LA PROTECCIÓN DEL DERECHO A LA INTIMIDAD EN EL...

DOCTRINA 99

LA PROTECCIÓN DEL DERECHO A LA INTIMIDAD EN ELTRATAMIENTO DE DATOS PERSONALES: EL CASO DEESPAÑA Y LA NUEVA LEGISLACIÓN LATINOAMERICANA*

ALEJANDRA CASTRO BONILLA

Costarricense. Abogada, Notaria Pública y escritora. Másteres en Literatura por la Universidad de Costa Rica, y en Derecho eInformática por la Universidad Complutense de Madrid. Especialista en Propiedad Intelectual (Ginebra, Suiza). Doctoranda enDerecho Constitucional de la Universidad Complutense de Madrid. Asesora Legal de la Universidad Estatal a Distancia de CostaRica y de las Editoriales Costa Rica y Santillana. Socia y Directora del Área de Propiedad Intelectual de Active-Lex. Ha publicadodiversos artículos en revistas analógicas y electrónicas, así como colaborado en publicaciones colectivas. Entre sus obras destacan:Desafío a la Quietud (Premio del CEULAJ de España, 1993), Loquita (Premio Anual de la EUCR, 1997), Tatuaje Giratorio. (PremioNacional Joven Creación, 1997), Hay milagros peores que la muerte ( 2001). Además de los premios indicados, ha sido tambiénfinalista de los Juegos Florales de Quetzaltenango, Guatemala y del Premio Internacional de Poesía Jaime Sabines, en México. En1995 obtuvo el Premio Víctor de la Facultad de Derecho de la Universidad de Costa Rica. Ha participado en diversos eventosinternacionales representando a Costa Rica, y ha impartido diversas conferencias en el campo del Derecho Informático y laPropiedad Intelectual en distintos centros administrativos y educativos.

I. INTRODUCCIÓN

El derecho fundamental a laintimidad ha adquirido nuevasdimensiones en la sociedad dela información. Muchos autoressostienen que es el mismoderecho y otros le han dadonuevas denominaciones en virtudde las características que lohacen di fer i r de lo quetradicionalmente entendíamoscomo int imidad en la eraanalógica1 . La tecnología hasido capaz de generar cambiostan dramát icos en la v idaeconómica, laboral y en la vidacotidiana actual, que es precisoredimensionar la protección afavor de ciertos derechos de losciudadanos, con el fin de que nose vean menoscabados ante lavulnerabil idad en la que se

encuentran a raíz de larevolución tecnológica.

El derecho a la intimidad comopilar fundamental de la proteccióna la individualidad de la personase ha visto vulnerado por eltrasiego indiscriminado de datosque sobrepasa las fronteras y lasoberanía de cada región,con una rapidez y facil idadsorprendentes.

Internet introdujo una modalidadde tratamiento invisible de losdatos2 que se ha acentuado através del comercio electrónico.Todos los días miles de ciudadanosproporcionan sus datos personales(identificatorios de la personalidady hasta crediticios) de formaexpresa o tácita a empresaspúblicas y privadas a través de

Internet. Eso provoca que lasempresas realicen ciertostratamientos de datos que no sonperceptibles al usuario, ya seaporque se presentan en principiocomo intrascendentes o bienporque se obtienen sin elconsentimiento del usuario o aexpensas de omisiones ilegítimas deinformación que afectan suautodeterminación informativa.

“Por todo ello las limitaciones a lostratamientos invisibles y la recogidade datos por los titulares desde laspáginas Web debe encontrarse en unsistema de protección de datospersonales adaptado a lascaracterísticas de los tratamientos y ala peculiar fisonomía de Internet. Estaadaptación se encuentra en elreconocimiento de deberes específicosen la fase de recogida de datos, enparticular el derecho a realizaropciones informadas, el derecho alanonimato y la seguridad en la red.”3

* Este texto fue publicado originalmente en la página web <http://www.alfa-redi.org/upload/revista>. La licenciada AlejandraCastro Bonilla ha otorgado a la Comisión de Derechos Humanos del Estado de México el permiso correspondiente parareproducirlo en este número del órgano informativo.

1 Se habla por tanto indistintamente de derecho informático, de Habeas Data, de libertad informática, de derecho de laautodeterminación informativa y del derecho de la intimidad informática o informatizada. No obstante, no corresponde en esteestudio ahondar en la naturaleza jurídica correcta de lo que ab initio considero efectivamente como un nuevo derechofundamental. Para ello, aunque no comparta todas sus reflexiones, recomiendo la lectura del Dr. RIASCOS GÓMEZ, LibardoOrlando. La visión iusinformática del derecho a la intimidad, no es un nuevo derecho fundamental. En http://www.informaticajuridica-com/trabajos.asp?trabajo=ponencia.html

2 Por ocultarse los mismos al usuario, como por ejemplo los datos de conexión, los que identifican el IP (dirección personal dela computadora o protocolo de Internet).

3 CORRIPIO GIL-DELGADO, María de los Reyes. Regulación Jurídica de los tratamientos de datos personales realizados porel sector privado en Internet. Agencia de Protección de Datos, Madrid, 2001, p.175.

C O D H E M

SEPTIEMBRE / OCTUBRE 2002

100

Ante esta situación, si bien desdela década de los setenta distintosEstados han optado por establecerciertas regulaciones genéricas enel seno de sus legislaciones, locierto es que dichas iniciativasautónomas han resultadoinsuficientes ante el evidentedominio universal de latecnología.

Lejos de que se estén generandoacuerdos universales coincidentesa nivel jurídico, la tendencia hasido establecer pautas de underecho mínimo regional para quecada Estado estipule regulacionesinternas que coincidan con esavoluntad común de una zonageográfica a la que estépolíticamente adscrito.

Por lo pronto, debemos evaluar losavances individuales en laregularización del fenómeno de lanueva sociedad de la informacióncon respecto a la protección de laintimidad en el tratamientoautomatizado de datos, por ser latendencia que hoy en día imperaante el fracaso de establecerpolíticas universales coincidentes.

Específicamente abordaremos lanormativa imperante al respecto enEuropa, como región pionera dela protección de la intimidad en eltratamiento de datos personales yla inclusión del Recurso de HabeasData, haciendo especial menciónal caso español, cuyo desarrollolegislativo evidencia un interéscreciente en actualizar la ley antelas exigencias del mundotecnológico. Finalmente veremos laadopción particular del Recurso deHabeas Data en la experiencialatinoamericana, por aportar estaregión una nueva perspectiva en

protección de la intimidad por eltrasiego de los datos personales enel mundo informático.

Valga adelantar ahora que si bienen Latinoamérica la tendencia hasido regular el recurso de HabeasData, prescindiendo de laaprobación de normativa específicasobre el tratamiento de datospersonales en ficheros manuales oautomatizados, las regulacionestienden a basarse en el Convenio108 Europeo, sobre el cualharemos un análisis crítico preciso,por poseer tal importancia denorma base (aunque genérica ycon contenidos mínimos).

II. ANTECEDENTES

El derecho a la intimidad es underecho reciente cuyo origen seremonta al conocido artículo TheRight to Privacy de S. Warren y L.Brandeis4 , en donde exponían lainquietud sobre la necesidad de queel derecho a la intimidad o losacontecimientos de la vida privadade un individuo recibiesen unaprotección adecuada frente a lainjerencia de los medios decomunicación. En ese momento,los juristas se refirieron a underecho de exclusión (the right tobe let alone) como una reafirmaciónde la intimidad y la individualidad.

