Intimidad personal e interoperabilidad: el reto de ... · – Alcance diferente del habeas data,...
Transcript of Intimidad personal e interoperabilidad: el reto de ... · – Alcance diferente del habeas data,...
Intimidad personal eIntimidad personal einteroperabilidad: el reto de interoperabilidad: el reto de
proteger al individuo sin debilitar el proteger al individuo sin debilitar el gobierno electrgobierno electróóniconico
Roberto Roberto LaguadoLaguado GiraldoGiraldo
Suárez Beltrán Abogados-ConsultoresBogotá Colombia
11
Un Un modelomodelo contaminantecontaminante
33
las tecnologías de la información y de la comunicación asumieron con frecuencia
características de tecnologías sucias, aproximándose más bien al modelo de las tecnologías industriales
contaminantes
LLíímitemite entreentre lo lo ppúúblicoblico y lo y lo privadoprivado
44
Sociedad del control y la vigilanciaSociedad de la Información
•• “¿“¿Toda la informaciToda la informacióón puede estar a n puede estar a disposicidisposicióón de todos, o debemos distinguir n de todos, o debemos distinguir entre informacientre informacióón disponible y no n disponible y no disponible?disponible?””
Límites entre el derecho a la información y la privacidad individual
66
Límites entre el derecho a la información y la privacidad individual
77
Datos PersonalesSensibles
Datos Personalesno sensibles
NivelesNiveles de de protecciproteccióónn legal de legal de loslos datosdatos
Necesidad de Protección Legal
May
or g
rado
de
priv
acid
ad
Panorama Internacional de Protección de Datos Personales
• OCDE 1980 - Directrices que Regulan la Protección de la
Privacidad y el Fruto Transfronterizo de Datos Personales
1985 - Declaración sobre Flujo de Datos Transfronterizos
Inspiran la producción normativa en Latinoamérica
99
• Estados Unidos– Esquema de autoregulatorio y sectorial
(Consumidor, Cámaras de Vigilancia)– Acuerdos contractuales– Efectos del 11 de Septiembre han reducido la
privacidad del ciudadano– Autocontrol empresarial en lugar de norma
generales– Safe Harbor 2000 (EEUU – UE)– Privacy Act 1974 que requiere actualización
Panorama Internacional de Protección de Datos Personales
1010
• Comunidad Europea– Directiva Sobre Tratamiento de Datos Personales
95/46/CE– Catálogo de principios– Restricción al flujo transfronterizo de datos con
países no comunitarios: “nivel adecuado de protección” so pena de sanciones.
– GT29- Governanza. Verifica el cumplimiento de la Directiva y acredita niveles adecuados de tercerospaíses. Conformado por los Directores de Oficicinas de PDP. 1111
Panorama Internacional de Protección de Datos Personales
• Latinoamérica– Ausencia de instituciones protectoras de datos
personales, poniendo en cabeza de los jueces la tutela y garantía a las libertades individuales asociadas a la protección de datos personales.
– Enfasis en el dato crediticio, el derecho al olvido, el control del dato personal.
– Alcance diferente del habeas data, respecto de su oportunidad, objeto, sujetos activos y pasivos.
Panorama Internacional de Protección de Datos Personales
1212
• Latinoamérica
– Interpretaciones diferentes sobre la procedencia del consentimiento para la recolección y cesión de datos.
– Diferente alcance del concepto de “datos sensibles”:• ¨Tales como¨….• ¨(…) y en general¨• Taxativos – Enunciativos• En ocasiones se exige consentimiento
– Rigor y procedencia de sanciones diferentes.
Panorama Internacional de Protección de Datos Personales
1313
•Latinoamérica– Avances regulatorios
•Desarrollo Constitucional masivo•Chile (1999) y Argentina (2001) normas generales no sectoriales.
•Éste último país es el únicolatinoamericano que ha sidocertificado por el GT29 (UE).
Panorama Internacional de Protección de Datos Personales
1414
•Latinoamérica• Uruguay (2004), Perú (2001), México (2001), Panamá (2002) ha regulado los datos comerciales y crediticios
•Colombia: generabaesperanza…. Finalmente leycrediticia…(2007)
Panorama Internacional de Protección de Datos Personales
1515
LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosRestricción a la recolección y tratamiento de datos personales
1.Debe mediar el consentimiento del titular, salvo: 1.1 Los datos son obtenidos de fuentes de acceso público
irrestricto;1.2 Se recolecten para el ejercicio de funciones propias de las
entidades públicas o en virtud de un deber legal; 1.3 Se trate de listados cuyos datos personales se limiten a los
siguientes: nombre, documento de identidad, régimen y categoría de responsabilidad tributaria, seguridad social o previsional, profesión u ocupación, fecha de nacimiento y domicilio;
1.4 Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento o;
1.5 Su titular los haya hecho públicos previamente.
LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosCesión de datos (interoperabilidad)
2. Los datos personales podrán cederse para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos. Podrá obviarse el consentimiento:
2.1 Cuando así lo disponga una ley; 2.2 Para el ejercicio de funciones propias de las entidades públicas o en cumplimiento de un deber legal;2.3 Llevado a cabo directamente entre dependencias de entidades públicas de forma directa, en cumplimiento de sus respectivas competencias;2.4 Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de losdatos mediante mecanismos de disociación adecuados;2.5 Disociaciando la información, de modo que los titulares de los datos sean inidentificables.
LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosRestricción a la recolección y administración de datos personales sensibles
1. Ninguna persona puede ser obligada a proporcionar datos sensibles, 2. Está prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo losregistros que las asociaciones religiosas, científicas y sindicales construyan para su desarrollo.
3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias:
3.1 El tratamiento sea necesario para salvaguardar la vida del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, 3.2 El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos,
LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatos3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias:
3.3 El tratamiento sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial,3.4 Las necesarias para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos 3.5 Por motivos de interés público,3.6 Cuando se trate de datos relativos a antecedentes penales o criminales, exclusivamente por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas y en estricto cumplimiento de las competencias específicas señaladas por dichas normas3.7. Con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares, con el consentimiento de su titular.3.8 Para el cumplimiento de un deber legal
1. Ausencia de interoperabilidad local ysupranacional
– Caso EEUU interoperabilidad de los sistemas de salud: National Health InformationNetwork
Riesgos que enfrenta el e-Gov ante una desbalanceada protección de datos
personales
2121
1. Ausencia de interoperabilidad local y supranacional – Caso EEUU- EU: serán armónicos alguna vez?
– Proyecto E-ID de la Unión Europea
Un esquema de privacidad armónico constituye una expresión de interoperabilidad organizacional
“Is it a citizen’s right to have an e-ID?” or “Is it a Government’s right to profile EU citizens?”
Riesgos que enfrenta el e-Gov ante una desbalanceada protección de datos
personales
2222
Riesgos que enfrenta el e-Gov ante una desbalanceada protección de datos
personales• 2. Estancamiento o retroceso del desarrollo del E-gov
– Juki Net – Japón: 3 años de litigio (2002-2005) y oposición de la comunidad.
– Sistema de Salud - Australia: 6 años de retraso. Finalmente decidieron usar smart-cards.
– Administración de Seguridad Social- EEUU: el servicio volvió a hacerse por correo postal físico.
– NEIS (Sistema de educación escolar)-Korea: huelgas de hambre por parte de ONG´s.
– Sistema de la Superintendencia Nacional de Salud y del Sistema de Catastro Distrital de Colombia La Corte Constitucional ordenó reconstruirlos por violación a la intimidad (Sentencia T-729/02)
2323
3. Desconfianza por parte del cliente/ciudadano– Además de la desconfianza generada por la
corrupción el ciudadano debe poder estar tranquilo cuando suministra electrónicamente información para: • Contratar con el Estado• Cumplir obligaciones tributarias• Votar• Interactuar con el sistema de seguridad social• Durante el censo
Riesgos que enfrenta el e-Gov ante una desbalanceada protección de datos
personales
2424
InteroperabilidadInteroperabilidad organizacionalorganizacional: : fundamentofundamentoen en loslos principiosprincipios
2727
“Un consenso obviaría o reduciría las razones para regular la exportación de datos y facilitar la resolución de los problemas o conflictos de las leyes. Además, constituiría un primer paso hacia la elaboración de acuerdos internacionales vinculantes y más detallados.”
OCDE, Directrices que Regulan la Protección de la Privacidad y el
Fruto Transfronterizo de Datos Personales. 1980
Los Los principiosprincipios
•• 1. Principio de finalidad de los datos1. Principio de finalidad de los datos•• 2. Principio de proporcionalidad y 2. Principio de proporcionalidad y
suficiencia de los datossuficiencia de los datos•• 3. Principio de exactitud de los datos3. Principio de exactitud de los datos•• 4. Principio de conservaci4. Principio de conservacióón de los datosn de los datos•• 5. Principio de legitimaci5. Principio de legitimacióón para el n para el
tratamiento y consentimiento del tratamiento y consentimiento del interesadointeresado
2828
Los Los PrincipiosPrincipios•• 6. Principio de informaci6. Principio de informacióón y notificacin y notificacióónn•• 7. Principio de habeas data y participaci7. Principio de habeas data y participacióón n
individual: de acceso, rectificaciindividual: de acceso, rectificacióón y cancelacin y cancelacióón n de los datos. de los datos.
•• 8 Principio de T8 Principio de Téécnicas y Salvaguardas de cnicas y Salvaguardas de Seguridad y Confidencialidad Seguridad y Confidencialidad
•• 9. Principio de institucionalizaci9. Principio de institucionalizacióón de la n de la protecciproteccióón de datos personalesn de datos personales
•• 10. Principio de Responsabilidad y Sanciones10. Principio de Responsabilidad y Sanciones•• 11. Principio de salvaguardia equivalente en el 11. Principio de salvaguardia equivalente en el
flujo flujo transfronterizotransfronterizo de datos personalesde datos personales 2929
InteroperabilidadInteroperabilidad organizacionalorganizacional: : fundamentofundamentoen en loslos principiosprincipios
3030