Intimidad personal e interoperabilidad: el reto de ... · – Alcance diferente del habeas data,...

Intimidad personal eIntimidad personal einteroperabilidad: el reto de interoperabilidad: el reto de

proteger al individuo sin debilitar el proteger al individuo sin debilitar el gobierno electrgobierno electróóniconico

Roberto Roberto LaguadoLaguado GiraldoGiraldo

Suárez Beltrán Abogados-ConsultoresBogotá Colombia

11

B-BI-BII y Protección de Datos Personales

22

Un Un modelomodelo contaminantecontaminante

33

las tecnologías de la información y de la comunicación asumieron con frecuencia

características de tecnologías sucias, aproximándose más bien al modelo de las tecnologías industriales

contaminantes

LLíímitemite entreentre lo lo ppúúblicoblico y lo y lo privadoprivado

44

Sociedad del control y la vigilanciaSociedad de la Información

Una relación desabalanceadaA

spec

tos

Impe

rcep

tible

s Aspectos

Perceptibles

•• “¿“¿Toda la informaciToda la informacióón puede estar a n puede estar a disposicidisposicióón de todos, o debemos distinguir n de todos, o debemos distinguir entre informacientre informacióón disponible y no n disponible y no disponible?disponible?””

Límites entre el derecho a la información y la privacidad individual

66

Límites entre el derecho a la información y la privacidad individual

77

Datos PersonalesSensibles

Datos Personalesno sensibles

NivelesNiveles de de protecciproteccióónn legal de legal de loslos datosdatos

Necesidad de Protección Legal

May

or g

rado

de

priv

acid

ad

Panorama Internacional de Protección de Datos Personales

• OCDE 1980 - Directrices que Regulan la Protección de la

Privacidad y el Fruto Transfronterizo de Datos Personales

1985 - Declaración sobre Flujo de Datos Transfronterizos

Inspiran la producción normativa en Latinoamérica

99

• Estados Unidos– Esquema de autoregulatorio y sectorial

(Consumidor, Cámaras de Vigilancia)– Acuerdos contractuales– Efectos del 11 de Septiembre han reducido la

privacidad del ciudadano– Autocontrol empresarial en lugar de norma

generales– Safe Harbor 2000 (EEUU – UE)– Privacy Act 1974 que requiere actualización


1010

• Comunidad Europea– Directiva Sobre Tratamiento de Datos Personales

95/46/CE– Catálogo de principios– Restricción al flujo transfronterizo de datos con

países no comunitarios: “nivel adecuado de protección” so pena de sanciones.

– GT29- Governanza. Verifica el cumplimiento de la Directiva y acredita niveles adecuados de tercerospaíses. Conformado por los Directores de Oficicinas de PDP. 1111


• Latinoamérica– Ausencia de instituciones protectoras de datos

personales, poniendo en cabeza de los jueces la tutela y garantía a las libertades individuales asociadas a la protección de datos personales.

– Enfasis en el dato crediticio, el derecho al olvido, el control del dato personal.

– Alcance diferente del habeas data, respecto de su oportunidad, objeto, sujetos activos y pasivos.


1212

• Latinoamérica

– Interpretaciones diferentes sobre la procedencia del consentimiento para la recolección y cesión de datos.

– Diferente alcance del concepto de “datos sensibles”:• ¨Tales como¨….• ¨(…) y en general¨• Taxativos – Enunciativos• En ocasiones se exige consentimiento

– Rigor y procedencia de sanciones diferentes.


1313

•Latinoamérica– Avances regulatorios

•Desarrollo Constitucional masivo•Chile (1999) y Argentina (2001) normas generales no sectoriales.

•Éste último país es el únicolatinoamericano que ha sidocertificado por el GT29 (UE).


1414

•Latinoamérica• Uruguay (2004), Perú (2001), México (2001), Panamá (2002) ha regulado los datos comerciales y crediticios

•Colombia: generabaesperanza…. Finalmente leycrediticia…(2007)


1515

1616

Safe HarborContratos

Certificación del GT29

LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosRestricción a la recolección y tratamiento de datos personales

1.Debe mediar el consentimiento del titular, salvo: 1.1 Los datos son obtenidos de fuentes de acceso público

irrestricto;1.2 Se recolecten para el ejercicio de funciones propias de las

entidades públicas o en virtud de un deber legal; 1.3 Se trate de listados cuyos datos personales se limiten a los

siguientes: nombre, documento de identidad, régimen y categoría de responsabilidad tributaria, seguridad social o previsional, profesión u ocupación, fecha de nacimiento y domicilio;

1.4 Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento o;

1.5 Su titular los haya hecho públicos previamente.

LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosCesión de datos (interoperabilidad)

2. Los datos personales podrán cederse para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos. Podrá obviarse el consentimiento:

2.1 Cuando así lo disponga una ley; 2.2 Para el ejercicio de funciones propias de las entidades públicas o en cumplimiento de un deber legal;2.3 Llevado a cabo directamente entre dependencias de entidades públicas de forma directa, en cumplimiento de sus respectivas competencias;2.4 Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de losdatos mediante mecanismos de disociación adecuados;2.5 Disociaciando la información, de modo que los titulares de los datos sean inidentificables.

LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatosRestricción a la recolección y administración de datos personales sensibles

1. Ninguna persona puede ser obligada a proporcionar datos sensibles, 2. Está prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo losregistros que las asociaciones religiosas, científicas y sindicales construyan para su desarrollo.

3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias:

3.1 El tratamiento sea necesario para salvaguardar la vida del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, 3.2 El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos,

LLíímitesmites del edel e--GOV ante GOV ante loslos datosdatos3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias:

3.3 El tratamiento sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial,3.4 Las necesarias para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos 3.5 Por motivos de interés público,3.6 Cuando se trate de datos relativos a antecedentes penales o criminales, exclusivamente por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas y en estricto cumplimiento de las competencias específicas señaladas por dichas normas3.7. Con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares, con el consentimiento de su titular.3.8 Para el cumplimiento de un deber legal

1. Ausencia de interoperabilidad local ysupranacional

– Caso EEUU interoperabilidad de los sistemas de salud: National Health InformationNetwork

Riesgos que enfrenta el e-Gov ante una desbalanceada protección de datos

personales

2121

1. Ausencia de interoperabilidad local y supranacional – Caso EEUU- EU: serán armónicos alguna vez?

– Proyecto E-ID de la Unión Europea

Un esquema de privacidad armónico constituye una expresión de interoperabilidad organizacional

“Is it a citizen’s right to have an e-ID?” or “Is it a Government’s right to profile EU citizens?”


personales

2222


personales• 2. Estancamiento o retroceso del desarrollo del E-gov

– Juki Net – Japón: 3 años de litigio (2002-2005) y oposición de la comunidad.

– Sistema de Salud - Australia: 6 años de retraso. Finalmente decidieron usar smart-cards.

– Administración de Seguridad Social- EEUU: el servicio volvió a hacerse por correo postal físico.

– NEIS (Sistema de educación escolar)-Korea: huelgas de hambre por parte de ONG´s.

– Sistema de la Superintendencia Nacional de Salud y del Sistema de Catastro Distrital de Colombia La Corte Constitucional ordenó reconstruirlos por violación a la intimidad (Sentencia T-729/02)

2323

3. Desconfianza por parte del cliente/ciudadano– Además de la desconfianza generada por la

corrupción el ciudadano debe poder estar tranquilo cuando suministra electrónicamente información para: • Contratar con el Estado• Cumplir obligaciones tributarias• Votar• Interactuar con el sistema de seguridad social• Durante el censo


personales

2424

Caja de Herramientas para la Protección de Datos Personales

2525

Rutina de Protección de Datos Personales

2626

InteroperabilidadInteroperabilidad organizacionalorganizacional: : fundamentofundamentoen en loslos principiosprincipios

2727

“Un consenso obviaría o reduciría las razones para regular la exportación de datos y facilitar la resolución de los problemas o conflictos de las leyes. Además, constituiría un primer paso hacia la elaboración de acuerdos internacionales vinculantes y más detallados.”

OCDE, Directrices que Regulan la Protección de la Privacidad y el

Fruto Transfronterizo de Datos Personales. 1980

Los Los principiosprincipios

•• 1. Principio de finalidad de los datos1. Principio de finalidad de los datos•• 2. Principio de proporcionalidad y 2. Principio de proporcionalidad y

suficiencia de los datossuficiencia de los datos•• 3. Principio de exactitud de los datos3. Principio de exactitud de los datos•• 4. Principio de conservaci4. Principio de conservacióón de los datosn de los datos•• 5. Principio de legitimaci5. Principio de legitimacióón para el n para el

tratamiento y consentimiento del tratamiento y consentimiento del interesadointeresado

2828

Los Los PrincipiosPrincipios•• 6. Principio de informaci6. Principio de informacióón y notificacin y notificacióónn•• 7. Principio de habeas data y participaci7. Principio de habeas data y participacióón n

individual: de acceso, rectificaciindividual: de acceso, rectificacióón y cancelacin y cancelacióón n de los datos. de los datos.

•• 8 Principio de T8 Principio de Téécnicas y Salvaguardas de cnicas y Salvaguardas de Seguridad y Confidencialidad Seguridad y Confidencialidad

•• 9. Principio de institucionalizaci9. Principio de institucionalizacióón de la n de la protecciproteccióón de datos personalesn de datos personales

•• 10. Principio de Responsabilidad y Sanciones10. Principio de Responsabilidad y Sanciones•• 11. Principio de salvaguardia equivalente en el 11. Principio de salvaguardia equivalente en el

flujo flujo transfronterizotransfronterizo de datos personalesde datos personales 2929

InteroperabilidadInteroperabilidad organizacionalorganizacional: : fundamentofundamentoen en loslos principiosprincipios

3030

ConclusionesConclusiones

3131

Suarez Beltran Suarez Beltran AbogadosAbogados ConsultoresConsultoresBogotBogotáá ColombiaColombia

Roberto Roberto LaguadoLaguado GiraldoGiraldo

3232

Intimidad personal e interoperabilidad: el reto de ... · – Alcance diferente del habeas data,...

Documents

Transcript of Intimidad personal e interoperabilidad: el reto de ... · – Alcance diferente del habeas data,...