Con la era de la información,efectivamente esa privacidad se vedebilitada, tal como lo afirmaEmilio Suñé Llinás en su obraTratado de Derecho Informático:

Al entrar en la era de la informática,cosa que sucederá inmediatamentedespués de la Segunda GuerraMundial, el ser humano se vuelve másy más de cristal, a partir del tratamientomasivo de los más diversos datos de

las múltiples acciones de su vidacotidiana, que son susceptibles dequedar, y de hecho quedan,registrados en un ordenador.5

La sociedad de la información hapuesto de manifiesto lavulnerabilidad de la vida privadadel individuo de manera que en laactualidad la tecnología haproducido dos nuevas mercancías:los perfiles individuales y loscolectivos de los usuarios,situación a la que alude MaríaLuisa Fernández Esteban en su obraNuevas Tecnologías, Internet yDerechos Fundamentales. DiceFernández lo siguiente:

Los medios de comunicacióninteractivos modifican también lacapacidad de recogida de datos,instituyendo una comunicaciónelectrónica continua y directa entrelos gestores de los servicios y losusuarios. Por tanto, no solo es posibleun control más directo de loscomportamientos de los usuarios, sinotambién un conocimiento másestrecho de sus costumbres,inclinaciones, intereses y gustos.6

Ese control virtual que se ejercesobre la vida íntima de los usuariosdebe tener una regulación que hainiciado ya en diversas geografíasdesde la segunda mitad del siglopasado, basado en un derecho dela tercera generación que muchosdenominan ya como libertadinformática, sin que –comoanotamos al inicio- exista unaintersubjetividad entre los juristascon respecto a la naturalezajurídica autónoma de este derecho,como un derecho novedoso ocomo concreción histórica de underecho antiguo.

En el Consejo de Europa en 1967se conformó una ComisiónConsultiva de expertos para

4 WARREN, Samuel y Louis Brandes. El derecho a la intimidad. Editorial Civitas, Madrid, 1995. Publicado originalmente en 1890bajo el título The Rigth to Privacy, en la “Harvard Law Review” No. 5.

5 SUÑÉ LLINAS, Emilio. Tratado de Derecho Informático. Volumen 1, Universidad Complutense de Madrid, Madrid, 2000, p. 36.6 FERNÁNDEZ ESTEBAN, María Luisa. Nuevas tecnologías, Internet y Derechos Fundamentales. Mc Graw-Hill Interamericana

de España, Madrid, 1998, p.139.

DOCTRINA 101

analizar el impacto de las nuevastecnologías de la informaciónsobre los derechos de losciudadanos. Un año después seemitiría la Resolución 509 de 1968en la Asamblea “sobre losderechos humanos y los nuevoslogros científicos y técnicos” quesi bien no hace alusión explícitaa la protección de datos comotal, sí revela la necesidad deestablecer mecanismos deprotección tanto sobre la vidaprivada de las personascomo sobre otros derechosfundamentales que podríanafectarse con la aparición de lasnuevas tecnologías.

“El mérito inicial correspondió a unEstado integrado en la antiguaRepública Federal de Alemania, elLand alemán de Hesse, que tuvosu ley en 19707 . El primer Estadopropiamente soberano que dispusode las que abreviadamente sedenominan Leyes de Protección deDatos fue Suecia, que promulgo lasuya en 1973 (...)”8 .

Otro antecedente podría ser el FairCredit Reporting Act del 26 deoctubre de 1970 en el que -si bienno se hace mención a archivosautomatizados- sí se intenta unaprimera regularización deltratamiento genérico de los datospersonales del individuo comonorma de origen del Privacy Actdel 31 de diciembre de 1974;ambos en Estados Unidos deNorteamérica.

A partir de entonces múltiplespaíses de la Comunidad Europea

dieron sus iniciativas para lalegalización y control del manejoprivado y público de los datospersonales de sus ciudadanos através de Internet y otros medios decomunicación; considerando laevidente desventaja de poder quetiene el usuario en relación con elproveedor de servicios. Los paísesamericanos y demás naciones envías de desarrollo, sin embargo, sehan quedado rezagados en esacarrera del derecho comparado yaún del derecho internacional,pues con algunas salvedades existeuna desregularización total en laprotección de los datos personalespara el resguardo del derecho a laintimidad. La gran influencia deEstados Unidos quien incluso aprincipios de los noventa intentadetener la aprobación de una leyal respecto en Argentina, se hahecho sentir en la región, por laamenaza anunciada de unmenoscabo en las inversiones. Lagran nación del norte consideraque regular el avance de lasautopistas de la informacióndeviene en un menoscabo aldesarrollo industrial y económico,lo que coincide con su legislacióny política economicista9 .

Europa ha entendido la necesidadde prevalecer el derecho a laintimidad sobre la libertad decomercio y constitucionalmente yase ha consagrado tal protección endiversas naciones. Tal es elcaso de la pionera ConstituciónPortuguesa de 197610 , la austríacade 1978 y especialmente laEspañola cuyo artículo 18.4dice:

La ley limitará el uso de la informáticapara garantizar el honor y la intimidadpersonal y familiar de los ciudadanosy el pleno ejercicio de susderechos.11

Junto a esa norma, también laConstitución Española posee otrareferencia legal muy relacionada aeste tema, y consagrada en elartículo 105.b CE que dice:

El acceso de los ciudadanos a losarchivos y registros administrativos,salvo en lo que afecte a la seguridady defensa del Estado, la averiguaciónde los delitos y la intimidad de laspersonas.

Sobre estos artículosconstitucionales, asegura el Dr.Riascos lo siguiente:

“Las fuentes normativasconstitucionales de la relación-tensión; informática e intimidad,se hallan previstas en el art. 18.4 yel art. 105-b, pues mientras en elprimero se impide el uti nomabusi de la informática frente alos derechos fundamentales y seasegura el uso pluralista delas nuevas tecnologías de lainformación y la comunicación(TIC), el art. 105-b, permiteel acceso de los ciudadanosa archivos y regis trosadministrativos, salvo en lo queafecte a la seguridad y defensadel Estado, la averiguación delos delitos y la intimidad de laspersonas. Vale decir, el ejercicio deuno de las más emblemáticasfacul tades estructurales delderecho de habeas data: elacceso a la in formac ión alos bancos de datos o

7 La fecha exacta de promulgación de la Ley de Hesse fue el 7 de octubre de 1970.8 SUÑÉ LLINAS, Emilio. Tratado de Derecho Informático. Volumen 1, Universidad Complutense de Madrid, Madrid, 2000, p. 37.9 Recordemos por ejemplo la diferencia de la concepción comercialista del Copyright en comparación con la concepción

humanista (o centrada en los derechos morales del autor) del Droit d´auteur de la doctrina francesa que han asumido la UniónEuropea y los países de tradición latina.

10 El artículo 35 regula la protección de datos personales en los registros informáticos, con miras a resguardar la intimidad de losciudadanos.

11 Constitución Política Española, art. 18.4.

C O D H E M


102

f icheros (manuales oinformatizados). “12

Diversos Estados soberanos hanemitido sus leyes para laprotección de datos personales,previas al Convenio 108. Tal es elcaso de la Ley Sueca del 11 demayo de 1973 sobre archivosautomatizados13 , la ley alemanadel 27 de enero de 197714 , la leyfrancesa del 6 de enero de 1978,la ley noruega del 9 de junio de1978, la ley danesa del 8 de juniode 1978, la ley austriaca del 18 deoctubre de 1978 y la de Luxemburgodel 31 de marzo de 1979.

