Carlos A. FERREYROS SOTO
Doctor en Derecho
Desde mayo 2015 se han ido publicando algunos artículos
en la prensa peruana relacionados con los temas de inseguridad, la protección
de los datos personales y la dación de facultades extraordinarias solicitadas
por el Ejecutivo al Congreso. Estos temas no son coyunturales, al menos los dos
primeros no lo son, sin embargo, es probable se instalen perdurablemente en el
debate nacional, cualquiera que sea los tiempos políticos, la opción
gubernativa o los niveles de riesgo. Desde la perspectiva informática, jurídica,
estos temas se encuentran vinculados a dos conceptos: interoperabilidad e interconexión
de ficheros de datos personales.
Dijimos antes que la Interoperabilidad puede ser
definida como[1]:
Capacidad de los sistemas de información y de
los procedimientos, para compartir datos y posibilitar el intercambio de
información y conocimiento.
La
capacidad de dos o más sistemas para intercambiar y utilizar la información
La
Interconexión se define como una de las formas de conexión o tratamiento de
datos. Ella alude
a la conexión física, lógica y funcional de las bases de datos utilizadas por los
mismos o diferentes operadores, de manera tal que los usuarios de estas bases
de datos puedan comunicarse entre sí. El concepto de base de datos puede
entenderse como sinónimo de fichero o archivo, definido como «conjunto
estructurado de datos personales, accesibles, de acuerdo con criterios
determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica» (artículo 2.c Directiva 95/46/CE). El Convenio Europeo
de 1981 también utiliza el concepto de fichero.
Abordaremos en esta segunda parte, primero, las
referencias a la cuestión, luego las definiciones e interpretaciones sobre GPS
y Datos Personales, después, la Geolocalización y la Interconexión de Ficheros,
para finalmente responder a la cuestión de si el Decreto Legislativo 1182,
amenaza o viola la privacidad o intimidad de las personas? O instrumenta la interconexión
de ficheros?
1.
Referencias a la cuestión:
He aquí algunos ejemplos en la prensa escrita correspondientes a algunos meses de 2015. En mayo, Ruth
BALLESTEROS, socia de METIS GAIA-CAVALA, publicó en el cotidiano GESTION, “Ley de Protección de
Datos Personales: ¡Evitemos sanciones!” derivadas de la suspensión de las sanciones
previstas por la Ley de 29733; en junio, una entrevista del semanario digital
AMERICA SISTEMAS a Erick IRIARTE, tomaba sus dichos sobre la misma ley,
precisando que esta “constituye una
oportunidad de trabajo para muchas áreas”; en junio, igualmente en GESTION,
el ex Ministro de Trabajo Jaime ZAVALA, advirtió sobre el uso de Sistema de
Posicionamiento Global, GPS, para la fiscalización de los trabajadores por
las empresas mediante un celular
asignado.
El 01 de julio se promulga la Ley 30336 Ley
que delega en el Poder Ejecutivo la facultad de legislar en materia de
seguridad ciudadana, fortalecer la lucha contra la delincuencia y el crimen
organizado; el 27 de julio se publicó en el Diario oficial El Peruano, el Decreto
Legislativo 1182, que
regula el uso de los datos derivados de las telecomunicaciones para la
identificación, localización y geolocalización de equipos de comunicación, en la lucha contra la delincuencia y el crimen organizado; el 30 de julio,
nuevamente en GESTION el Ministro José Luis PÉREZ, planteó la posibilidad de conectar la red de monitoreo del Serenazgo
con la Policía en 43 Distritos de Lima; el mismo 30 de julio, en el diario La República,
la periodista María Isabel ÁLVAREZ, publicaba una nota sobre: “Cinco claves para
entender la Ley de localización”; el 31 de julio, el diario GESTION, la
periodista Karin ABARCA, intitula una crónica: APRA apoya ley para rastrear móviles
y fujimorismo duda”. El mismo 31 de julio, el Diario Oficial El Peruano, en una
nota sin firma, se alega que los: “Titulares del Interior y de Justicia,
desestiman que se utilice la Ley sobre geolocalización para interceptación telefónica
u otros fines”. El mismo 31 de julio, la periodista Doris AGUIRRE de La República, intitula una crónica “General PNP: Ley no autoriza interceptar
llamadas telefónicas”; el Diario Oficial El Peruano, el 4 de agosto publica una
nota en la cual el Ministro de Justicia Gustavo ADRIANZEN confirma que: “En 45 días
estarán listos los protocolos para geo ubicación” (sic); finalmente, el 07 de
agosto, “El Comercio, confronta las opiniones de Dino CARO CORIA, “Sin orden
judicial?, y de José Álvaro QUIROGA, “Antedelincuentes”, sobre si “¿La ley de geolocalización
es legitima?.
Más profusamente se han publicado en la prensa digital, sendos artículos y
ensayos sobre seguridad, protección de datos personales y facultades
legislativas, y desde diversos ángulos y matices[2].
El tema es crucial pues apunta fundamentalmente a uno de los derechos más
importantes del hombre: los derechos relacionados a la persona humana; pero a
su vez a uno de los pilares de la nueva economía numérica: los datos
personales, uno de los bienes más preciados de la sociedad de la información y
del conocimiento. Resolver este tema significaría para los poderes del Estado
señalar una línea clara y consensual.
No se teme la controversia sino las soluciones subjetivas,
orientadas, irracionales, pues ellas ya se presentaron y han sido resueltas propiamente
en otras latitudes, se teme a la incertidumbre, a un cierto espíritu nacional
oscurantista, antropocentrista y arrogante, plagado de “psico sociales” y “gurús”,
de resolver a contra corriente, a destiempo, en función de intereses
subalternos, o de formas de adaptación legislativas desviantes. Sobre algunas
de estas formas nos hemos pronunciado ya en este mismo Blog: en la Ley 29733,
sobre su marcada orientación mercantilista y control administrativo; en la Ley 27489,
sobre las Centrales de Riesgo, y su posible relación de fuente de acopio de datos
personales por empresas bancarias y financieras de un mismo grupo empresarial; y
recientemente sobre las normas relativas a las Notificaciones Electrónicas,
fiscales y judiciales (TUO del Código Tributario y sobre la ley 30229), que amenazarían
los principios sobre los cuales se sustentan las notificaciones por cédulas, en
su versión física,.
2.
Definiciones e Interpretaciones de
un Sistema de Posicionamiento Global, GPS
y Datos Personales
Dos Directivas de la Unión Europea
se encuentran complementariamente imbricadas en las definiciones e
interpretaciones de un Sistema de Posicionamiento Global, GPS y los Datos
Personales: la
Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos; y la Directiva 2002/58/CE
del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector
de las comunicaciones electrónicas,
mientras la primera regula la protección de los datos personales en soportes físicos
y automatizados, la segunda, lo hace en las comunicaciones electrónicas[3]. Por razones metodológicas las analizamos
separadamente.
2.1.
GPS
Un Sistema
de Posicionamiento Global, GPS o Global
Positioning System, es un sistema que permite determinar
en todo el mundo la posición de una persona u objetos (naves, vehículos…). El
GPS funciona mediante una red de satélites en
órbita sobre la tierra, con trayectorias sincronizadas afín de cubrir toda la
superficie del planeta y en tres planos distintos los que permiten
ubicar cualquier dispositivo GPS con increíble precisión en tan sólo instantes.
Evidentemente, existen diferencias semánticas
cuanto a los términos de posición y localización. La posición es la
forma en que está colocada una persona, un objeto. La localización
es el lugar geográfico donde se encuentra esa persona u objeto. Ubicación proviene etimológicamente del
adverbio ubi, que puede traducirse
como “donde”.
a) UNION EUROPEA
El marco jurídico de los datos
de localización han sido precisados y definidos en el Art. 2 Definiciones,
inciso c) de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo,
de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre la privacidad y las comunicaciones electrónicas).
"Datos de
localización", ha sido definido como: “cualquier dato tratado en una red
de comunicaciones electrónicas que indique la posición geográfica del
equipo terminal de un usuario de un servicio de comunicaciones electrónicas
disponible para el público".
Y sobre todo en el artículo 9:
Datos de
localización distintos de los datos de tráfico
1. En caso de que puedan tratarse datos
de localización, distintos de los datos de tráfico, relativos a los usuarios o
abonados de redes públicas de comunicaciones o de servicios de comunicaciones
electrónicas disponibles al público, sólo podrán tratarse estos datos si se
hacen anónimos, o previo consentimiento de los usuarios o abonados, en la
medida y por el tiempo necesarios para la prestación de un servicio con valor
añadido. El proveedor del servicio deberá informar a los usuarios o
abonados, antes de obtener su consentimiento, del tipo de datos de localización
distintos de los datos de tráfico que serán tratados, de la finalidad y
duración del tratamiento y de si los datos se transmitirán a un tercero a
efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a
los usuarios y abonados la posibilidad de retirar en todo momento su
consentimiento para el tratamiento de los datos de localización distintos de
los datos de tráfico.
2. Cuando se haya obtenido el
consentimiento de un usuario o abonado para el tratamiento de datos de
localización distintos de los datos de tráfico, el usuario o abonado deberá
seguir contando con la posibilidad, por un procedimiento sencillo y gratuito,
de rechazar temporalmente el tratamiento de tales datos para cada conexión a la
red o para cada transmisión de una comunicación.
