexión (vinculación de ficheros como una de
las formas de tratamiento de datos personales); si ciertas interconexiones
requieren autorización previa de las autoridades de protección de datos
personales, y las diversas formas que puede tomar una interconexión.
1.1 Se puede definir la
Interconexión como la vinculación automática de informaciones provenientes de
archivos o tratamientos que estaban previamente separados.
La Comisión Nacional
de Informática y Libertades de Francia, en adelante la CNIL, ha
identificado tres criterios acumulativos que
permiten acreditar la existencia de una interconexión entre los archivos o un
tratamiento de datos:
Criterio 1 - El objeto
de la interconexión debe ser la vinculación
de los ficheros o tratamientos
de datos personales:
Los motores de búsqueda generales
en Internet permiten conectarse a las páginas web, independientemente de si se
trate o no de archivos de datos personales. Los motores de búsqueda generales
(Como Google o Bing) no constituyen interconexiones.
El artículo 2 de la Ley de 1978 de la CNIL, tercer párrafo, entiende
por tratamiento de datos personales, toda operación o conjunto de operaciones
sobre dichos datos, independientemente del metido utilizado, particularmente,
la colecta, el registro, la organización, la conservación, la adaptación, o la modificación
o la extracción, la consulta, el uso, la comunicación por transmisión, difusión
o toda otra forma de puesta a disposición, la aproximación, o la interconexión,
así como el bloqueo, la supresión, o al destrucción.
Así, la interconexión puede
revestir tanto la vinculación de ficheros como tratamientos de datos
personales distintos.
Criterio 2 - Esta
vinculación concierne al menos dos ficheros o
tratamientos distintos:
La adición de informaciones en un
archivo existente o la modificación de las finalidades de un tratamiento no
constituyen por sí mismos formas de interconexión, incluso cuando estas
adiciones requieren de nuevos medios técnicos.
El concepto de interconexión
puede aplicarse a los archivos de un mismo responsable de tratamiento.
Criterio 3 - Se
trata de un proceso automatizado que tiene
por objeto vincular información resultante de estos archivos o de estos
tratamientos:
Si dos archivos distintos tienen
destinatarios comunes, el hecho para estos destinatarios de consultar
simultáneamente estos dos archivos no constituye por sí mismo una interconexión.
La adición de nuevos
destinatarios a un tratamiento existente no constituye, en sí mismo, una
interconexión.
La comparación visual del
contenido de dos archivos no constituye mucho menos una interconexión sino una
aproximación.
La aproximación, tanto como la
interconexión, ponen en relación informaciones. Sin embargo, la aproximación se
distingue de la interconexión en dos puntos:
·
A diferencia de la interconexión, la
aproximación no implica necesariamente el uso de
medios automatizados. Por lo tanto, la comparación visual de informaciones
resultantes de dos archivos o aun el enriquecimiento de un archivo existente
por registro manual de informaciones provenientes de un archivo diferente no
constituye una interconexión, sino siempre aproximaciones.
·
La aproximación puede ser realizada dentro
de un mismo tratamiento o archivo, mientras
que una interconexión implica dos archivos distintos.
1.2. Algunas
interconexiones están sujetas a autorización previa (Artículo 25 de la ley de
"Protección de Datos Personales"[2]).
Criterio 4 - Los
archivos interconectados procedentes de tratamientos que tienen diferentes
finalidades.
Estas interconexiones están sujetas a un régimen de
autorización.
Los archivos pueden corresponder
a diferentes intereses públicos (tratamiento resultante de una o más personas
morales que administran un servicio público) o tener diferentes
finalidades principales.
Los cuatro Criterios antes
mencionados han sido todos satisfechos: esta transmisión ha estado sujeta a la
autorización de la CNIL, ya que es, en efecto, una interconexión de archivos
procedentes de una o más personas jurídicas administrando un servicio público
y cuyas finalidades corresponden a intereses públicos diferentes.
1.3. Formas
que puede adoptar una interconexión
Una interconexión puede adoptar diversas formas:
Puede
ser en un solo sentido: un archivo puede servir a enriquecer las
informaciones contenidas en un segundo archivo. Podemos hablar entonces de
"alimentación”.
Puede
ser bidireccional: pueden hacerse intercambios en los dos sentidos, cuando
las informaciones resultantes de un tratamiento son enviadas a un segundo
tratamiento, para obtener a cambio una información nueva o su confirmación.
Se habla generalmente de
"archivo de llamada " y de "archivo de respuesta" para
describir estos intercambios. Ello puede conducir a la creación de nuevos
flujos: archivos resultantes de dos tratamientos distintos pueden ser
aproximados o comparados para obtener información nueva o la consolidación de
informaciones existentes.
Puede
ser puntual: una interconexión puede ser realizada de manera automatizada
pero puntual para una necesidad particular: una vez durante la creación del
tratamiento, o en forma periódica (por ejemplo, 1 vez por mes).
Puede
ser permanente: La interconexión puede requerir la aplicación de medios
permanentes de comunicación entre los diferentes archivos que la componen, por
ejemplo para realizar tratamientos en tiempo real.
2. Valor refugio de protección preventiva
de datos personales
En Francia,
el artículo 30° (Modificado por la Ley Nº 2006-64 de 23 de enero 2006 Arte. 13,
publicada en el Diario Oficial de 24 de enero de 2006), representa la idea de
valor refugio de Protección de Datos Personales, cuanto al
develamiento de un perfil ampliado de los rasgos peculiares de la persona humana.