Dentro del Consejo de Europa lasacciones para fijar una legislaciónuniversal en la materia iniciaronincluso antes de la Ley de Hessede 1970. Precisamente en 1964 seinstauró el Comité de CooperaciónJurídica del Comité de Ministrosque dos años después incluyen lainquietud sobre la protección de laintimidad frente a las nuevastecnologías, en la Recomendación509 conocida por la Asamblea.

A partir de esas observaciones seacuerda nombrar un Comité deExpertos en el seno del ComitéEuropeo de Protección Jurídica queluego de varias discusionesdecidieron iniciar un proyecto deConvenio Internacional, ante laevidente promulgación aislada deleyes que intentaban la protecciónde la intimidad.

En 1973 se aprueba en el Consejode Ministros la RecomendaciónNo. 22 sobre protección de laintimidad de los datos en el sector

privado, y en 1974 larecomendación No. 29 referidaal sector público. Esasrecomendaciones son losantecedentes para que en 1976 elConsejo de Europa encomendaraal Comité de Expertos (a través delConsejo de Ministros) laelaboración de un proyecto deConvenio de la región para laprotección de datos, que fue abiertoa la firma de los Estados enEstrasburgo, el 28 de enero de1981.

Es importante indicar que lasdiscusiones en algún momentogeneraron la duda de si era o noconveniente realizar un convenioindividual que pretendiera laprotección de datos o si por elcontrario hubiese sido mejorenmendar los alcances del artículo8 del Convenio Europeo para laProtección de los Derechos y de lasLibertades Fundamentales(Convenio de Roma del 4 denoviembre de 1950)15 a través deuna reforma de la norma, unprotocolo adicional u otroinstrumento legal que dependiesedel Convenio de Roma. De talforma, rescato el antecedente delartículo 8 de ese cuerpo legal comoun punto de referencia delConvenio 108, que finalmentefue aprobado como textoindependiente, dada laimportancia de la materia.

El Convenio para la protección delas personas respecto altratamiento automatizado de datosde carácter personal, conocidocomo el CONVENIO 108, fuefirmado por Alemania, Francia,

Noruega, Suecia y España, que alconformar las 5 adhesionesmínimas, permitieron la vigenciadel texto. España ratifica elConvenio en 1984 y es leypublicada por el Boletín Oficial delEstado (BOE) del 15 de noviembrede 1985.

Antes de proceder al análisis delconvenio es importante hacer notarque durante su proceso deaprobación y ratificación, elTribunal Constitucional alemánemitió su famosa sentencia del 15de diciembre de 1983 sobre la Leydel Censo16 , cuya traducción fuepublicada en España en el Boletínde Jurisprudencia ConstitucionalNo. 33, 1984, páginas 126 ysiguientes. En dicha resolución, elTribunal Alemán utiliza el términodel derecho a la autodeterminacióninformativa, haciendo alusión alderecho de la protección de laintimidad frente a las nuevastecnologías de la información, olo que se ha conocido en doctrinacomo libertad informativa oderecho informático que le permiteal individuo tener potestades einjerencia en el manejo queentidades públicas y privadashagan sobre sus datos personales.Este precedente jurisprudencialseñala que el interesado posee laautodeterminación informativacomo una facultad para elresguardo del derecho a laintimidad, haciendo especialhincapié en la necesidad de evitarla elaboración de un perfil de lapersona a partir de la interacciónde archivos que resguardandistintos datos personales delindividuo.

12 RIASCOS GÓMEZ, Libardo Orlando. La visión iusinformática del derecho a la intimidad, no es un nuevo derecho fundamental.En http://www.informatica-juridica.com/trabajos.asp?trabajo=ponencia.html

13 Esta ley es conocida como “Data Lag”, que protege a los individuos del uso de la informática en la manipulación de sus datos.14 Recordemos sin embargo el antecedente de la “Datenshutz” del 7 de abril de 1970 del Estado alemán de Hesse que es el origen

de la Datenshutz Federal.15 Igualmente, recordemos que el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, consagra también

la protección de datos de carácter personal.16 Esta sentencia del Tribunal Constitucional Federal (Bundesverfassungsgericht) declara parcialmente con lugar el alegato de

disconformidad de La Ley de Censo de Población del 4 de marzo de 1982 (Volkszählungsgesetz) con la Grundgesetz.

DOCTRINA 103

Por tanto, desde la obra de Warreny Brandeis, el concepto de derechoa la intimidad ha sufrido unaimportante variante, puesevoluciona de ser un simplederecho de exclusión en el que elindividuo reafirmaba su derecho ala privacidad o “derecho a estarsolo” para adquirir una nuevadimensión como derechofacultativo que le permite ejerceracciones en defensa de su vidaprivada. Precisamente, en la obrade Warren y Brandeis, se exalta laposibilidad que ostenta el individuoen el common law de ejerceracciones indemnizatorias a favorde su derecho a la intimidad o lavida privada. La propuesta deambos juristas era resaltar laposibilidad del individuo de ejerceracciones legales para la defensade un derecho personal en razónde un derecho de “reparación”sobre las violaciones que sufrieraun sujeto sobre su intimidad.

En España se ha venidoasumiendo esa misma dimensióndel derecho a la intimidad. Porejemplo -y aún bajo la influenciade la terminología alemana- el Dr.Pablo Lucas Murillo de la Cuevapublica en 1990 su libro El Derechoa la Autodeterminación Informativaen el que, entre otras cosas ycitando a la Privacy ProtectionStudy Commission creada enEstados Unidos en 1974, señalalos cambios surgidos en torno a lareciente noción del derecho a laintimidad ante el uso de las nuevastecnologías. Como resumen delámbito de protección que exige elnuevo bien jurídico que implica talderecho, Lucas Murillo alega quetodo Estado democrático debeprever:

1. El reconocimiento a cada individuodel derecho de acceder a lainformación personal que le afecte,especialmente a la existente en losbancos de datos informatizados.

2. El reconocimiento a cada individuodel derecho a controlar, de formarazonable, la transmisión de lainformación personal que le afecte.

3. Para garantizar el derecho a laintimidad individual, las leyes debenregular: a) la limitación del periodode tiempo durante el que se puedenconservar los datos personales; b) ladefinición de los objetivos para losque puede usarse dicha información,que, además, han de declararse almomento de iniciar la recogida dedatos; c) garantías para hacer efectivala calidad de los datos personales, esdecir, su veracidad, integridad yactualidad; d)la prohibición de larevelación de datos personales.17

Lucas Murillo advertía entonces delpredominio doctrinal de unanoción preinformática del derechoa la intimidad, en virtud de la cualeran pocas las definiciones quereivindicaban como contenido delderecho a la intimidad el deacceder y controlar, además de lasinformaciones personales o queafecten al interesado, tambiénaquellas que sean extrañas a suesfera individual o inclusoanónimas, pues en determinadoscontextos o ante cruce de datos deotra índole pueden generar perfilesque sí los conviertan en datosespecialmente protegidos.18

Quizás como adelanto de lo quehoy día conocemos como derechoa poseer la intimidad como unpoder y una facultad, valga citarla sentencia 134/1999 emitida porel Tribunal Constitucional deEspaña que dice:

El derecho a la intimidad garantizaal individuo un poder jurídico sobre

la información relativa a una personao a su familia, pudiendo imponer aterceros, sean estos simplesparticulares o poderes públicos, suvoluntad de no dar a conocer dichainformación, o prohibiendo sudifusión no consentida.19