3. Sólo podrán encargarse del
tratamiento de datos de localización distintos de los datos de tráfico de
conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad
del proveedor de las redes públicas de comunicaciones o de servicios de
comunicaciones electrónicas disponibles al público o del tercero que preste el
servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario
a efectos de la prestación del servicio con valor añadido. (El subrayado es
nuestro)
Los servicios de geolocalización se basan
en:
- el sistema GPS[4] ;
- la telefonía móvil de tipo GSM[5].
Determinar entonces la
posición de una persona, vehículo u objeto (telefonía móvil, y otros objetos
misceláneos[6])
requiere el uso de cualquiera de estos sistemas de geolocalización[7].
La Directiva 2002/58/CE fue modificada por la
Directiva 2006/24/CE
del Parlamento Europeo y del Consejo de 15 de marzo de 2006 en lo relativo a la
conservación de datos generados o tratados en relación con la prestación de
servicios de comunicaciones electrónicas de acceso público o de redes públicas
de comunicaciones.
En los considerandos se hace mención a que:
(3) Los artículos 5, 6 y 9 de la Directiva 2002/58/CE
definen las normas aplicables al tratamiento, por los proveedores de red y de
servicios, de los datos de tráfico y de localización generados por el uso de
servicios de comunicaciones electrónicas. Estos datos deben borrarse o hacerse
anónimos cuando ya no se necesiten para la transmisión, salvo los datos
necesarios para la facturación o los pagos por interconexión. Previo
consentimiento, determinados datos pueden también tratarse con fines
comerciales y la prestación de servicios de valor añadido.
(6) Las diferencias legales y técnicas entre disposiciones
nacionales (de los Estados miembros) sobre conservación de datos con fines de
prevención, investigación, detección y enjuiciamiento de delitos crean
obstáculos en el mercado interior de las comunicaciones electrónicas; los
prestadores de servicios deben cumplir requisitos diferentes en cuanto a los
tipos de datos de tráfico y de localización que deben conservarse, así como en
cuanto a las condiciones y los períodos de conservación.
(9) De conformidad con el artículo 8 del Convenio Europeo
para la Protección de los Derechos Humanos y de las Libertades Fundamentales
(CEDH), toda persona tiene derecho al respeto de su vida privada y de su
correspondencia. No podrá haber injerencia de la autoridad pública en el
ejercicio de ese derecho salvo cuando esa injerencia esté prevista por la
ley y constituya una medida que, en una sociedad democrática, sea necesaria,
entre otras cosas, para la seguridad nacional o la seguridad pública, la
prevención de des- órdenes o delitos, o la protección de los derechos y las
libertades de terceros.
(13) La presente Directiva sólo se refiere a los datos
generados o tratados como consecuencia de una comunicación o de un servicio de
comunicación y no a los datos que constituyen el contenido de la información
comunicada. Los datos deben conservarse de tal manera que se evite que se
conserven más de una vez. Los datos generados o tratados, cuando se presten
servicios de comunicaciones electrónicas, se refieren a los datos accesibles.
En particular, en lo referente a la conservación de datos relativos a los
correos electrónicos y la telefonía por Internet, la obligación de conservar
datos sólo puede aplicarse con respecto a los datos de los servicios propios de
los proveedores o de los proveedores de redes.
(17) Es esencial que los Estados miembros adopten medidas
legislativas para asegurar que los datos conservados de conformidad con la
presente Directiva solamente se faciliten a las autoridades nacionales competentes
de conformidad con la legislación nacional, respetando plenamente los derechos
fundamentales de las personas afectadas. (18) Los
Estados miembros tienen la obligación de establecer sanciones por el
incumplimiento de las disposiciones adoptadas; y (19) El derecho a reparación
de toda persona que sufra un perjuicio como consecuencia de un tratamiento
ilícito o de una acción incompatible con la Directiva.
(23) Dado que la obligación de los proveedores de
servicios de comunicación electrónica debe ser proporcionada, la Directiva
exige que se conserven exclusivamente los datos generados o tratados en el
proceso del suministro de servicios de comunicación. Siempre que dichos
datos no hayan sido generados o tratados por dichos proveedores, no es
obligatorio conservarlos. La presente Directiva no tiene por objeto la
armonización de la tecnología de conservación de datos, cuya elección es una
cuestión que debe resolverse a nivel nacional.
Directiva 2006/24/CE del Parlamento Europeo y del Consejo
de 15 de marzo de 2006 en lo relativo a la conservación de datos generados o
tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones.
Articulo
5
Categorías
de datos que deben conservarse
1. Los
Estados miembros garantizarán que las siguientes categorías de datos se
conserven de conformidad con la presente Directiva:
a) datos necesarios para rastrear e
identificar el origen de una
comunicación:
1) con respecto a la telefonía de red fija y
a la telefonía móvil:
i) el número de teléfono de llamada,
ii) el nombre y la dirección del abonado o
usuario registrado;
2) con respecto al acceso a Internet, correo
electrónico por Internet y telefonía por Internet:
i) la identificación de usuario asignada,
ii) la identificación de usuario y el número
de teléfono asignados a toda comunicación que acceda a la red pública de
telefonía,
iii) el nombre y la dirección del abonado o
del usuario registrado al que se le ha asignado en el momento de la
comunicación una dirección de Protocolo
Internet
(IP), una identificación de usuario o un número de teléfono;
b) datos necesarios para identificar el
destino de una comunicación:
1) con respecto a la telefonía de red fija y
a la telefonía móvil:
i) el número o números marcados (el número o
números de teléfono de destino) y, en aquellos casos en que intervengan otros
servicios, como el desvío o la transferencia de llamadas, el número o números hacia
los que se transfieren las llamadas,
ii) los nombres y las direcciones de los
abonados o usuarios registrados;
2) con respecto al correo electrónico por
Internet y a la telefonía por Internet:
i) la identificación de usuario o el número
de teléfono del destinatario o de los destinatarios de una llamada telefónica
por Internet,
ii) los nombres y direcciones de los
abonados o usuarios registrados y la identificación de usuario del destinatario
de la comunicación;
c) datos necesarios para identificar la fecha,
hora y duración de una comunicación:
1) con respecto a la telefonía de red fija y
a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación,
2) con respecto al acceso a Internet, correo
electrónico por Internet y telefonía por Internet:
i) la fecha y hora de la conexión y
desconexión del servicio de acceso a Internet, basadas en un determinado huso
horario, así como la dirección del Protocolo Internet, ya sea dinámica o
estática, asignada por el proveedor de acceso a Internet a una comunicación, así
como la identificación de usuario del abonado o del usuario registrado,
ii) la fecha y hora de la conexión y
desconexión del servicio de correo electrónico por Internet o del servicio de
telefonía por Internet, basadas en un determinado huso horario;
d) datos necesarios para identificar el tipo
de comunicación:
1) con respecto a la telefonía de red fija y
a la telefonía móvil: el servicio telefónico utilizado,
2) con respecto al correo electrónico por
Internet y a la telefonía por Internet: el servicio de Internet utilizado;
e) datos necesarios para identificar el equipo
de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
1) con respecto a la telefonía de red fija:
los números de teléfono de origen y destino,
2) con respecto a la telefonía móvil:
i) los números de teléfono de origen y
destino,
ii) la identidad internacional del abonado
móvil (IMSI) de la parte que efectúa la llamada,
iii) la identidad internacional del equipo
móvil (IMEI) de la parte que efectúa la llamada,
iv) la IMSI de la parte que recibe la
llamada,
v) la IMEI de la parte que recibe la
llamada,
vi) en el caso de los servicios anónimos de
pago por adelantado, fecha y hora de la primera activación del servicio y la
etiqueta de localización (el identificador de celda) desde la que se haya
activado el servicio;
3) con respecto al acceso a Internet, correo
electrónico por Internet y telefonía por Internet:
i) el número de teléfono de origen en caso
de acceso mediante marcado de números,
ii) la línea digital de abonado (DSL) u otro
punto terminal identificador del autor de la comunicación;
f) datos necesarios para identificar la
localización del equipo de
comunicación
móvil:
1) la
etiqueta de localización (identificador de celda) al comienzo de la
comunicación,
2) los
datos que permiten fijar la localización geográfica de la celda, mediante
referencia a la etiqueta de localización, durante el período en el que se
conservan los datos de las comunicaciones.
2. De
conformidad con la presente Directiva, no podrá conservarse
ningún
dato que revele el contenido de la comunicación.
Artículo
6 Períodos de conservación Los Estados miembros garantizarán que las categorías
de datos mencionadas en el artículo 5 se conserven por un período de tiempo que
no sea inferior a seis meses ni superior a dos años a partir de la fecha de
la comunicación.
Artículo
9 Autoridades de control
1. Cada
Estado miembro nombrará una o más autoridades públicas responsables de
controlar la aplicación en su territorio de las disposiciones adoptadas por los
Estados miembros de conformidad con el artículo 7 en relación con la seguridad
de los datos conservados. Dichas autoridades podrán ser las mencionadas en el
artículo 28 de la Directiva 95/46/CE.
2. Las
autoridades mencionadas en el apartado 1 actuarán con plena independencia en el
ejercicio del control a que se refiere el apartado 1.
La vinculación entre las
ciencias y técnicas relativas a la informática y a la geografía al evocar la
noción de Geolocalización, y las ciencias jurídicas y
administrativas relativas a la identificación y a los derechos inherentes a
los Datos Personales, son algunos elementos que subrayan la imbricación
y complejidad del tema en su regulación. Si a ello, agregamos los diferentes conceptos,
significantes, teorías utilizadas en disímiles lenguas y distintos sistemas
jurídicos, administrativos, políticos podemos darnos una idea de las
dificultades de la regulación nacional e internacional, particularmente, del
derecho de la informática que regula la geolocalización, los datos personales y las interconexiones de archivos.
