viernes, 24 de julio de 2015

INTEROPERABILIDAD, INTERCONEXION Y TRATAMIENTO DE DATOS PERSONALES. Primera parte.


Este artículo comporta dos partes, una primera, introductoria a los conceptos de interoperabilidad, interconexión y tratamiento de datos personales; una segunda, relaciona esas nociones a la protección de datos personales, y las recientes medidas tomadas por el Ejecutivo en merito a la facultades excepcionales de legislar otorgadas por el Congreso de la República mediante Ley Nº 30336 en materia de fortalecimiento de la seguridad ciudadana, lucha contra la delincuencia y el crimen organizado, por un plazo de noventa (90) días calendario.

A.     INTEROPERABILIDAD

La interoperabilidad es un concepto clave en las Políticas y Estrategias propuestas por la Oficina Nacional de Gobierno Electrónico, ella permite identificar sistemas de información y procedimientos, evaluarlos y compartir datos, información y conocimientos, sin que haya sido necesario planteemos hasta ahora, su legitimidad en el tratamiento de los datos personales.

El concepto de Interoperabilidad ha sido definido por ONGEI[1], como la:

Capacidad de los sistemas de información y de los procedimientos, para compartir datos y posibilitar el intercambio de información y conocimiento.
La capacidad de dos o más sistemas para intercambiar y utilizar la información” – IEEE

La utilidad de la Interoperabilidad se justifica por la necesidad que tanto las entidades de la Administración Pública como sus autoridades, mantengan un lenguaje común, procedimientos estandarizados y una conectividad entre sus sistemas tecnológicos, que permitan que la información, y en consecuencia, los servicios de Administración, o Gobierno Electrónico se ofrezcan dentro del menor tiempo y costo posible en beneficio de las personas.

Entre sus beneficios, se mencionan:

Cooperación entre instituciones de la administración pública, sin distinción del nivel de desarrollo tecnológico de estas.

Simplificación de la actividad administrativa y de los procesos de negocio de las instituciones.

Uso fácil de estándares abiertos y aplicaciones tecnológicas de distinta generación.

Reutilización de datos y funcionalidades que puede redundar en una disminución de los costos.

Mayor facilidad en la realización de trámites por el ciudadano o usuario

ONGEI, determina tres niveles de Interoperabilidad:
1.     Organizacional
2.     Semántica
3.     Técnica

1.     La Interoperabilidad Organizacional:

Define las políticas, los objetivos de negocios, modela los procesos y facilita la colaboración entre entidades que desean intercambiar información y pueden tener diferentes estructuras organizacionales y procesos internos.
Entre los Objetivos Estratégicos de la Agenda Digital 2.0, el Objetivo 5, busca:

Acercar la administración del Estado y sus procesos a la ciudadanía y a las empresas en general, proveyendo servicios de calidad, accesibles, transparentes, seguros y oportunos, a través del uso intensivo de las TI en la administración Pública, se refiere específicamente a la Interoperabilidad.
Orientar, en base a los requerimientos de la comunidad usuaria, los servicios que deben estar disponibles, fácilmente identificables, accesibles y orientados al usuario.
Articular mecanismos de gobierno de los sistemas interoperables, así como las condiciones de seguridad aplicables.
2.     La Interoperabilidad Semántica:

Siempre, según ONGEI:

Asegura y garantiza que el significado preciso de la información y datos intercambiados sea entendida sin ambigüedad por todas las aplicaciones que intervengan en una determinada transacción y habilita a los sistemas para combinar información recibida con otros recursos de información y así procesarlos de forma adecuada.

3.     La Interoperabilidad Técnica
Asegura que las cuestiones técnicas (software, hardware, telecomunicaciones), necesarias para interconectar sistemas computacionales y servicios, incluyendo aspectos clave como interfaces abiertas, servicios de interconexión, integración de datos y middleware, presentación e intercambio de datos, accesibilidad y servicios de seguridad, estén preparados para colaborar todos juntos. (El subrayado es del autor.)
Tiene como objetivo garantizar la independencia en la elección de alternativas tecnológicas por las entidades y los administrados, así como su adaptación al progreso de la tecnología.

B.     INTERCONEXION Y TRATAMIENTO DE DATOS

Un segundo concepto, igualmente complejo, es la Interconexión, como una de las formas del tratamiento de datos.

Si la interoperabilidad, además de identificar y evaluar sistemas de información y procedimientos, entraña compartir datos, informaciones y conocimiento facilitando su intercambio: la interconexión  o el tratamiento de datos, amplía, completa, profundiza la información y conocimiento sobre los mismos. Dicho de otra manera: la interoperabilidad pretende el paso de lo heterogéneo a lo homogéneo; mientras la interconexión, amplia datos, informaciones y conocimientos sobre lo homogéneo.