Más reciente, aún podemos citarla sentencia 292/2000 del 30 denoviembre de 2000 del TribunalConstitucional español quepretende diferenciar la intimidad dela libertad informática como unintento jurisprudencial de empezara construir los conceptos quedefinirán la protección de los datospersonales a nivel constitucional.Esta sentencia, sin embargo, enlugar de reconocer aquella nuevadimensión de la intimidad como unpoder por parte del individuo deejercer control sobre sus datos,escinde (a mi juicio de formaprecipitada) el derechofundamental de la intimidad delderecho fundamental a laprotección de datos, indicando queambos derechos poseen distintasfunciones. La sentencia cita:

La función del derecho fundamentala la intimidad del art.18.1 CE es lade proteger frente a cualquier invasiónque pueda realizarse en aquel ámbitode la vida personal y familiar que lapersona desea excluir delconocimiento ajeno y de lasintromisiones de terceros en contra desu voluntad (...) En cambio, el derechofundamental a la protección de datospersigue garantizar a esa persona unpoder de control sobre sus datospersonales, sobre su uso y destino, conel propósito de impedir su tráficoilícito y lesivo para la dignidad yderecho del afectado.20

Existen, sin embargo, muchas otrassentencias en las que los Tribunaleshan acogido la interpretación delartículo 18.4 de la Constitución

17 LUCAS MURILLO, Pablo. Derecho a la autodeterminación informativa. Editorial Tecnos, Madrid, 1990, p. 116.18 Ver en este sentido, LUCAS MURILLO, Pablo. Derecho a la autodeterminación informativa. Editorial Tecnos, Madrid, 1990,

p. 98.19 Sentencia del Tribunal Constitucional español, No. 134/1999 del 15 de julio de 1999.20 Sentencia del Tribunal Constitucional español, No. 292/2000 de 30 de noviembre de 2000.

C O D H E M


104

Política Española que define alderecho a la intimidad tanto comouna defensa de la individualidad(según la teoría del derecho a estarsolo) como en su componente dederecho facultativo en virtud delcual el individuo está en el plenoejercicio de defensa de suintimidad, pudiendo exigir accionesa entes públicos y privados para elcontrol de la vida privada (poderde disposición y control sobre losdatos personales).

A esta nueva tendencia deconcebir un derecho activo, se ledenomina Habeas Data aunque lacorrecta acepción sería laautodeterminación informativa.Precisamente, el Habeas Data esun recurso procesal para defenderel derecho a la intimidad como uninstrumento del individuo de controly disposición de sus datospersonales. El Habeas Dataconsistente en el instrumento degarantía que poseen losciudadanos para el acceso a todoslos bancos de datos que contenganinformación que afecte su vidaprivada siendo la finalidad de talderecho, la protección contracualquier ataque a la esfera de laintimidad. El Habeas Data amparael derecho del ciudadano a exigirla exhibición o eliminación públicade sus datos, de conformidad conlos ajustes normativos regionales,mediante un instrumento procesalque emula al Habeas Corpuscomo defensa de un derechofundamental (ya no la libertad o lavida sino la intimidad personal).

Esta noción la recoge el TribunalConstitucional de España en lasentencia 11/1981 en la quesostuvo lo siguiente:

La libertad informática reconocidapor el artículo 18.4 de laConstitución, ya no es la libertad denegar información sobre los propioshechos privados o datos personales,sino la libertad de controlar el uso deesos mismos datos insertos en unprograma informático: lo que seconoce con el nombre de HabeasData.

La reciente doctrina también hahecho grandes aportes paraentender la naturaleza del derechoque se pretende proteger en estasnuevas directrices legales queemergen con la tecnología. Porejemplo, debemos aclarar que elHabeas Data es en sí un recursojudicial y no una mera definicióndoctrinal, como pudiera serlo lafacultad de la autodeterminacióninformativa21 . En el mismo sentido,el Habeas Data (que significa ensu literalidad “tener los datos”) noprotege en sí los datos de losindividuos, sino que protege elderecho a ejercer la defensa de laintimidad ante la manipulaciónindebida de tales datos. MiguelAngel Davara formula la siguienteaclaración:

La doctrina utiliza la expresiónprotección de datos para referirse a laprotección jurídica de las personas enlo que concierne al tratamientoautomatizado de sus datos personales.[...] En este mismo sentido, nosotrosentendemos por protección de datos‘el amparo debido a los ciudadanoscontra la posible utilización porterceros, en forma no autorizada, desus datos personales susceptibles detratamiento automatizado, para, deesta forma, confeccionar unainformación que, identificable con él,afecte a su entorno personal, social oprofesional, en los limites de suintimidad’.22

Efectivamente, el objeto no esproteger las bases de datos ni los

ficheros, sino que se pretende laprotección de la intimidad de lapersona en el manejo que se hacede sus datos personales, a travésde esos ficheros automatizados ono. Si bien se habla de “protecciónde datos”, debe interpretarse no enel sentido literal, sino en el valorintrínseco de la expresión, cuyaintención es la protección de laintimidad que el uso de esos datosimplica.

Aclarado lo anterior, procedamosentonces a estudiar los diferentesinstrumentos internacionales queamparan la protección de datospersonales y la nueva concepcióndel derecho a la intimidad,retomando el Habeas Data comola garantía procesal para laprotección de la intimidad.

III. ANÁLISIS DEL CONVENIO 108 DELCONSEJO DE EUROPA DE 1981

El Convenio 108 del Consejo deEuropa está compuesto de 27artículos, cuya redacción denotaen el legislador una intención deestablecer un marco jurídico amplioy permisivo para los Estados Parteen cuanto a la protección de laintimidad.

El objeto del Convenio según seindica en su artículo primero esgarantizar en el territorio de cadaEstado Parte, el respeto a todas laspersonas de sus derechos ylibertades fundamentales,concretamente del derecho a lavida privada con respecto altratamiento automatizado de datospersonales.

Es importante hacer notar que elConvenio en su traducción oficial

21 La libertad informática reconocida como un derecho fundamental perteneciente a los derechos de la tercera generación, esen esta materia la facultad del individuo de autodeterminación informativa, entendida como el derecho de ejercer accionescontra el ilegítimo procesamiento automatizado (o manual) de los datos de carácter personal e implica el correlativo deberde terceros de respetar su intimidad en la manipulación legítima de esos datos.

22 DAVARA, Miguel Angel. Manual de Derecho Informático. Editorial Aranzadi, Madrid, 1997,p. 47.

DOCTRINA 105

utiliza el término “vida privada”como anglicismo derivado de laobra de Warren y Brandeis, a partirde la cual se empieza a hablar endoctrina de “privacy”, e intentaestablecer la protección genéricade lo que denominan “vidaprivada” cuyo contenido es elderecho a la intimidad. Noobstante, ante la doctrinaimperante, la Directiva 95/96 dela Unión Europea retoma el términoque mejor se ajusta a nuestralengua: el de intimidad.

Una segunda observación derivadade esa norma inicial, estriba en elhecho de que el objeto delConvenio pareciera serexclusivamente los archivosautomatizados de datos, quedandoexcluidos los archivos manuales.

Pese a lo anterior, sin mucho éxitoen la redacción de este cuerponormativo, en el artículo 3.2.c, seobliga a los Estados Parte adeclarar si aplicarán el Convenioa ficheros no objeto de tratamientoautomatizado. Esta tendencia deapertura del Convenio, resultalógica como una propuesta deregulación inicial en la materia,pero insuficiente para la protecciónefectiva de la intimidad delindividuo en el manejo genérico detodo tipo de ficheros seanautomatizados o manuales.