2.2.
Datos personales
a) UNION EUROPEA
La Directiva 95/46/CE del Parlamento Europeo y del
Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos define los daros Personales en su artículo 2:
«Datos personales»:
toda información sobre una persona física identificada o identificable (el
«interesado»); se considerará identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un número de
identificación o uno o varios elementos específicos, característicos de su
identidad física, fisiológica, psíquica, económica, cultural o social;
b)
FRANCIA
La Ley de Informática y Libertades de 1978, define en el
artículo 2, los datos personales o datos de carácter personal: (…)
Constituirá
un dato de carácter personal cualquier información relativa a una persona
física identificada o identificable, directa o indirectamente, con
referencia a un número de identificación o a uno o varios elementos propios de
esta persona. Para determinar si una persona es identificable, se deberá tomar
en consideración el conjunto de medios de los que dispone o a los que puede
tener acceso el responsable del tratamiento o cualquier otra persona para
permitir la identificación.
c) ESPAÑA
La Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de carácter personal, define en su Artículo 3:
Definiciones:
A los
efectos de la presente Ley Orgánica se entenderá por:
a) Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o
identificables.
d)
PERU
Para todos
los efectos de la presente Ley, se entiende por:
(…)
4. Datos personales.
Toda
información sobre una persona natural que la identifica o la hace identificable
a través de medios que pueden ser razonablemente utilizados.
El acento de
las Directivas como su transposición en las leyes francesa y española sobre los
datos personales insisten, en que aparte de tratarse de toda información
en la Directiva Europea y cualquiera información,
en la ley peruana (e igualmente
para los franceses y españoles) relativa a una persona física (o persona natural,
para los peruanos) identificada; en que la identificabilidad del
sujeto pueda determinarse directa o indirectamente, particularmente a un número
de identificación, o uno o varios elementos específicos característicos de
identidad física, fisiológica, psíquica, económica, cultural o social;
pero también deberá tomarse en consideración el conjunto de medios de los
que dispone o a los que puede tener acceso el responsable del tratamiento o
cualquier otra persona, para permitir la identificación. Y es este precisamente
el quid de la cuestión si pretendemos
relacionar Geolocalización y Datos Personales.
Tenemos así dos
formas de identificación, una evidente y una segunda probable, en función de
varios elementos característicos de identidad
(física, fisiológica, psíquica, económica, cultural o social; sin
incluir los elementos característicos a la identidad digital), además del
conjunto de medios de los que dispone o a los que puede tener acceso el
responsable del tratamiento o cualquier otra persona, para permitir la
identificación, vinculando todo ello al tema de interconexión de ficheros.
3.
Interconexión de Ficheros
Sobre el
concepto de interconexión de ficheros, partimos de dos premisas: una, proveniente
de la convergencia de dos tecnologías vinculadas a la globalización; la segunda, de la experiencia
europea sobre las implicancias de los elementos constitutivos de la interconexión
y sus formas, enunciadas ya en la primera parte. Pero a su vez de un enfoque que resulta de
ello: los principios aplicables a los datos personales.
3.1.
La primera premisa resulta de la infraestructura
tecnológica en la que se basa Internet, y de la tecnología digital, que asegura
la interoperabilidad, interconexión y funcionamiento de estos medios
convergentes, permitiendo una vigilancia y control total de las actividades
realizadas en el ciberespacio, tanto como establecen una interconexión entre
ellas.
En
atención a ello, diversas iniciativas, y particularmente aquella del Grupo del Artículo
29, creado a partir de la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, avanzan la idea que pueden proponerse a estas premisas
tecnológicas dos tendencias:
·
La
primera tendencia, consistente en considerar que los ciudadanos deben mantener
sus datos bajo control en todas las fases de los procedimientos administrativos
y que la administración-empresas deben informarlos de los intercambios de datos
correspondientes a las decisiones que se han tomado acerca de ellos.
·
La
segunda tendencia, consiste en considerar que la simplificación administrativa
exige, necesariamente, una “cierta pérdida de control de los datos personales”
por parte del usuario, rindiendo insatisfactorias tanto las exigencias
relativas a una mayor rapidez de la administración en línea y las relativas al
suministro “tradicional” de información a los ciudadanos. Esta segunda tendencia pudiera resultar
ilusoria: el riesgo de que en la práctica ese control cedido sea excesivo; pensándose
erróneamente que el usuario los controla, cuando en realidad son las normas y
procedimientos que obligan a los individuos a facilitar o soportar el acopio, uso
y tratamiento de sus datos por la administración.
Desde el punto vista del derecho, mantener bajo control sus
datos personales por los usuarios y la obligación de información de sus usos e
intercambios por terceros (individuos, empresas y/o administración) es un derecho, pasible de
ejercicio por sus titulares en la primera tendencia, pero sujeto a imperativos
normativos a los cuales se obliga el propio Estado, y obliga a toda persona,
bajo pena de responsabilidades y sanciones (principio de finalidad, de
consentimiento, de proporcionalidad, de seguridad, de nivel de protección
adecuado…).
Simétricamente, genera obligaciones de los titulares de la información
personal (principio de calidad, de actualidad, de legitimidad,…) y derechos de
terceros, sobre simplificación administrativa, interoperabilidad, normalización
de procesos, conectividad, empleabilidad…). En la segunda tendencia, de perdida
cierta de control, resulta más bien una obligación para los usuarios,
ciudadanos, contribuyentes; y un derecho para los terceros, incluyendo un discutible
derecho de posesión sobre los datos personales de terceros.
Sobre el particular, en su
Libro Blanco, Pierre Truche, aborda la cuestión de la propiedad de los datos
personales y llega a la conclusión que no somos propietarios de nuestros datos
personales sino que estos son un atributo de la personalidad:
« Aun cuando la persona concernida no sea considerada
el « autor » de la información cuanto
a la forma, sí lo es cuanto a sus elementos. Sus lazos con el individuo son
bastantes estrechos para que sea de otra manera. Cuando el objeto de los datos
es sujeto de derecho, la información es un atributo de la personalidad[8].»
Este atributo de la personalidad significa
que la comunicación de las informaciones debe resultar del consentimiento del
interesado o de las obligaciones legislativas o reglamentarias.
La simplificación administrativa, interoperabilidad, normalización
de procesos, conectividad, control, empleabilidad son los argumentos esgrimidos
por terceros para acopiar y tratar información personal de los usuarios,
ciudadanos, contribuyentes quienes están obligados por la función de administración
del Estado, o los propios titulares aceptan, toleran, permiten una cierta
pérdida de control de sus datos personales.
Obviamente las motivaciones de los terceros difieren: en la
autoridad pública las motivaciones son de administración delegada y servicio,
mientras en los privados, generalmente, son de administración propia y beneficio.
En los primeros, una parte de la información
personal acopiada y tratada servirá a identificar y conocer las necesidades
nacionales, establecer Políticas Publicas, delinear Planes y Programas y proponer
Estrategias y Proyectos de Desarrollo; en los segundos, se integraran las
informaciones personales como materia prima a ser utilizada o intercambiada en
el mercado, sobre la base del perfil del consumidor, incluyendo (particularmente)
aquellas informaciones relativas a su privacidad, intimidad, honor, imagen,
pero también como agente económico, fiscal, político.
En ambas tendencias de control de la información, por los
usuarios o por la administración pública o terceros, se tratará siempre de establecer el quantum: ¿cuánta vigilancia o
control o cuánto beneficio de unos y
otros? Y ¿cuánto riesgo que los modelos
basados en la representación democrática pueden soportar o resistir sobre el
conocimiento o perfil profundo de los administradores y de los administrados?
De
otro lado, la falta de control o la
vigilancia y el control cedido sobre los datos personales incrementa exponencialmente
los riesgos en los casos de vinculación de archivos o tratamientos
de los datos personales y a la protección de la intimidad en el sector de las
comunicaciones electrónicas, específicamente los regulados por la Directiva 2002/58/CE del Parlamento
Europeo y del Consejo, de 12 de julio de 2002.
3.2.
En la
segunda premisa, la experiencia europea sobre las implicancias
de los elementos constitutivos de la interconexión y sus formas, ponen en
evidencia la:
1. Interconexión como
vinculación automática de informaciones provenientes de archivos o tratamientos
que estaban previamente separados.
El
objeto de la interconexión es la vinculación
automática de los ficheros o tratamientos de datos personales;
mientras la aproximación es diferente de la interconexión por dos razones: la aproximación no
implica necesariamente el uso de medios automatizados. La aproximación
puede ser realizada dentro de un mismo tratamiento o archivo, mientras
que una interconexión implica dos archivos distintos. La norma no indica si existe
interconexión cuando uno de los archivos no es automatizado, ni si pudiera
tratarse de ficheros o tratamientos provenientes de la administración pública
y/o privada, ni si se trata de alguna institución que administra datos o
informaciones.
2. Algunas interconexiones
están sujetas a autorización previa[9]. Los archivos interconectados
procedentes de diferentes
intereses públicos o de tratamientos que tienen diferentes finalidades.
3. Una
interconexión puede adoptar diferentes formas: unidireccional; bidireccional, puede
ser puntual o permanente7.