La primera reflexión que nos viene al espíritu es sí la interconexión – u otras nociones sinónimas, vecinas o asociadas – se practica sobre los datos personales? Y si ella derivan hacia informaciones, conocimiento de las personas físicas y jurídicas? Las siguientes interrogantes se interesan a su alcance? o legitimidad? Desafortunadamente, la respuesta al perímetro de esas cuestiones  rebasa largamente el  alcance del presente artículo. Por ahora, el análisis solo lo circunscribiremos, introductoriamente, a la interconexión de datos personales de las personas físicas.

Lo sorprendente del concepto de interconexión y de las nociones sinónimas, vecinas o asociadas (aproximación, correlación,…)  es la 1. Complejidad y densidad de su significado; su 2.  Valor refugio de protección preventiva de datos personales en Europa, principalmente en Francia, y su 3. Casi nula significación en la normativa peruana.

1.     Complejidad y Densidad de significados e interpretaciones:

La densidad del significado de interconexión permite explorar criterios que permiten definir o determinar lo que constituye o no una interconexión (vinculación de ficheros como una de las formas de tratamiento de datos personales); si ciertas interconexiones requieren autorización previa de las autoridades de protección de datos personales, y las diversas formas que puede tomar una interconexión.

1.1 Se puede definir la Interconexión como la vinculación automática de informaciones provenientes de archivos o tratamientos que estaban previamente separados.

La Comisión Nacional de Informática y Libertades de Francia, en adelante la CNIL, ha identificado tres criterios acumulativos que permiten acreditar la existencia de una interconexión entre los archivos o un tratamiento de datos:

Criterio 1 - El objeto de la interconexión debe ser la vinculación de los ficheros o tratamientos de datos personales:

Los motores de búsqueda generales en Internet permiten conectarse a las páginas web, independientemente de si se trate o no de archivos de datos personales. Los motores de búsqueda generales (Como Google o Bing) no constituyen interconexiones.

El artículo 2 de la Ley de 1978 de la CNIL, tercer párrafo, entiende por tratamiento de datos personales, toda operación o conjunto de operaciones sobre dichos datos, independientemente del metido utilizado, particularmente, la colecta, el registro, la organización, la conservación, la adaptación, o la modificación o la extracción, la consulta, el uso, la comunicación por transmisión, difusión o toda otra forma de puesta a disposición, la aproximación, o la interconexión, así como el bloqueo, la supresión, o al destrucción.

Así, la interconexión puede revestir tanto la vinculación de ficheros como tratamientos de datos personales distintos.

Criterio 2 - Esta vinculación concierne al menos dos ficheros o tratamientos distintos:

La adición de informaciones en un archivo existente o la modificación de las finalidades de un tratamiento no constituyen por sí mismos formas de interconexión, incluso cuando estas adiciones requieren de nuevos medios técnicos.

El concepto de interconexión puede aplicarse a los archivos de un mismo responsable de tratamiento.

Criterio 3 - Se trata de un proceso automatizado que tiene por objeto vincular información resultante de estos archivos o de estos tratamientos:

Si dos archivos distintos tienen destinatarios comunes, el hecho para estos destinatarios de consultar simultáneamente estos dos archivos no constituye por sí mismo una interconexión.

La adición de nuevos destinatarios a un tratamiento existente no constituye, en sí mismo, una interconexión.

La comparación visual del contenido de dos archivos no constituye mucho menos una interconexión sino una aproximación.

La aproximación, tanto como la interconexión, ponen en relación informaciones. Sin embargo, la aproximación se distingue de la interconexión en dos puntos:
·        A diferencia de la interconexión, la aproximación no implica necesariamente el uso de medios automatizados. Por lo tanto, la comparación visual de informaciones resultantes de dos archivos o aun el enriquecimiento de un archivo existente por registro manual de informaciones provenientes de un archivo diferente no constituye una interconexión, sino siempre aproximaciones.

·        La aproximación puede ser realizada  dentro de un mismo tratamiento o archivo, mientras que una interconexión implica dos archivos distintos.

1.2.          Algunas interconexiones están sujetas a autorización previa (Artículo 25 de la ley de "Protección de Datos Personales"[2]).

Criterio 4 - Los archivos interconectados procedentes de tratamientos que tienen diferentes finalidades.

Estas interconexiones están sujetas a un régimen de autorización.

Los archivos pueden corresponder a diferentes intereses públicos (tratamiento resultante de una o más personas morales que administran un servicio público) o tener  diferentes finalidades principales.