El Convenio también despliegauna serie de definiciones amplias,que en lo que interesan definen aldato de carácter personal de formatan abierta que resulta incluidocomo dato de esta índole cualquierinformación sensible o no, quetenga que ver con la persona. Todainformación o referencia a la vidaprivada y eventualmente hasta lavida pública del individuo, seráentonces susceptible de serprotegida por dicho convenio. Estacircunstancia vista de forma aisladapareciera excesiva, pero sin

embargo resulta razonable sievaluamos la vulnerabilidad delindividuo ante la posibilidad deque se elabore un perfil de supersonalidad con diversos datos dedistintas fuentes que detallenaspectos de su vida. Ante estasituación facilitada por lainformática, efectivamente tododato de la vida cotidiana resultaríaun dato susceptible de protección.

El artículo 2.b deja a discreción decada Estado Parte fijar comoautoridad controladora de losficheros que administran datospersonales, ya sea a autoridadespublicas o privadas. El problemade esta norma es que no imponemecanismos estatales de controlsobre los entes privados, ni en elámbito legal ni deontológico,dejando al individuo en clarainseguridad ante el administradorde los ficheros; punto que veremos,será corregido en la respectivaDirectiva.

Con respecto a la aplicación delConvenio, el artículo 3 señala querige para ficheros del sector públicoy del sector privado. Como unaconcesión peculiar, el Convenioconcede que cada Estado partepueda en el momento de suadhesión o ratificación e inclusodurante una vigencia ulterior,proporcionar una lista de losficheros a los que no aplicará elConvenio, siempre que sobre esosficheros no recayese una legislacióninterna distinta de protección dedatos.

Esta potestad evidentemente leotorga a los Estados en sucondición de entes públicos, ciertasprerrogativas de manejo y controlde sus ficheros, con respecto a losficheros del sector privado. Ademásdeja un margen abierto para quela aplicación del Convenio encada Estado Parte seaheterogénea, alejándose de la

intención inicial del Consejo deEuropa de establecer pautasgenéricas para la homologaciónde un régimen jurídico regional yefectivo.

El Convenio también dedica uncapítulo a lo que denominanprincipios, pero que en realidad serefiere a los deberes a los que seobligan las partes (Capítulo II).Dentro de estos deberes se incluyenlos siguientes:

1) El Compromiso que debenasumir los Estados parte de adoptarlas medidas necesarias para quela protección de datos sea efectiva(art. 4)

2) Mantener la calidad de los datos(art. 5). Esa calidad se refiereespecíficamente a que los datos decarácter personal sean archivadosbajo las siguientes condiciones:

a. Que se obtengan y traten porlos medios legales idóneos

b. Que se registren para finesdeterminados y legítimos

c. Que sean adecuados, pertinentesy precisos, procurando evitarque sean excesivos

d. Que sean exactos y actualizados

e. Que se conserven por un tiempoprudencial de conformidadcon el fin para el que fueronrecabados.

3) Se prohíben las categoríasparticulares de datos (conocidoscomo sensibles) que puedandeterminar la raza, la afinidadpolítica, la preferencia sexual, lascondiciones de salud, la religión,las condenas penales u opinionesparticulares de los individuos engeneral. (art. 6) Este artículo,precisamente, coincide con lapreocupación externada por el

C O D H E M


106

Tribunal Constitucional alemán ensu famosa resolución sobrela Ley de Censo de Población(Volkszählungsgesetz), en lo querespecta a evitar la elaboración deun perfil personal, cuandoseñalaba:

(...) es ilícito, en efecto, incluso en elanonimato de las encuestasestadísticas, todo registro ycatalogación omnicomprensiva de lapersonalidad, mediante reunión dedatos singulares sobre el modo de viday la persona, para componer así unperfil de la personalidad delciudadano.23

4) El Convenio también dentro desus principios/deberes exige a losEstados Parte la adopción demedidas de seguridad contra ladestrucción accidental o noautorizada, perdida, acceso,modificación o difusión ilegítima delos datos contenidos en los ficheros.(Art. 7)

5) Señala también un deber deprotección o principio de garantíareal a los ciudadanos sobre lossiguientes aspectos (art. 8):

a. Que los ciudadanos seancapaces de conocer la existenciade un fichero, sus fines,ubicación y autoridad que locontrola.

b. Que el interesado directo puedatener la información suficientesobre la totalidad y característicasde los ficheros que guardan susdatos personales.

c. Que puedan rectificar e inclusoordenar borrar los datos cuyacustodia implique una violaciónal derecho interno o a losprincipios señalados por elConvenio.

d. Que puedan recurrir a laautoridad que no atienda suspeticiones.

6) Finalmente, el Convenio exigea los Estados Parte el imponersanciones y recursos contracualquier incumplimiento (art. 10).Sin embargo, nos encontramosnuevamente ante una normagenérica que exige la adopción delegislación interna en cada EstadoParte, que permita ejecutar talessanciones y delimitar los recursoscon el fin de no hacer ilusoria lapretensión de efectividad de losalcances del Convenio.

El Convenio 108 también señalalas excepciones y restricciones deaplicación de dicho cuerponormativo. Básicamente indica lasdos siguientes:

1) Se prohíben restricciones a losdeberes o principios citados, salvoque sea por la aplicación de unamedida necesaria en un EstadoDemocrático, específicamente parala protección de la seguridad delEstado o la represión deinfracciones penales (art. 9.2)

2) Es flexible en lo que respecta ala amplitud que pueden tener losficheros estadísticos o deinvestigación científica, siempre queno atenten contra la vida privadade las personas. Sin embargo, elConvenio omite la redacción de unlimite a esos ficheros, como podríaser implementar la anonimidad.

En lo que respecta a flujostransfronterizos de datos, previendoun uso abusivo de la prerrogativade un Estado de negarse a latransmisión de datos fuera de sujurisdicción, el Convenio 108 ensu artículo 12 señala que un Estado

no puede, bajo el pretexto deproteger la vida privada, prohibiro someter a una autorizaciónespecial el flujo de datos condestino a otro Estado Parte, salvoen los siguientes dos casos:

1) Si su derecho interno prevéreglamentación especifica paradeterminadas categorías de datos,salvo si el otro Estado establece unaprotección equivalente.

2) Si los datos se destinan a unEstado no parte por medio delEstado parte.

El problema que surge ante estaredacción es quién determina laexistencia de normativa equivalenteo de protección suficiente acordecon el Estado que expide la basede datos correspondiente, lo cualpodría generar conflictos decompetencia y jurisdicción. Talcompetencia recaería en la entidad(agencia de protección de datos)del país que expide la información,pero el fondo de su intervenciónconsiste en evaluar las normas deun tercer Estado, situación quebien podría generar ciertos rocesde competencia.

El Convenio igualmente dedica unapartado a lo que denominanAyuda Mutua, que es en sí elprincipio de reciprocidad (art. 13).Para hacer cumplir tal máxima derelación entre los Estados, se lesexigen las siguientes acciones:

1) Cooperación en la designaciónde una autoridad cuya función serácomunicar al Secretario Generaldel Consejo de Europa lo atinentea la ejecución del Convenio.

2) Asistencia recíproca que setraduce en dos obligaciones:

23 Boletín Judicial Constitucional No. 33, p.159.

DOCTRINA 107

a. Que cada Estado proteja apersonas con residencia en elextranjero para que se lesaplique el derecho interno desu país en materia deprotección de datos decarácter personal.

b. Si el interesado reside en otroEstado Parte, éste le facilitara lasacciones ante la autoridad delotro Estado en defensa de susderechos.

La asistencia a otro Estado partesolo podrá negarse bajo trescircunstancias:

a. Que la petición sea incompatiblecon las competencias en materiade protección de datos.

b. Que la petición no coincida conlas disposiciones del Convenio.

c. Que atender a la peticiónimplique violentar la soberaníao el orden publico del Estado aquien se le solicita la actuacióno esté en contra de los derechosy libertades fundamentales delas personas bajo la jurisdicciónde dicho Estado.