Es especialmente
importante el respeto a este derecho fundamental en las interconexiones de
bases de datos de Administraciones Públicas, ya que éstas incrementan el riesgo
y suponen una mayor injerencia en el derecho fundamental a la protección de
datos personales.
El incumplimiento de estos
derechos puede generar sanciones de orden civil, administrativo, o incluso
penal, dependiente de cada legislación.
Cuanto a las excepciones a dichos
derechos fundamentales, han sido previstos aquellos derivados de la seguridad
de estado, de la defensa nacional, los intereses monetarios, la persecución de delitos,
la protección de la salud pública, entre otros.
Las interconexiones deben
respetar diferentes principios que regulan los datos personales,
principalmente, el principio de proporcionalidad, lo que implica valorar en
cada caso, el difícil balance entre el fin de la interconexión - el interés
público y las potenciales ventajas para los ciudadanos - y la limitación que
esto supone en el derecho fundamental a la protección de datos personales - especialmente en lo ateniente a la
tipología de los datos objeto de tratamiento.
3.3.
Enfoque resultante: principios aplicables
a los datos personales.
Las diversas comunicaciones de datos entre
administraciones públicas: transparencia, accesos, interconexiones, asociaciones,
son consubstanciales a las administraciones públicas. Como fue señalado por el
Grupo de Trabajo del Artículo 29[10]:
“De momento podemos
observar el desarrollo de diferentes tipos de proyectos de administración en
línea que consisten en la creación y la promoción del suministro de
procedimientos administrativos en línea. El éxito de algunos de ellos depende
de complejas cuestiones relacionadas con la protección de datos que se habrán
de estudiar atentamente.
A título de ejemplo podemos mencionar el establecimiento de
puntos de entrada únicos a los servicios de administración en línea, la creación
de identificadores únicos y la interconexión de las bases de datos públicas”.
Igualmente, además del
Informe Truche, varios otros informes fueron dirigidos al Gobierno francés
sobre la Administración en línea y la protección de los datos personales, por
la Comisión Nacional de Informática y Libertades, CNIL recordando su doctrina consistente en rechazar una interconexión
generalizada de los ficheros. Para la CNIL, la Administración en línea no
debería suponer un aumento del control ejercido en los individuos, que deriva
principalmente de las interconexiones.
El criterio fijado por
algunas administraciones públicas (España) contiene especificidades, tanto en
el acopio como en la cesión de los datos, neutralizándose vía excepción, el principio del
consentimiento para el desarrollo de sus competencias. La Ley Orgánica de Protección
de Datos española (Artículos 6.2[11] y 21.1[12]) prevén la posibilidad
que mediante habilitación legal se sustituya el consentimiento personal elaborándose
excepciones dispositivas de carácter general para la creación de los ficheros
públicos.
El éxito de algunas habilitaciones
depende de complejas cuestiones relacionadas con la protección de datos. A
título de ejemplo podemos mencionar el establecimiento de puntos de entrada
únicos a los servicios de administración en línea, la creación de
identificadores únicos y la interconexión de las bases de datos públicas. Sus
ventajas, sobre todo de comodidad para sus titulares resultante de intercomunicación
de datos entre Administraciones Públicas al evitarse presentar determinados
documentos se pueden convertir en perjuicios, si esto supone una interconexión
generalizada de bases de datos públicas que, dada la ingente cantidad de
información, no sólo establecen perfiles de las personas sino que suprimen de
hecho la privacidad, intimidad, el honor o la imagen de las personas y el libre
desarrollo de la personalidad, sustituyendo el control sobre la propia
información personal por un control de la Administración sobre los individuos
El
principio es que la comunicación de datos sólo puede producirse entre
Administraciones Públicas cuando exista consentimiento del interesado o una
habilitación legal. La Administración electrónica no debe ser una excepción,
posibilidad de comunicación de datos con el consentimiento del interesado - expresada
también por medios electrónicos - y la habilitación legal. La Administración
electrónica debe respetar, además, la regulación específica del consentimiento sobre
los datos sensibles, especialmente protegidos. Además, la previsión legal o la
propuesta del consentimiento del interesado debe respetar en todo momento el
principio de finalidad, calidad y el principio de proporcionalidad. De manera especial,
el principio de la proporcionalidad exige en sentido estricto, que la medida
adoptada - la injerencia en el derecho fundamental a la protección de datos
personales - sea ponderada o equilibrada
con el fin que se persigue, teniendo en cuenta la naturaleza del derecho lesionado,
la intensidad de la injerencia y el bien o valor constitucional que se
persigue.
Esto
obliga a valorar en cada caso el equilibro entre el fin de la interconexión - el
interés público y las potenciales ventajas para los ciudadanos en un
procedimiento administrativo concreto - y las limitaciones al derecho
fundamental a la protección de datos personales; expectativas expresadas por los
ciudadanos en términos de eficacia y eficiencia de los servicios públicos sino
también de la protección de sus datos personales[13]. También, es necesario
llevar a cabo un balance de necesidad, sobre la existencia de medios
alternativos y ventajas reciprocas de la administración pública y de los
ciudadanos con un menor nivel de intromisión. Todo ello evidencia la falta de regulación
más específica sobre las interconexiones de datos personales.
Es
necesario que las Autoridades de Protección de Datos informen regularmente de la
solicitudes de interconexión y que las Administraciones Públicas introduzcan
todas las garantías posibles que permitan un mayor equilibro entre el interés
público y los límites al derecho a la protección de datos personales.
La legitimidad de las
comunicaciones de datos entre Administraciones Públicas, a consecuencia de la
existencia de una relación jurídica cuyo desarrollo cumplimiento y control
requiere la conexión con ficheros de terceros, también habilita la creación de
registros telemáticos comunes que permitan la comunicación de datos entre el
registro telemático y la Administración destinataria en quien resida la
competencia para la tramitación y resolución de la solicitud.
Inicialmente, la Ley Orgánica de Protección de Datos, LOPD
española, permitía la comunicación de datos entre Administraciones Públicas
para el ejercicio de competencias diferentes o de competencias sobre materias
distintas, cuando esta comunicación hubiera sido prevista por la disposición de
creación de fichero o por disposición de rango superior que regule su uso. Sin
embargo, esta previsión legal fue declarada inconstitucional a partir de la Sentencia
del Tribunal Constitucional 292/2000, de 30 de noviembre[14], de forma que sólo es
legítima la comunicación de datos entre Administraciones Públicas sin el
consentimiento del interesado cuando sea para el ejercicio de competencias semejantes
o de competencias sobre las mismas materias. La comunicación de datos entre
Administraciones Públicas para funciones o materias distintas exige una
habilitación legal expresa o el consentimiento del interesado. Por tanto, no
basta con que técnicamente sea posible la comunicación de los ficheros de las
distintas Administraciones Públicas, es necesario que sea jurídicamente legítima.
Puede
afirmarse así que la comunicación de bases de datos entre Administraciones
Públicas afecta esencialmente al principio de finalidad - que sea un tratamiento para la misma
finalidad - o al principio de
consentimiento - que se requiera el
consentimiento cuando es para una finalidad distinta, salvo que haya una
habilitación legal. Así, no es legítimo ni razonable la comunicación o
interconexión generalizada de bases de datos públicas. No es legítimo que un
dato personal facilitado por el interesado para una finalidad sea empleado para
finalidades distintas y por Administraciones distintas.
La
comunicación de datos sólo puede darse entre Administraciones Públicas que
actúan en el ámbito de sus competencias lo que habilita para comprobar si la
Administración cesionaria tiene la competencia administrativa que reclama.
Además, los datos deben ser cancelados por la Administración cesionaria cuando
se haya cumplido la finalidad para la cual han sido recabados.
En ciertos casos, en términos
de forma, la Administración electrónica no sólo permite el acceso automatizado
sino también la interconexión permanente de bases de datos, desnaturalizando l
criterio excepcional o transitorio.
En todo caso, hay que
tener en cuenta que no es lo mismo el acceso automatizado que la interconexión
entre bases de datos ya que el segundo supuesto incrementa el riesgo y supone
una mayor injerencia en el derecho fundamental a la protección de datos. Así,
mientras que en el acceso automatizado es sencillo que el responsable del
fichero lleve a cabo una comprobación individualizada de que la cesión cumple
la legislación de protección de datos y, especialmente, de las causas de
legitimación para la cesión - que existe
el consentimiento del interesado, una habilitación legal, una relación negocial
o que sea para competencias semejantes sobre materias comunes - y del principio de calidad. Esto es más complejo
en el caso de las interconexiones de bases de datos, donde desaparece la
supervisión administrativa del cumplimiento en cada caso de los requisitos
legales y que sólo puede implementarse si esta evaluación es desarrollada ex
ante y si los sistemas de información permiten una comprobación
automatizada del cumplimiento de los requisitos legales para la comunicación
que garanticen el respeto al derecho fundamental a la protección de datos
personales
Hay
que recordar que si la Administración se apoya en empresas externas para
desarrollar los servicios públicos electrónicos es necesaria la existencia de
un contrato escrito por el cual la empresa se constituya en encargado del
tratamiento y se obligue a lo establecido en el artículo 12 de la LOPD española[15]. Esto ocurre en el caso
de las autoridades de validación en lo relativo al DNI electrónico. Así, en
este último caso, si bien las funciones de autoridad de registro - que toma los datos acreditativos de la
identidad personal, fotografía, firma manuscrita, huella digital - y la autoridad de certificación - que expide los certificados electrónicos - es la Dirección General de la Policía, las
autoridades de validación - que ofrecen
al ciudadano servicios en los que reconoce el DNI electrónico y se comprueba la
identidad y la vigencia de la firma - pueden ser tanto Entidades Públicas como
privadas, siempre dentro del marco jurídico de encargados del tratamiento, por
lo que deben cumplirse los requisitos establecidos en el artículo 12 de la LOPD[16].