I. - Las declaraciones, solicitudes de autorización y las
solicitudes de opinión dirigidas a la Comisión Nacional de
Informática y Libertades en virtud de las disposiciones de las secciones 1 y 2,
precisan:
1. La identidad y dirección del responsable del
tratamiento o, si este no se encuentra establecido en el territorio nacional o
en el de otro Estado miembro de la Comunidad Europea, o su representante, y
según el caso, aquel de la persona que presenta la solicitud;
2. La o las finalidades
del tratamiento, así como, para el tratamiento conforme con
los artículos 25, 26 y 27, la descripción general de sus funciones;
3. Según
el caso, las interconexiones, las aproximaciones u otras formas de vinculación
con otros tratamientos;
4. (…)
La regla no es la autorización automática
sino el análisis previo, la prevención antes de
cualquier decisión que pudiera amenazar o vulnerar derechos.
3. Casi nula significación del
concepto de interconexión en la normativa peruana
En la normativa de Perú,
la noción de interconexión apenas ha sido tomada en cuenta. Solo
el Artículo 2° de la Ley N° 29733 Ley de Protección de Datos
Personales la menciona en la definición del concepto de Tratamiento de datos personales, como
cualquier operación o procedimiento técnico, automatizado o no, que permite la
recopilación, registro, organización, almacenamiento, conservación,
elaboración, modificación, extracción, consulta, utilización, bloqueo,
supresión, comunicación por transferencia o por difusión o cualquier otra forma
de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
No
existe otra alusión en el Reglamento de la Ley, ni mucho menos el
concepto ha sido tomado en cuenta en la Directiva de Seguridad de la
Información dictada por la Autoridad Nacional de Protección de Datos Personales
en el Perú.
Próxima Entrega: Interoperabilidad, Interconexion y Tratamiento de Datos Personales. Segunda Parte.
ANEXO 1
Article
25
I. - Sont mis en oeuvre
après autorisation de la Commission nationale de l’informatique et des
libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27 :
1° Les traitements,
automatisés ou non, mentionnés au 7° du II, au III et au IV de l’article 8 ;
2° Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements;
3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
2° Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements;
3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire;
5° Les traitements automatisés ayant pour objet:
- l’interconnexion de fichiers relevant d’une ou de
plusieurs personnes morales gérant un service public et dont les finalités
correspondent à des intérêts publics différents;
- l’interconnexion de fichiers relevant d’autres personnes et
dont les finalités principales sont différentes.
6° Les traitements portant
sur des données parmi lesquelles figure le numéro d’inscription des personnes
au répertoire national d’identification des personnes physiques et ceux qui
requièrent une consultation de ce répertoire sans inclure le numéro
d’inscription à celui-ci des personnes;
7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes;
8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
II. - Pour l’application du
présent article, les traitements qui répondent à une même finalité, portent sur
des catégories de données identiques et ont les mêmes destinataires ou
catégories de destinataires peuvent être autorisés par une décision unique de
la commission. Dans ce cas, le responsable de chaque traitement adresse à la
commission un engagement de conformité de celui-ci à la description figurant
dans l’autorisation.
III. - La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.
Article
26
I. - Sont autorisés par
arrêté du ou des ministres compétents, pris après avis motivé et publié de la
Commission nationale de l’informatique et des libertés, les traitements de
données à caractère personnel mis en oeuvre pour le compte de l’État et:
1° Qui intéressent la sûreté
de l’État, la défense ou la sécurité publique;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
L’avis de la commission est publié avec l’arrêté
autorisant le traitement.
II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission; cet avis est publié avec le décret autorisant le traitement.
III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.
IV. - Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.
Article
27
I. - Sont autorisés par
décret en Conseil d’État, pris après avis motivé et publié de la Commission
nationale de l’informatique et des libertés:
1° Les traitements de données
à caractère personnel mis en oeuvre pour le compte de l’État, d’une personne
morale de droit public ou d’une personne morale de droit privé gérant un
service public, qui portent sur des données parmi lesquelles figure le numéro
d’inscription des personnes au répertoire national d’identification des
personnes physiques;
2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
II. - Sont autorisés par
arrêté ou, en cas de traitement opéré pour le compte d’un établissement public
ou d’une personne morale de droit privé gérant un service public, par décision
de l’organe délibérant chargé de leur organisation, pris après avis motivé et
publié de la Commission nationale de l’informatique et des libertés:
1° Les traitements mis en
oeuvre par l’État ou les personnes morales mentionnées au I qui requièrent une
consultation du répertoire national d’identification des personnes physiques
sans inclure le numéro d’inscription à ce répertoire;
2° Ceux des traitements mentionnés au
I:
- qui ne comportent aucune des
données mentionnées au I de l’article 8 ou à l’article 9 ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
- et qui sont mis en oeuvre par des services ayant pour mission,
soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des
administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des
impositions ou taxes de toute nature, soit d’établir des statistiques;
3° Les traitements relatifs
au recensement de la population, en métropole et dans les collectivités situées
outre-mer;
4° Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.
III. - Les dispositions du IV
de l’article 26 sont applicables aux traitements relevant du présent article
[1] “Interoperabilidad en el Estado Peruano”. Cesar
Vichez. Oficina Nacional de Gobierno Electrónico, ONGEI.
[2] I. – Son implementados después de autorización de la
Comisión Nacional de Informática y Libertades, con exclusión de los mencionados
en los artículos 26 y 27:
(...)
5. Los tratamientos automatizados que
tienen por objeto:
- La interconexión de archivos de una o
más personas jurídicas que administren un servicio público y cuyos objetivos
corresponden a diferentes intereses públicos;
- La
interconexión de archivos que pertenecen a otras personas y cuyos fines
principales son diferentes.