El texto legal en cuestión tambiénprocura evitar que se lucre con latramitación de la defensa delindividuo a su derecho a la vidaprivada en materia de protecciónde archivos que resguardan datosde carácter personal, indicandoque los costos serán únicamentepor los trámites y traducciones quese requieran; situación quecoincide con el principio degratuidad de las gestiones ante laAdministración Pública.

Se constituye mediante el Convenio(art. 20) un nuevo órganodenominado Comité Consultivoque tendrá un representante y unsuplente por cada Estado Parte ylos observadores que se

recomienden de cada Estado noparte del mismo.

Las funciones del ComitéConsultivo, básicamente seresumen en las siguientes:

• Emitir propuestas de mejora oenmienda del Convenio.

• Emitir criterio sobre la aplicacióno las reformas del convenio.

• Reunirse cada dos años ocuando 1/3 de sus miembros losolicite.

• Someter sus memorias al Comitéde Ministros del Consejo deEuropa.

Las enmiendas al Convenio sonpropuestas tanto por el ComitéConsultivo como por el Comité deMinistros del Consejo de Europa.Este último debe aprobar esasenmiendas antes de someterlas alos Estados Parte para suaceptación.

Prosiguiendo con la apertura dedicho texto, se avala laparticipación de Estados nomiembros del Consejo de Europa,posiblemente bajo la conciencia deque el manejo de datos personalesa través de los nuevos medios decomunicación de la sociedad dela información, son incontrolablesy se trasiegan en el ámbitouniversal. No obstante, esaadhesión de Estados no miembrosdebe venir precedida de unainvitación expresa del Comité deMinistros del Consejo de Europa(art. 23), por lo que la norma llevaimplícito un procedimiento que nose indica, pero que se presume quedeberá mediar solicitud del Estadointeresado en la adhesión ante elComité de Ministros. En efecto, elConvenio 108 no se aprobé conel carácter de “ConvenioEuropeo”, por lo que cualquier otro

país ajeno a Europa podrá solicitarla adhesión.

Si bien el ánimo del texto fueincorporar a todos los países fuerade la Unión Europea queestuviesen interesados en acogersea las políticas de protección dedatos, el texto no concede una seriede prerrogativas a esos Estadosexternos que les permitiesenparticipar en igualdad decondiciones. Por ejemplo, teniendoen consideración el amplio poderque posee el Consejo de Ministros(incluso para el aval de reformaso enmiendas del texto), debiópreverse una participación real yequitativa de los Estados externosa la Unión que no estuviese sujetaa las decisiones del órganocontinental. Sin embargo, paraello, considero que una iniciativatan loable como la que propone elConvenio 108 debería ser discutidaen el seno de un organismointernacional de mayorrepresentación, tal como la ONU,en el entendido de que también laestructura de poder de dichoórgano debe ser revisada para quepermita una democraciaparticipativa de todos los Estados,incluso aquellos en vías dedesarrollo. No obstante lo anterior,no me detendré en este análisis,por ser objeto de otro estudioparticular, pero basta con indicarque como iniciativa regional elConvenio tiene logros importantesque deben ser retomados para untratado internacional universal quehaga efectiva su aplicación en lanueva sociedad de la información.

Considerando que el Conveniopretende otorgar pautas mínimaspara que sean acatadas por todoslos Estados parte obligados a laemisión de normativa específica deejecución, no se permiten lasreservas al Convenio. Sin embargoes de recordar que en estrictosentido legal la tolerancia de que

C O D H E M


108

cada Estado pueda emitir una listade los ficheros a los que no lesaplica el Convenio, es un sí mismauna reserva legal cuya pertinenciadebe considerarse para unaulterior revisión del texto jurídico.

El Convenio 108 fue aplicado enuna resolución del TribunalConstitucional Español, en la quese definió el contenido mínimo delderecho que este cuerpo normativopretende proteger. En esaoportunidad dijo el Tribunal losiguiente:

Un primer elemento, el más elementalde ese contenido, es, sin duda,negativo, respondiendo al enunciadoliteral del derecho: El uso de lainformática encuentra un limite en elrespeto al honor y la intimidad de laspersonas y en el pleno ejercicio de susderechos. Ahora bien, la efectividadde ese derecho puede requeririnexcusablemente de alguna garantíacomplementaria, y es aquí dondepueden venir en auxilio interpretativolos tratados y conveniosinternacionales sobre esta materiasuscritos por España, pues, comoseñala el Ministerio Fiscal, la garantíade la intimidad adopta hoy uncontenido positivo en forma dederecho de control sobre los datosrelativos a la propia persona. Lallamada libertad informática es, así,también, derecho a controlar el usode los mismos datos insertos en unprograma informático (HabeasData).24

Esta sentencia constituye unantecedente jurisprudencial de vitalimportancia para la ulterioraplicación e interpretación delconvenio, cuyo espírituefectivamente pretende proteger elderecho a la intimidad como unnuevo derecho fundamental tantode defensa de la individualidadcomo en su contenido de facultadde acción que posee el individuopara la salvaguarda de su vidaprivada. La sentencia le otorga alderecho a la intimidad un

contenido de corte positivo puesotorga al ciudadano una facultadde acción y control de sus datospersonales. El convenio,además, es una fuente jurídicaque incluso fue retomadaen la década de los noventapor algunos es tadoslat inoamericanos para laredacción de su normativa sobreprotección de la intimidad en eltrasiego de datos y merece portanto el trato de fuente jurídicainternacional y pionera en lamateria.

Esta tendencia fue reiterada en lasentencia del TribunalConstitucional del 30 de noviembredel 2000, en virtud de la cualigualmente se insiste en laautodeterminación informativacomo un Derecho Fundamentalautónomo.

IV. LA DIRECTIVA 95/46/CE DELPARLAMENTO EUROPEO Y DEL CONSEJO

Antes de la adopción de la Directiva95/46, en 1992 España emite laLey Orgánica para el tratamientoautomatizado de los datospersonales, conocida comoLORTAD. Sin embargo, nos interesaen este estudio el análisis específicode los contenidos de aquellaDirectiva que vino a complementaruna legislación que había iniciadoel Convenio 108, sobre todoporque una vez derogada laLORTAD, la actual Ley Orgánicade Protección de Datos de CarácterPersonal del 13 de diciembre de1999 (LOPD) incorpora tanto loindicado por la Directiva 95/46/CE del 24 de octubre de 1995relativa a la protección de laspersonas físicas en lo que respectaal tratamiento de datos personalesy a la libre circulación de esosdatos, como la Directiva 97/66/CE

del Parlamento Europeo y delConsejo sobre al tratamiento dedatos personales y a la protecciónde la intimidad en el sector de lascomunicaciones.

Esta Directiva 95/46/CE estácompuesta de 72 considerandosiniciales y consta de 34 artículos.Se denomina Directiva 95/46/CEdel Parlamento Europeo y delConsejo del 24 de octubre de1995 relativa a la protección delas personas físicas en lo querespecta al tratamiento de datospersonales y a la libre circulaciónde estos datos, publicada en elDiario Oficial de España númeroL281 del 23 de noviembre de 1995.

Dentro de la exposición de motivosde los considerandos se resumebásicamente el contenido de laDirectiva, pero es importantedestacar ciertos aspectos queincluye en esta etapa preparatoriadel articulado, pues para todointérprete de normas, la etapaintroductoria que suponen losconsiderandos devela la intenciónreal del legislador en laelaboración de la direcciónjurídica que se pretende,independientemente de si considereo no acertado la inclusión deconsiderandos con talesextensiones, que incluso llegan asuperar el contenido de la Directiva.