También
puede acudirse a la figura del encargado del tratamiento cumpliendo lo
establecido en el artículo 12 de la LOPD a los efectos de alojar el sitio web
de las Administraciones Públicas en servidores de terceros, por lo que la
utilización de los servidores de otros Departamentos dentro de la misma persona
jurídica pública no sería una cesión
sino un acceso vinculado al principio de finalidad. Corresponde al
Departamento titular de la información asumir la responsabilidad de posibles
infracciones, así como garantizar los derechos de acceso, rectificación y
cancelación.
4.
Decreto Legislativo N° 1182 del Perú,
amenaza o viola privacidad o intimidad? O instrumenta
la interconexión de ficheros?
4.1.
Objeto,
Finalidad, Procedimientos y Disposiciones.
El objeto de la norma es: “fortalecer las acciones de prevención,
investigación y combate de la delincuencia común y el crimen organizado, a
través del uso de tecnologías de la información y comunicaciones por parte de
la Policía Nacional del Perú” (Artículo
1)
Su finalidad es: “regular el acceso de la unidad especializada de la Policía Nacional
del Perú, en casos de flagrancia delictiva, a la localización o geolocalización
de teléfonos móviles o dispositivos electrónicos de naturaleza similar”. (Artículo 2)
El procedimiento se inicia de verificarse la procedencia,
basada en la concurrencia de tres supuestos:
a. Cuando se trate de flagrante delito, de conformidad con lo
dispuesto en el artículo 259 del Decreto Legislativo Nº 957, Código Procesal
Penal.
b. Cuando el delito investigado
sea sancionado con pena superior a los cuatro
años de privación de libertad.
c. El
acceso a los datos constituya un medio necesario para la investigación. (Artículo
3)
De verificarse la
procedencia, el Procedimiento aborda una primera fase, de coordinaciones,
en la cual participan la Policía, la Fiscalía y los Concesionarios de
telecomunicaciones.
La Policía pone en
conocimiento del Ministerio Público el hecho y formula el requerimiento a la
unidad especializada de la Policía Nacional del Perú para efectos de la
localización o geolocalización.
La unidad especializada de la Policía Nacional del Perú que recibe el
requerimiento, previa verificación del responsable de la unidad solicitante,
cursa el pedido a los concesionarios de los servicios públicos de telecomunicaciones
o a las entidades públicas relacionadas con estos servicios, a través del
correo electrónico institucional u otro medio idóneo convenido.
Los concesionarios de servicios públicos de telecomunicaciones o las
entidades públicas relacionadas con estos servicios, están obligados a brindar
los datos de localización o geolocalización de manera inmediata, las
veinticuatro (24) horas del día de los trescientos sesenta y cinco (365) días
del año, bajo apercibimiento de ser pasible de las responsabilidades de ley en
caso de incumplimiento.
La unidad a cargo de la investigación policial realiza las diligencias
pertinentes en consideración la información obtenida y a otras técnicas de
investigación, sin perjuicio de lo establecido en el artículo 5. (Artículo 4)
El Procedimiento continúa una segunda fase de judicial
La unidad a cargo de la investigación policial, dentro de las 24 horas
de comunicado el hecho al Fiscal correspondiente, le remitirá un informe que
sustente el requerimiento para su convalidación judicial.
El Fiscal dentro de las veinticuatro (24) horas de recibido el informe,
solicita al Juez la convalidación de la medida.
El juez competente resolverá mediante trámite reservado y de manera
inmediata, teniendo a la vista los recaudos del requerimiento fiscal, en un
plazo no mayor de 24 horas. La denegación del requerimiento deja sin efecto la
medida y podrá ser apelada por el Fiscal. El recurso ante el juez superior se
resolverá en el mismo plazo y sin trámite alguno.
El juez que convalida la medida establecerá un plazo que no excederá de
sesenta (60) días. Excepcionalmente podrá prorrogarse por plazos sucesivos,
previo requerimiento sustentado del Fiscal. (Artículo 5)
El Decreto Legislativo N° 1182 precisa que esta
norma está referida estrictamente a los datos de localización o geolocalización
excluyéndose expresamente cualquier tipo de intervención de las
telecomunicaciones, las que se rigen por los procedimientos correspondientes (Artículo
6), estableciéndose:
·
las
responsabilidades administrativas, civiles y penales por el uso indebido o
actos de simulación de denunciantes y personal policial, o todos aquellos que
valiéndose de su oficio, posición, jerarquía, autoridad o cargo público
induzcan, orienten o interfieran de algún modo en el procedimiento.
·
las reservas
correspondientes de los concesionarios e servicios o las entidades públicas
relacionadas con estos servicios, así como las que participan en el proceso de
acceso a los datos de localización o geolocalización. (Artículo 7)
·
la exención
de responsabilidad de los concesionarios de servicios públicos de
telecomunicaciones o las entidades públicas relacionadas con estos servicios
por el suministro de datos de localización o geolocalización, en el marco del
presente decreto legislativo.
Entre las Disposiciones Complementarias
Finales se prevé:
·
la implementación de mecanismos de
acceso exclusivo a la unidad especializada de la Policía Nacional del Perú para
la entrega de los datos de localización o geolocalización de teléfonos móviles
o dispositivos electrónicos de naturaleza similar por los concesionarios de
servicios públicos de telecomunicaciones y las entidades públicas o privadas
relacionadas con estos servicios;
· la conservación de los datos
derivados de las telecomunicaciones durante los primeros doce (12) meses en
sistemas informáticos que permitan su consulta y entrega en línea y en tiempo
real. Concluido el referido periodo, deberán conservar dichos datos por
veinticuatro (24) meses adicionales, en un sistema de almacenamiento
electrónico, por los concesionarios de servicios públicos de telecomunicaciones
y las entidades públicas relacionadas con estos servicios;
· la implementación de mecanismos
de advertencia al destinatario de una comunicación producida desde un establecimiento
penitenciario o de inmediaciones a este, a través de un mensaje previo
indicando esta circunstancia por los concesionarios de servicios públicos de
telecomunicaciones.
· la comunicación a la unidad
especializada el reporte de los datos identificatorios de teléfonos móviles o
dispositivos electrónicos de naturaleza similar cuyas llamadas proceden de
establecimientos penitenciarios por los concesionarios de servicios públicos de
telecomunicaciones
· las infracciones y sanciones
aplicables a los sujetos obligados brindar acceso a datos derivados de
Telecomunicaciones, por el incumplimiento de las obligaciones establecidas en
la presente norma y su reglamento por el Ministerio de Transportes y
Comunicaciones y el Organismo Regulador de las Telecomunicaciones (OSIPTEL),
mediante Decreto Supremo.
Entre las
Disposiciones Finales
Transitorias, se:
· elaborarán, en un plazo no mayor
de treinta (30) días, los Protocolos para el mejor acceso de los datos de
localización o geolocalización días por la unidad especializada de la Policía
Nacional del Perú en coordinación con los concesionarios de servicios públicos
de telecomunicaciones y con el apoyo técnico de la Dirección Ejecutiva de
Tecnología de Información y Comunicaciones de la Policía Nacional del Perú;
· diseñarán e implementarán las
herramientas tecnológicas necesarias que viabilicen la aplicación de la
presente norma, treinta (30) días, a partir de la emisión de los citados
protocolos, por los concesionarios de servicios públicos de telecomunicaciones
y las entidades públicas o privadas relacionadas con estos servicios y la
unidad especializada con apoyo técnico de la Dirección Ejecutiva de Tecnología
de Información y Comunicaciones de la Policía Nacional del Perú;
· proporcionarán los recursos
logísticos económicos, para el fortalecimiento de la unidad especializada de la
Policía Nacional del Perú por el Ministerio del Interior;
· dotará de personal calificado
necesario a la a la unidad especializada para el mejor cumplimiento de sus
funciones e implementará un procedimiento especial de selección que incluirá la
entrevista personal, exámenes toxicológicos y psicológicos, así como la prueba
del polígrafo, por la Policía Nacional del Perú. Dicho personal estará sujeto a
evaluación permanente. La Dirección Ejecutiva de Educación y Doctrina de la
Policía Nacional del Perú establece cursos de capacitación, especialización y
perfeccionamiento para el personal de la unidad especializada a la que se
refiere el presente decreto legislativo.
4.2. El Decreto Legislativo N°
1182 amenaza o viola privacidad o intimidad? O instrumenta la interconexión de
ficheros?
4.2.1. Amenaza o Viola la privacidad o intimada de las
personas?
En la
Primera parte de este artículo, definimos los datos de localización como:
“Todos los datos tratados en una red de comunicaciones electrónicas que indican
la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones
electrónicas accesibles al público”. (Art. 2
Definiciones, inciso c) de la Directiva 2002/58/CE del Parlamento Europeo
y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas)
Diferenciamos
en esa sección, los datos de localización con los datos de tráfico, indicando
que solo podrán tratarse los primeros, bajo determinados supuestos:
·
Si antes de obtener el consentimiento de los
usuarios o abonados se les informa sobre
los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento
y de si los datos se transmitirán a un tercero a efectos de la prestación del
servicio con valor añadido; pudiendo retirar estos su consentimiento en
todo momento;
·
si
se anonimizan;
·
si
puede seguir contando - el usuario o abonado - con la posibilidad, por un
procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de
tales datos para cada conexión a la red o para cada transmisión de una
comunicación.