Los cuatro Criterios antes mencionados han sido todos satisfechos: esta transmisión ha estado sujeta a la autorización de la CNIL, ya que es, en efecto, una interconexión de archivos procedentes de una o más personas jurídicas administrando un servicio público y cuyas finalidades corresponden a intereses públicos diferentes. (El subrayado es nuestro)

1.3.          Formas que puede adoptar una interconexión

Una interconexión puede adoptar diversas formas:

Puede ser en un solo sentido: un archivo puede servir a enriquecer las informaciones contenidas en un segundo archivo. Podemos hablar entonces de "alimentación”.

Puede ser bidireccional: pueden hacerse intercambios en los dos sentidos, cuando las informaciones resultantes de un tratamiento son enviadas a un segundo tratamiento, para obtener a cambio una información nueva o su confirmación.

Se habla generalmente de "archivo de llamada " y de "archivo de respuesta" para describir estos intercambios. Ello puede conducir a la creación de nuevos flujos: archivos resultantes de dos tratamientos distintos pueden ser aproximados o comparados para obtener información nueva o la consolidación de informaciones existentes.

Puede ser puntual: una interconexión puede ser realizada de manera automatizada pero puntual para una necesidad particular: una vez durante la creación del tratamiento, o en forma periódica (por ejemplo, 1 vez por mes).

Puede ser permanente: La interconexión puede requerir la aplicación de medios permanentes de comunicación entre los diferentes archivos que la componen, por ejemplo para realizar tratamientos en tiempo real.

2.     Valor refugio de protección preventiva de datos personales

En Francia, el artículo 30° (Modificado por la Ley Nº 2006-64 de 23 de enero 2006 Arte. 13, publicada en el Diario Oficial de 24 de enero de 2006), representa la idea de valor refugio de Protección de Datos Personales, cuanto al develamiento de un perfil ampliado de los rasgos peculiares de la persona humana.

I. - Las declaraciones, solicitudes de autorización y las solicitudes de opinión dirigidas a la Comisión Nacional de Informática y Libertades en virtud de las disposiciones de las secciones 1 y 2, precisan:

1. La identidad y dirección del responsable del tratamiento o, si este no se encuentra establecido en el territorio nacional o en el de otro Estado miembro de la Comunidad Europea, o su representante, y según  el caso, aquel de la persona que presenta la solicitud;
2. La  o las finalidades del tratamiento, así como, para el tratamiento conforme con los artículos 25, 26 y 27, la descripción general de sus funciones; (Ver Anexo 1)

3.     Según el caso, las interconexiones, las aproximaciones u otras formas de vinculación con otros tratamientos;
4.     (…)

La regla no es la autorización automática sino el análisis previo, la prevención antes de cualquier decisión que pudiera amenazar o vulnerar derechos.

3. Casi nula significación del concepto de interconexión en la normativa peruana

En la normativa de Perú, la noción de interconexión apenas ha sido tomada en cuenta. Solo el Artículo 2° de la Ley N° 29733 Ley de Protección de Datos Personales la menciona en la definición del concepto de Tratamiento de datos personales, como cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.  

No existe otra alusión en el Reglamento de la Ley, ni mucho menos el concepto ha sido tomado en cuenta en la Directiva de Seguridad de la Información dictada por la Autoridad Nacional de Protección de Datos Personales en el Perú.



Próxima Entrega: Interoperabilidad, Interconexion y Tratamiento de Datos Personales.  Segunda Parte. 


ANEXO 1

Article 25

I. - Sont mis en oeuvre après autorisation de la Commission nationale de l’informatique et des libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27 :
 Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l’article 8 ;

 Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements;

 Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

 Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire;

 Les traitements automatisés ayant pour objet:
- l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents;
- l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes.
 Les traitements portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d’inscription à celui-ci des personnes;

 Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes;
 
 
Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
II. - Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

III. - La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.


Article 26

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État et:
 Qui intéressent la sûreté de l’État, la défense ou la sécurité publique;

 Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
L’avis de la commission est publié avec l’arrêté autorisant le traitement.

II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission; cet avis est publié avec le décret autorisant le traitement.

III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.
 
IV. -
 Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

Article 27

I. - Sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés:
 Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques;

 Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés:
 Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire;

 Ceux des traitements mentionnés au I:
- qui ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9 ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
- et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des statistiques;
 Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer;

 Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.

III. - Les dispositions du IV de l’article 26 sont applicables aux traitements relevant du présent article




[1] “Interoperabilidad en el Estado Peruano”. Cesar Vichez. Oficina Nacional de Gobierno Electrónico, ONGEI.
[2] I. – Son implementados después de autorización de la Comisión Nacional de Informática y Libertades, con exclusión de los mencionados en los artículos 26 y 27:

(...)

5. Los tratamientos automatizados que tienen por objeto:

- La interconexión de archivos de una o más personas jurídicas que administren un servicio público y cuyos objetivos corresponden a diferentes intereses públicos;

- La interconexión de archivos que pertenecen a otras personas y cuyos fines principales son diferentes.


No hay comentarios:

Publicar un comentario