CONSIDERANDOS

En primer término, se indica quelos sistemas de tratamiento dedatos están al servicio del serhumano por lo que la Directivaviene a aclarar la intención quetiene el legislador en la materia,en lo que respecta a concebir lainformática como una ventaja y noun obstáculo en el desarrollo de lahumanidad, y por tanto la

24 Sentencia del Tribunal Constitucional No. 254/1993 del 20 de julio, publicada en el BOE 197 del 18 de agosto de 1993.

DOCTRINA 109

regulación lo que pretende es unordenamiento del desarrollo de losavances tecnológicos paraproteger derechos fundamentalesde los usuarios y de los prestamistasde servicios de tal índole.

Ante la idea de que los avancestecnológicos facilitan el tratamientoe intercambio de datos, la Directivapretende dar un marco jurídico alque deben adscribirse los Estadoscon el fin de fortalecer lacooperación científica ytecnológica y coordinar las redesde telecomunicaciones sin que elnuevo derecho sea un óbice entales transformaciones.

Reconocen además que el mercadointerior de la comunidad facilita eltrasiego de datos por agentespúblicos y privados y que por tantoel Derecho Comunitario exige unacolaboración estricta entre losEstados. Esa protección equivalenteo reciprocidad que se pretende,sostiene el legislador, impide a losEstados obstaculizar la libre ylegítima circulación de datosalegando la protección al derechoa la intimidad. En este sentido esloable que una regulación jurídicade las relaciones científicas ytécnicas procure al mismo tiempouna liberalización de la circulaciónde datos. Podríamos decir entoncesque se trata de una normativa decontrol y no de prohibición, comolo han querido ver quienesdefienden la libertad de comerciosobre la protección de la intimidad.

El considerando 15 es importanteen el sentido que expresamenteseñala que la Directiva seráaplicable a datos automatizados ocontenidos en un archivoestructurado según criteriosespecíficos relativos a las personas,lo que incluye datos noautomatizados. A diferencia de loregulado en el Convenio, ya en laDirectiva el legislador fue capaz de

comprender la trascendencia delcontenido de los ficheros manualesy el peligro de su manipulaciónindebida, por lo que se regulan enlos mismos términos que losficheros automatizados.

La Directiva es más enfática en lasolicitud de medidas internas queejecuten el Convenio y conmina alos Estados a emitir las leyes queprecisen los alcances de laDirectiva. Los Estados al trasponerla Directiva asumen talcompromiso como un deber departe, haciendo con ello efectivala protección del derecho a laintimidad de los ciudadanoseuropeos.

Sostiene el documento que laspersonas f ís icas, jurídicas yautoridades públicas debenprocurar la calidad de los datos,la seguridad técnica, lanotificación a las autoridades decontrol de las circunstancias queafecten el tratamiento; todo lo cualconstituye los principios a los queel Convenio 108 hacía alusión.También los considerandosrecuerdan la necesidad deinformar al ciudadano de losarchivos que contengan sus datos,darle facilidades de accesoexpedito a los mismos, solicitar larectificación y oponerse a lostratamientos en ciertascircunstancias.

El considerando sétimo señalanuevamente que el tratamientoautomatizado y manual quedaráregido por la Directiva pero solocuando se trata de un conjuntoestructurado de datos quecontengan información sobre lapersona, de manera que nocualquier fichero deberá estarsometido a estas regulaciones.Sobre este punto ni losconsiderandos ni el articulado dela Directiva llegan a definir lo quese entiende por un “conjunto

estructurado de datos”, definicióncuya ambigüedad podría resultarpeligrosa en una interpretaciónmaliciosa que definiera un amplionúmero de archivos como “noestructurados” que –aunquemanipulen información que afectela vida privada del individuo-quedarían excluidos de laaplicación de la Directiva.

El considerando 24 señala que laDirectiva no protege a las personasjurídicas del tratamiento de datos,por lo que esta figura quedaexcluida de forma expresa. Noobstante, si consideramos laimportancia que eventualmentepuedan tener la recaudación dedatos sobre tendenciasideológicas, políticas o religiosasde personas físicas en las queeventualmente se puede extraer unperfil social de sus asociados o bienutilizar tal información en sistemasrepresivos no democráticos, esclaro que el legislador no previótal circunstancia y que ahora es elmomento de evaluar su inclusiónen el régimen legal de la protecciónde datos. No es ilusorio prever estasituación, pues aunque elConvenio está dirigido a un ámbitode democracias, no debe perdersede vista que el poder de autoritastambién requiere de ciertoscontroles legales.

En cuanto a las personas jurídicas,es claro que lo que debe regularsees el tratamiento de ficheros condatos personales que puedan estarmanipulando, pero en ningunamedida podría fundarse una ley deprotección de la intimidad de lapersona jurídica para desviar unfin hacia el ocultamiento de laactividad comercial (que siempredebe ser transparente) o bienocultar información económica oempresarial que afecte otrosderechos y máximas como el de lalibre competencia, la lealtadcomercial, el derecho del

C O D H E M


110

consumidor o la buena fe en losnegocios.

Dentro de los principios queesgrimen los considerandos, sedice que el tratamiento es lícito sise basa en el consentimiento delinteresado, si se recaban los datospara un contrato que obligue alafectado, si constan para cumpliruna ley o algún asunto de interéspúblico o para ejercer unaautoridad pública; y se puedenutilizar y comunicar con tercerospara actividades legítimas deempresas con miras a la proteccióncomercial. En este último puntoqueda evidenciada la influencia delas teorías que abogan porjerarquizar la protección comercialsobre la vida íntima, situación queva en detrimento de las libertadesdel individuo.

En esta etapa se resalta tambiénque los datos que afectan laslibertades fundamentales y elderecho a la intimidad(abandonando la terminologíaanglosajona de privacidad) nodeben ser objeto de tratamientoalguno salvo para cuestionesrelativas a la salud y la protecciónsocial, y están sometidos al secretoprofesional de quien manipula elarchivo respectivo. No obstante,deja a juicio de los Estadosdeterminar otras excepcionesdistintas a la salud en las que sípueden tratarse dichos derechos,situación que deviene en otranueva potestad que se le otorga alEstado, sin ninguna limitaciónsensible que proteja al ciudadanode arbitrariedades y abusos de poder.

Se valora también la necesidad deponderar ciertos intereses sociales

por lo que se puede permitir eltratamiento de datos para finesperiodísticos, artísticos, literarios,históricos, estadísticos o científicos.Surge aquí un problema de vitalinterés que retomaré en el análisisdel articulado y que consiste en quela amplitud que otorga estaconsideración en la asignación deun poder de acceso privilegiadopara artistas, científicos,historiadores, profesionales de lainformación, estadísticos y paraquien alegue poseer un interés quecoincida en tales excepcionesresulta a todas luces excesivo. Esepoder, a mi juicio, pudo habercontenido una limitación de vitaltrascendencia para la protecciónde la vida privada que consiste enguardar la identidad del agentecuyos datos se estén manipulandopara tales fines, de manera que nose vean menoscabadas esas áreasde interés público y que a la vez seresguarde con la anonimidad laidentidad del individuo mientrasque sus datos (que no lo vinculanen lo personal) sirven para finescolectivos. La doctrina más recienteha dado a conocer esadesvinculación de la identidad delsujeto con sus datos comodisociación de datos. Igualmente,si el derecho a la intimidad consistetambién en una facultad de accióndel individuo, debe preverse queen estos casos de excepción elafectado tenga oportunidad dedecidir si presta o no sus datospersonales para los finesindicados, pues se trata al fin yal cabo de una manipulación delos aspectos que conforman suvida personal.