Sin
embargo, en el Considerando (9) de la Directiva 2002/58/CE, de conformidad con el artículo 8 del Convenio
Europeo para la Protección de los Derechos Humanos y de las Libertades
Fundamentales (CEDH), estima que toda persona tiene derecho al respeto de su
vida privada y de su correspondencia. No podrá haber injerencia de la autoridad
pública en el ejercicio de ese derecho salvo cuando esa injerencia esté
prevista por la ley y constituya una medida que, en una sociedad democrática,
sea necesaria, entre otras cosas, para la seguridad nacional o la seguridad
pública, la prevención de desórdenes o delitos, o la protección de los
derechos y las libertades de terceros.
No
obstante ello, si pensamos en la aplicación del D. Legis N° 1182 en el Perú, sería
conveniente antes, reflexionar sobre su posible implementación en base a los
supuestos planteados por la Directiva 2002/58/CE modificada Directiva 2006/24/CE del
Parlamento Europeo y del Consejo de 15 de marzo de 2006 en lo relativo a la
conservación de datos generados o tratados en relación con la prestación de
servicios de comunicaciones electrónicas de acceso público o de redes públicas
de comunicaciones sobre
los datos de tráfico que serán tratados, la finalidad y duración del
tratamiento, y de si los datos se transmitirán a un tercero a efectos de la
prestación del servicio con valor añadido; si se anonimizan y si puede el
usuario o abonado rechazar temporalmente el tratamiento para cada conexión en
la red o para cada transmisión. Es evidente, que aludiéndose a causas que
relevan de la seguridad nacional o la
seguridad pública, la prevención de desórdenes o delitos, o la protección de
los derechos y las libertades de terceros, resultaría improcedente el
retiro de su consentimiento a los usuarios o abonados en todo momento.
La
Directiva 2002/58/CE se refiere solo a los datos de conexión y a los datos de tráfico,
datos generados o tratados como
consecuencia de una comunicación o de un servicio de comunicación y no a los
datos que constituyen el contenido de la información comunicada.
Los
datos generados o tratados, cuando se presten servicios de comunicaciones
electrónicas, se refieren a los datos accesibles. En particular, en lo
referente a la conservación de datos relativos a los correos electrónicos y la
telefonía por Internet, la obligación de conservar datos sólo puede aplicarse
con respecto a los datos de los servicios propios de los proveedores o de los
proveedores de redes.
Las
sanciones y reparaciones referidas a las interconexiones debieran ser fijadas
tanto por el Ministerio de Transportes y
Comunicaciones y OSIPTEL, como en lo relativo a los datos personales, debieran
convalidarse o establecerse acorde con la normativa prevista en la Autoridad Nacional
de Protección de Datos Personales, APDP adscrita al Ministerio de Justicia,
incluso el D. Legis N° 1182 ya lo hizo en la normativa penal.
En el
Considerando 23, de la Directiva 2002/58/CE se estima que: la obligación de los proveedores de servicios de comunicación
electrónica debe ser proporcionada, la Directiva exige que se conserven
exclusivamente los datos generados o tratados en el proceso del suministro de
servicios de comunicación. Siempre que dichos datos no hayan sido generados o
tratados por dichos proveedores, no es obligatorio conservarlos.
4.2.2.
Instrumenta la interconexión
de ficheros?
No, el D. Legis N° 1182, tal
como ha sido propuesto no instrumenta la interconexión, pero ello no descarta
que otras instituciones del Estado puedan estar haciéndolo; peor, que otras
empresas o instituciones privadas lo estén realizando, escalable y
verticalmente con instituciones financieras y banca. El problema es que la Autoridad Nacional de Protección
de Datos Personales, no tiene la suficiente autonomía, recursos, ni autoridad técnica
que permite el seguimiento y control, al
menos hoy.
Sin embargo, el D. Legis N° 1182 devela un
sesgo peligroso en el proceso penal, la convalidación por la autoridad judicial
a posteriori, sobre lo actuado, en lo
que he llamado Fase de Coordinaciones, por la Unidad especializada de la Policía, la Fiscalía y los Concesionarios de
telecomunicaciones.
La Policía, la Fiscalía,
el Poder Judicial, tanto como algunas de
los Concesionarios de telecomunicaciones afrontan una severa crisis de
confianza por parte de los ciudadanos, instituciones, justiciables sobre
interferencias, escuchas ilegales, que no han sido resueltas, o que todavía se
encuentran en Fase de Investigación, o de Juzgamiento.
Es un triste antecedente,
pero aún se encuentra pendiente la re implementación del sistema de
bloqueadores de comunicaciones desde o hacia los establecimientos
penitenciarios cuya responsabilidad recae en el Instituto Nacional
Penitenciario, INPE,– para las comunicaciones móviles –; sin que deje de
aumentar el número de dispositivos terminales requisados.
Tampoco existen
contrapesos institucionales que puedan asegurar la neutralización de amenazas o
perpetración de legicidos, el Derecho de Tutela reconocido en el artículo 24.1 de
la Constitución española, podría servir para que en determinados procesos, como
el presente, se apele a un representante de la Defensoría del Pueblo o la APDP,
en la Fase de Coordinación.
A todo lo anterior, se puede agregar que la normativa peruana, relativa al tratamiento de los
datos personales y a la protección de la intimidad en el sector de las
comunicaciones electrónicas, prevista en el 2002/58/CE es inexistente; y que la
aplicable a la protección de datos personales en soporte físico y digital está
condicionada por la falta de autonomía de la APDP y una marcada tolerancia por
la mercantilización de los datos, lo que no arregla mucho las cosas..
El tema analizado, recién
se desbroza, este no es sino un aporte preliminar, incompleto pero que evoca las ventajas y derivas de la interoperabilidad y de las interconexiones, pero a su vez la presencia de un fenómeno no previsto por nuestros legisladores: la protección de los datos personales en el ámbito de las telecomunicaciones.
ANEXO 1
DECRETO LEGISLATIVO Nº 1182
EL PRESIDENTE DE LA REPUBLICA
POR CUANTO:
Que,
mediante Ley Nº 30336 el Congreso de la República ha delegado en el Poder
Ejecutivo la facultad de legislar en materia de fortalecimiento de la seguridad
ciudadana, lucha contra la delincuencia y el crimen organizado, por un plazo de
noventa (90) días calendario;
Que, el
literal a) del artículo 2 de la Ley Nº 30336 faculta al Poder Ejecutivo para
fortalecer la seguridad ciudadana, la lucha contra la delincuencia y el crimen
organizado, en especial para combatir el sicariato, la extorsión, el tráfico
ilícito de drogas e insumos químicos, la usurpación y tráfico de terrenos y la
tala ilegal de madera;
Que, en
el literal d) del artículo 2 de la citada Ley faculta al Poder Ejecutivo para
potenciar la capacidad operativa de la Policía Nacional del Perú;
De
conformidad con lo establecido en el artículo 104de la Constitución Política
del Perú;
Con el
voto aprobatorio del Consejo de Ministros; y,
Con cargo
a dar cuenta al Congreso de la República;
Ha dado
el Decreto Legislativo siguiente:
DECRETO
LEGISLATIVOQUE REGULA EL USO DE LOS DATOSDERIVADOS DE LAS
TELECOMUNICACIONESPARA LA IDENTIFICACIÓN, LOCALIZACIÓNY GEOLOCALIZACIÓN DE
EQUIPOS DECOMUNICACIÓN, EN LA LUCHA CONTRA LA
DELINCUENCIA Y EL CRIMEN ORGANIZADO
DELINCUENCIA Y EL CRIMEN ORGANIZADO
Artículo
1.- Objeto
El
presente decreto legislativo tiene por objeto fortalecer las acciones de
prevención, investigación y combate de la delincuencia común y el crimen organizado,
a través del uso de tecnologías de la información y comunicaciones por parte de
la Policía Nacional del Perú.
Artículo
2.- Finalidad
La
finalidad del presente decreto legislativo es regular el acceso de la unidad
especializada de la Policía Nacional del Perú, en casos de flagrancia delictiva,
a la localización o geolocalización de teléfonos móviles o dispositivos
electrónicos de naturaleza similar.
Artículo
3.- Procedencia
La unidad
a cargo de la investigación policial solicita a la unidad especializada el
acceso inmediato a los datos de localización o geolocalización de teléfonos
móviles o dispositivos electrónicos de naturaleza similar, siempre que
concurran los siguientes presupuestos:
a. Cuando
se trate de flagrante delito, de conformidad con lo dispuesto en el artículo
259 del Decreto Legislativo Nº 957, Código Procesal Penal.
b. Cuando
el delito investigado sea sancionado con pena superior a los cuatro años de
privación de libertad.
c. El
acceso a los datos constituya un medio necesario para la investigación.
Artículo
4.- Procedimiento
4.1 La unidad a cargo de la investigación policial, una vez verificados los supuestos del artículo precedente, pone en conocimiento del Ministerio Público el hecho y formula el requerimiento a la unidad especializada de la Policía Nacional del Perú para efectos de la localización o geolocalización.
4.2 La
unidad especializada de la Policía Nacional del Perú que recibe el
requerimiento, previa verificación del responsable de la unidad solicitante, cursa
el pedido a los concesionarios de los servicios públicos de telecomunicaciones
o a las entidades públicas relacionadas con estos servicios, a través
del correo electrónico institucional u otro medio idóneo convenido.
4.3 Los
concesionarios de servicios públicos de telecomunicaciones o las entidades públicas
relacionadas con estos servicios, están obligados a brindar los datos de
localización o geolocalización de manera inmediata, las veinticuatro (24) horas
del día de los trescientos sesenta y cinco (365) días del año, bajo
apercibimiento de ser pasible de las responsabilidades de ley en caso de
incumplimiento.
4.4 La
unidad a cargo de la investigación policial realiza las diligencias pertinentes
en consideración la información obtenida y a otras técnicas de investigación,
sin perjuicio de lo establecido en el artículo 5.
Artículo
5.- Convalidación Judicial
5.1 La unidad a cargo de la investigación policial, dentro de las 24 horas de comunicado el hecho al Fiscal correspondiente, le remitirá un informe que sustente el requerimiento para su convalidación judicial.
5.2 El
Fiscal dentro de las veinticuatro (24) horas de recibido el informe, solicita
al Juez la convalidación de la medida.
5.3 El
juez competente resolverá mediante trámite reservado y de manera inmediata,
teniendo a lobista los recaudos del requerimiento fiscal, en un plazo no mayor
de 24 horas. La denegación del requerimiento deja sin efecto la medida y podrá
ser apelada por el Fiscal. El recurso ante el juez superior se resolverá en el
mismo plazo y sin trámite alguno.
5.4 El
juez que convalida la medida establecerá un plazo que no excederá de sesenta
(60) días. Excepcionalmente podrá prorrogarse por plazos sucesivos, previo
requerimiento sustentado del Fiscal.
Artículo
6.- Exclusión y protección del secreto delas telecomunicaciones
El
presente decreto legislativo está referido estrictamente a los datos de
localización o geolocalización se excluyen expresamente cualquier tipo de intervención
de las telecomunicaciones, las que se rigen por los procedimientos
correspondientes.
Artículo
7.- Responsabilidades por uso indebido de los datos de localización o
geolocalización
7.1 Los
denunciantes o el personal policial que realicen actos de simulación de hechos
conducentes a la aplicación de la intervención excepcional de la Unidad
Especializada de la Policía Nacional del Perú son pasibles de sanción
administrativa, civil y penal según corresponda.
7.2 Los
que valiéndose de su oficio, posición, jerarquía, autoridad o cargo público induzcan,
orienten o interfieran de algún modo en el procedimiento establecido en el
Artículo 4, son pasibles de sanción administrativa, civil y penal según
corresponda.
7.3 Los
concesionarios de servicios públicos de telecomunicaciones o las entidades públicas
relacionadas con estos servicios así como las que participan en el proceso de
acceso a los datos de localización o geolocalización, están obligados a guardar
reserva, bajo responsabilidad administrativa, civil y penal según corresponda.
Artículo
8.- Exención de responsabilidad
Los
concesionarios de servicios públicos de telecomunicaciones o las entidades
públicas relacionadas con estos servicios están exentos de responsabilidad por
el suministro de datos de localización o geolocalización, en el marco del
presente decreto legislativo.
Artículo
9.- Financiamiento
La implementación
de las acciones correspondientes al pliego Ministerio del Interior previstas en
el presente Decreto Legislativo, se financian con cargo al presupuesto
institucional de dicho pliego, sin demandar recursos adicionales al Tesoro
Público.
DISPOSICIONES
COMPLEMENTARIAS FINALES
Primera.-
Implementación
Para los
efectos de la entrega de los datos de localización o geolocalización de teléfonos
móviles o dispositivos electrónicos de naturaleza similar, los concesionarios
de servicios públicos de telecomunicaciones y las entidades públicas o privadas
relacionadas con estos servicios, implementan mecanismos de acceso exclusivo a
la unidad especializada de la Policía Nacional del Perú.
Segunda.-
Conservación de los datos derivados de
las telecomunicaciones
Los
concesionarios de servicios públicos de telecomunicaciones y las entidades
públicas relacionadas con estos servicios deben conservar los datos derivados
de las telecomunicaciones durante los primeros doce (12) meses en sistemas
informáticos que permitan su consulta y entrega en línea y en tiempo real. Concluido
el referido periodo, deberán conservar dichos datos por veinticuatro (24) meses
adicionales, en un sistema de almacenamiento electrónico.
La
entrega de datos almacenados por un periodo no mayor a doce meses, se realiza
en línea y en tiempo real después de recibida la autorización judicial. Para el
caso de los datos almacenados por un periodo mayor a doce meses, se hará
entrega dentro de los siete (7) días siguientes a la autorización judicial, bajo
responsabilidad.
Tercera.-
Auditoría Operativa
La
Inspectoría General del Ministerio del Interior y la Inspectoría General de la
Policía Nacional del Perú realizarán auditorías operativas relacionadas con el
cumplimiento del presente decreto legislativo.
Cuarta.-
Contraloría General de la República
La
Contraloría General de la República, a través del Órgano de Control
Institucional y en el marco del Sistema Nacional de Control, vela por el
adecuado cumplimiento de lo dispuesto en el presente decreto legislativo.
Quinta.-
Mecanismos de advertencia y reporte de datos
Los
concesionarios de servicios públicos de telecomunicaciones implementarán mecanismos
de advertencia al destinatario de una comunicación producida desde un
establecimiento penitenciario o de inmediaciones a este, a través de un mensaje
previo indicando esta circunstancia.
Los
concesionarios de servicios públicos de telecomunicaciones comunicarán a la unidad
especializada el reporte de los datos identificatorios de teléfonos móviles o
dispositivos electrónicos de naturaleza similar cuyas llamadas proceden de establecimientos
penitenciarios.
Sexta.-
Infracciones y Sanciones relativas a empresas operadoras
El
Ministerio de Transportes y Comunicaciones y el Organismo Regulador de las Telecomunicaciones
(OSIPTEL), mediante Decreto Supremo, establecerán las infracciones y sanciones
aplicables a los sujetos obligados brindar acceso a datos derivados de Telecomunicaciones,
por el incumplimiento de las obligaciones establecidas en la presente norma y su
reglamento.
DISPOSICIONES
COMPLEMENTARIAS TRANSITORIAS
Primera.-
Plazos para la implementación
En un
plazo no mayor de treinta (30) días la unidad especializada de la Policía
Nacional del Perú en coordinación con los concesionarios de servicios públicos
de telecomunicaciones y con el apoyo técnico de la Dirección Ejecutiva de
Tecnología de Información y Comunicaciones de la Policía Nacional del Perú, podrán
elaborar protocolos para el mejor acceso de los datos de localización o
geolocalización.
En un plazo
no mayor de treinta (30) días, a partir de la emisión de los citados
protocolos, los concesionarios de servicios públicos de telecomunicaciones y
las entidades públicas o privadas relacionadas con estos servicios y la unidad
especializada con apoyo técnico de la Dirección Ejecutiva de
Tecnología de Información y Comunicaciones de la Policía Nacional del Perú
diseñarán e implementarán las herramientas tecnológicas necesarias que
viabilicen la aplicación de la presente norma.
Segunda.-
Fortalecimiento de la Unidad Especializada de la Policía Nacional del Perú
El
Ministerio del Interior en un plazo no mayor de treinta (30) días,
proporcionará los recursos logísticos económicos, para el fortalecimiento de la
unidad especializada de la Policía Nacional del Perú. La Policía Nacional del
Perú dotará del personal calificado necesario a la unidad especializada para el
mejor cumplimiento de sus funciones e implementará un procedimiento especial de
selección que incluirá la entrevista personal, exámenes toxicológicos y
psicológicos, así como la prueba del polígrafo. Dicho personal estará sujeto a
evaluación permanente.
La
Dirección Ejecutiva de Educación y Doctrina de la Policía Nacional del Perú
establece cursos de capacitación, especialización y perfeccionamiento para el
personal de la unidad especializada a la que se refiere el presente decreto
legislativo.
DISPOSICIONES
COMPLEMENTARIAS MODIFICATORIAS
Primera.-
Modificación del artículo 162 del Código Penal
Modifíquese
el artículo 162 del Código Penal, el cual en adelante tendrá la siguiente
redacción:
"Artículo
162. Interferencia telefónica
El que,
indebidamente, interviene o interfiere o escucha una conversación telefónica o
similar, será reprimido con pena privativa de libertad no menor de cinco ni
mayor de diez años.
La pena
privativa de libertad será no menor de diez ni mayor de quince años:
1. Cuando
el agente tenga la condición de funcionario o servidor público, y se impondrá
además la inhabilitación conforme al artículo 36, incisos 1, 2 y 4.
2. Cuando
el delito recaiga sobre información clasificada como secreta, reservada o
confidencial de conformidad con la Ley 27806, Ley de Transparencia y Acceso a
la Información Pública.
3. Cuando
el delito comprometa la defensa, seguridad o soberanía nacionales.
Si el
agente comete el delito como integrante de una organización criminal, la pena
se incrementa hasta en un tercio por encima del máximo legal previsto en los
supuestos anteriores.
Segunda.-
Incorporación del artículo 162-A al Código Penal
Incorpórese
el artículo 162-A al Código Penal, con la siguiente redacción:
"Artículo
162-A. Posesión o comercialización de equipos destinados a la interceptación
telefónica o similar
El que
fabrica, adquiere, introduce al territorio nacional, posee o comercializa equipos
o softwares destinados a interceptar ilegalmente las comunicaciones o similares,
será reprimido con pena privativa de la libertad no menor de diez ni mayor de
quince años."
Tercera.-
Modificación del artículo 222 A al Código Penal
Modifíquese
el artículo 222-A del Código Penal, el cual en adelante tendrá la siguiente
redacción:
"Artículo
222-A.- Penalización de la clonación o adulteración de terminales de
telecomunicaciones
Será
reprimido con pena privativa de libertad no menor de cuatro (4) ni mayor de
seis (6) años, con sesenta (60) a trescientos sesenta y cinco (365) días multa,
el que altere, reemplace, duplique o de cualquier modo modifique un número de
línea, o de serie electrónico, o de serie mecánico de un terminal celular, o de
IMEI electrónico o físico de modo tal que pueda ocasionar perjuicio al titular,
al usuario del mismo, a terceros o para ocultar la identidad de los que
realizan actos ilícitos."
Cuarta.-
Modificación del artículo 368 A al Código Penal
Modifíquese
el artículo 368-A del Código Penal, el cual en adelante tendrá la siguiente
redacción:
"Artículo
368-A.- Ingreso indebido de equipos o sistema de comunicación, fotografía y/o filmación
en centros de detención o reclusión
El que
indebidamente ingresa, intenta ingresar o permite el ingreso a un centro de
detención o reclusión, equipos o sistema de comunicación, fotografía y/o
filmación o sus componentes que permitan la comunicación telefónica celular o
fija, radial, vía internet u otra análoga del interno, así como el registro de
tomas fotográficas, de video, o proporcionen la señal para el acceso a internet
desde el exterior del establecimiento penitenciario será reprimido con pena privativa
de libertad no menor de cuatro ni mayor de seis años.
Si el
agente se vale de su condición de autoridad, abogado defensor, servidor o
funcionario público para cometer o permitir que se cometa el hecho punible
descrito, la pena privativa será no menor de seis ni mayor de ocho años e
inhabilitación, conforme al artículo 36, incisos 1 y 2, del presente Código."
Mando se publique y cumpla, dando
cuenta al Congreso de la República.
Dado en la Casa de Gobierno, en
Lima, a los veintiséis días del mes de julio del año dos mil quince.
OLLANTA HUMALA TASSO
Presidente de la República
PEDRO CATERIANO BELLIDO
Presidente del Consejo de
Ministros
JOSÉ LUIS PÉREZ GUADALUPE
Ministro del Interior
GUSTAVO ADRIANZÉN OLAYA
Ministro de Justicia y Derechos Humanos
[3]
Las Directivas son de obligatoria transposición (adaptación) a los cuerpos
legislativos de cada Estado miembro de la Unión Europea. El alcance y contenido
de la segunda Directiva 2002/58/CE no tiene correspondencia aplicable en la
legislación peruana a la privacidad de los datos personales y las
comunicaciones electrónicas.
[4]
El sistema de posicionamiento
global (GPS) permite
determinar en todo el mundo la posición de una persona u objeto con una precisión de hasta algunos
centímetros. El sistema GPS está constituido por la conjunción de varios
satélites y utiliza la técnica de la trilateración. Cuando se desea determinar
la posición de una persona u objeto, el receptor que se utiliza para ello
localiza automáticamente como mínimo cuatro satélites de la red, de los que
recibe unas señales indicando la identificación y la hora del reloj de cada uno
de ellos. En base a estas señales, el aparato sincroniza el reloj del GPS y
calcula el tiempo que tardan en llegar las señales al equipo, midiendo de tal
modo la distancia al satélite mediante el método de trilateración inversa, basado
en la determinacion de la distancia de cada satélite respecto al punto de
medición. Conocidas las distancias, se determina fácilmente la propia posición
relativa respecto a los satélites. Conociendo además las coordenadas o posición
de cada uno de ellos por la señal que emiten, se obtiene la posición absoluta o
coordenadas reales del punto de medición. También se consigue una exactitud
extrema en el reloj del GPS, similar a la de los relojes atómicos que llevan a
bordo cada uno de los satélites. Fuente: https://es.wikipedia.org/wiki/Sistema_de_posicionamiento_global
[5]
El sistema global para las comunicaciones
móviles (Del inglés Global System for Mobile communications, GSM, es
un sistema estándar de telefonía móvil digital. Un
cliente GSM puede conectarse a través de su teléfono con su computador y enviar
y recibir mensajes por correo electrónico, faxes, navegar por Internet, acceder
con seguridad a la red informática de una compañía (red local/Intranet), así
como utilizar otras funciones digitales de transmisión de datos, incluyendo el
servicio de mensajes cortos (SMS) o mensajes de texto.
El sistema GSM
se considera, por su velocidad de transmisión y otras características, un
estándar de segunda generación (2G). Su extensión a 3G se denomina UMTS y
difiere en su mayor velocidad de transmisión, el uso de una arquitectura de red
ligeramente distinta y sobre todo en el empleo de diferentes protocolos de
radio (W-CDMA).
[6]
El crecimiento de Internet es un proceso en curso:
hace sólo veinticinco años conectaba alrededor de un millar de ordenadores y,
desde entonces, ha crecido hasta enlazar a miles de millones de personas a
través de ordenadores y dispositivos móviles. Uno de los pasos más importantes
en este avance será la evolución progresiva de una red de ordenadores
interconectados a una red de objetos interconectados: desde libros hasta
automóviles, desde aparatos electrodomésticos hasta alimentos, creándose así
una «Internet de los objetos» Véase el informe de 2005 de la Unión
Internacional para las Telecomunicaciones, UIT www.itu.int/dms_pub/itu-s/opb/pol/S-POL-IR.IT-2005-SUM-PDF-E.pdf o el
informe del ISTAG ftp://ftp.cordis.europa.eu/pub/ist/docs/istagscenarios2010.pdf.
Véase igualmente dos otros artículos
vinculados a los datos personales y la geolocalización:
[7] Aplicable al
Decreto Legislativo N° 1182.
[8] La
traducción es del autor. Véase el texto completo en: http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/024000100.pdf
[9]
Por ejemplo, la ley de 1978 Informática y Libertades de Francia:
Artículo 25 I. – Con excepción de los mencionados en
los artículos 26 (tratamientos Estado seguridad e infracciones penales) y 27
(tratamientos públicos NIR – biometría Estado – censo – tele servicios), se
realizarán los siguientes tratamientos tras la autorización de la Comisión
Nacional de Informática y Libertades:
(…)
5° Los tratamientos automatizados cuyo objeto sea: -
la interconexión de ficheros dependientes de una o varias personas jurídicas
que gestionen un servicio público y cuyas finalidades respondan a intereses
públicos diferentes; - la interconexión de ficheros dependientes de otras
personas y cuyas finalidades principales sean diferentes.
[10]
Grupo de trabajo sobre protección de datos del Artículo 29. Documento de
trabajo sobre la administración en línea http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/e-government_es.pdf
[11] Artículo
6 Consentimiento del afectado
1. El tratamiento de los datos
de carácter personal requerirá el consentimiento inequívoco del afectado, salvo
que la ley disponga otra cosa.
[12] Artículo 21. Comunicación de datos entre Administraciones públicas
1. Los datos
de carácter personal recogidos o elaborados por las Administraciones públicas
para el desempeño de sus atribuciones no serán comunicados a otras
Administraciones públicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas, salvo cuando
la comunicación hubiere sido prevista por las disposiciones de creación del
fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por
objeto el tratamiento posterior de los datos con fines históricos, estadísticos
o científicos.
[13] Sobre ello, las
referencias al Informe del Gobierno Británico «Privacy and data sharing: theway
forward for public services», recogido por en el Documento de Trabajo del Grupo
del Artículo 29 ya citado, donde se señala que «las interconexiones no son
indispensables para mejorar los servicios de la administración».
[14] El Defensor del Pueblo
(art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de
abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad
contra incisos de los arts. 21.1 ("Comunicación de datos entre
Administraciones Públicas") y 24.1 y 2 ("Otras excepciones a los
derechos de los afectados") de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por
vulneración de los arts. 18.1 y 4 y 53.1 CE. Ver sentencia:
[15] El documento de trabajo del Grupo del
Artículo 29 también analiza la posibilidad de que los procedimientos
administrativos en línea se encarguen a empresas privadas, una cuestión en la
que no se obtuvo la misma respuesta en los diferentes países de la Unión.
[16] El documento del Grupo del Artículo 29 ya
citado señala que la mayor parte de las delegaciones indican que en sus
respectivos países está o estaría permitida la participación de operadores
privados, «proveedores de servicios de certificación», en el marco de la
aplicación de los mecanismos de firma electrónica en ciertos procedimientos
administrativos en línea. En estos casos, el estatuto del proveedor de
servicios de certificación está dotado de un marco jurídico (por ejemplo,
condición de acuerdo). Estas cuestiones se resolverían con frecuencia en el
momento de la transposición de la Directiva sobre la firma electrónica al
derecho nacional. En los casos restantes es imposible recurrir a proveedores
externos privados, pues este papel está reservado al Estado (Alemania, España).
En Francia, la cuestión funciona por defecto: hasta ahora, los operadores
externos privados sólo intervienen en la certificación de la declaración del Impuesto
al Valor Agregado, IVA en línea. En todos los casos restantes, el Estado actúa
como autoridad certificadora.