La Directiva pretende otorgarle alos Estados un amplio margen de

acción para que en aras del interéspúblico establezcan sus propiasrestricciones que en ningunamedida pueden ser inferiores a losmínimos que dicta la Directiva, loque coincide con lo comentado alinicio de esta reflexión en cuanto ala tendencia por la autorregulación(legislaciones regionales y nouniversales).

Como un nuevo principio señalaque el uso del correo electrónicoresponsabiliza al dueño de lacuenta que transmite datos pero noal que ofrece el servicio detransmisión. En países comoEstados Unidos ya existen sendospronunciamientos judiciales sobreel uso del correo electrónico y losalcances que tiene la injerencia deladministrador sobre la vidaprivada del usuario, sobre lo cualla Directiva es omisa pues noprecisa regulaciones sobre la vidaprivada en correos administradospor entes públicos o privados, opor los grandes proveedores deservicios de navegación25 .

Los considerandos también resaltanla importancia que reviste lanotificación a una autoridad decontrol para asegurar lapublicidad de todo lo relativo a losarchivos automatizados omanuales que tratan datos decarácter personal de losciudadanos.

La Directiva refuerza también laidea de implementar recursosjudiciales para defender eltratamiento de datos sobre la vidaprivada, así como lainclusión de indemnizacionese individualización deresponsabilidades por violaciones

25 La sentencia del Tribunal Superior de Justicia de Cataluña, Sala de lo social del 14 de noviembre de 2000, sentencia 9382/2000

sobre Recurso de suplicación del DEUTSCHE BANK; la sentencia de la Audiencia Nacional, Sala de lo Social No. 17/2001 del6 de noviembre del 2000 del Banco BBVA de España y en tercer lugar la sentencia del Juzgado de lo Social # 31, No. 3271 del26 de marzo del 2001 de NCR de España, han dejado entrever la no reprochabilidad del acceso que tiene la empresa a lascuentas de correo de sus funcionarios, aunque aún no existe un pronunciamiento expreso al respecto.

DOCTRINA 111

a normas relativas a la Directiva oel derecho interno en esta materia.

Se indica que los flujostransfronterizos de datos sonnecesarios para el desarrollo delcomercio internacional y que laprotección de las personas no esun obstáculo para garantizar esatransferencia salvo que un tercerpaís no ofrezca niveles deprotección adecuados, situaciónque coincide con la intención dellegislador de que la normativa nolimite o impida el desarrollocomercial de la región.

La Directiva otorga un plazo de 12años para que todos los ficherosmanuales se ajusten a lasexigencias de la Directiva, comoun plazo obligatorio para poderhacer efectiva la protección de lavida privada en todos los ámbitos.

ARTICULADO

El artículo primero señala que elobjeto de la Directiva es laprotección de las libertades yderechos fundamentales de laspersonas físicas y en particular elderecho a la intimidad en eltratamiento de datos personales,con lo que el término jurídico de“vida privada” se homologa a lareciente doctrina que se refiere al“derecho a la intimidad”.

El artículo 2 indica ciertasdefiniciones que amplían lascontenidas en el Convenio 108.Básicamente señala que eltratamiento de datos se refiere a datosautomatizados o no, dando con elloprotección a los ficheros manuales.También es importante resaltar quedistingue entre el responsable deltratamiento de datos y el encargadodel tratamiento, siendo este último

el que administra por cuenta delprimero un archivo.

Con la intención de declarar losalcances de la Directiva, el artículo3 es explícito al señalar que lamisma se aplica al tratamientoautomatizado o no y se excluyenlos datos cuyo objeto sea laseguridad pública, la defensa delEstado, la seguridad del Estado ylo relativo a materia penal. Esta esuna prerrogativa del Estado, encuya inconveniencia insisto por nohaberse previsto ningún tipo delímite al ente público. Pensemos enun quebrantamiento del estadosocial de derecho interno en el quese disponga como parte de unanueva política de seguridad estatalel crear bases de datos queconstituyan perfiles de losciudadanos que contengan datospolíticos o sensibles en general, queen alguna medida pudiesen serutilizados en perjuicio de laspersonas por un régimendictatorial. Ante esta situación,valga indicar que dichasactuaciones podrían encontrarsedentro del marco legalpreceptuado por la Directiva antela infeliz redacción de la norma.

El artículo 4 indica que los Estadosdeben aplicar su normativa internacuando el responsable deltratamiento resida en otro territorio,por lo que se produce unaatracción del fuero jurisdiccional(forum actoris), tal como sucedióen la famosa sentencia del casoShevill del Tribunal de Justicia dela Comunidad Europea del 7 demarzo de 199526 , de la que parteahora toda la interpretación sobrejurisdicción en estos asuntos.

El artículo 5 deja a criterio de losEstados decidir cuándo son lícitos

los tratamientos de datospersonales, situación que refuerzael poder del Estado ante elciudadano, que aunado al artículotercero constituyen facultadespropias de un poder de autoritasque supera al del ciudadano.

Al igual que lo hizo el Convenio,el artículo 6 señala los siguientesaspectos que deben garantizarlos Estados para hacer efectivoel principio de la calidad de losdatos:

a. Que sean tratados leal ylícitamente.

b. Que sean recogidos con finesdeterminados, explícitos ylegítimos.

c. Que sean exactos y actualizados.

d. Que se conserven en formaresponsable.

Para garantizar el principio sobrela legitimación del tratamiento delos datos, el artículo 7 exige losiguiente:

a. Que el interesado hayaconsentido en el tratamiento desus datos.

b. Que se recaben para uncontrato u obligación jurídica.

c. Que sea necesario el tratamientopara proteger al interesado.

d. Que sea necesario el tratamientopara el interés público.

e. Que sea necesario para el interéslegitimo del responsable deltratamiento siempre que noprevalezcan los derechos ylibertades fundamentales.

26 Fiona Shevill, Isora. Trading Inc. Chequepoint SARL & Chequepoint International Ltd v. Press Alliance S.A., C. 68/93, Rep. 1-

0415.

C O D H E M


112

Como una máxima que tambiéndefendía el Convenio 108, elartículo 8 indica que estánprohibidos los datos que revelenel origen étnico, la opinión política,la convicción religiosa o filosófica,la pertenencia sindical, la salud osexualidad salvo que el interesadolo consienta expresamente, o siresulta necesario para respetargarantías laborales o del interés delafectado, que sea adecuado parauna entidad afín o sean datospúblicos27 o necesarios para lasalud. Esa posibilidad de permitirel archivo y custodia de estos datossensibles hace que sean legítimoslos archivos que por ejemplomantienen los partidos políticos ylos sindicatos en el ejercicio normalde sus funciones, mismos que enuna lectura con interpretación literaldel Convenio 108 resultabanilegítimos, pues no se otorgaba esaexcepción necesaria que incluye laDirectiva en esta norma. Así, debequedar claro que las excepcionesque se señalan no son taxativaspues como ya se ha dicho a lolargo de este estudio, el espíritu dellegislador ha sido siemprebeneficiar a los ciudadanos y noobstaculizar sus relacionessociales, económicas, laborales yadministrativas.

Una norma que llama a la reflexiónes el artículo 9 que señala quedeben establecerse excepciones enel tratamiento de archivos quedeterminen un perfil como el quepretende evitar el artículo 8(coincidiendo con la sentenciaalemana de la Ley de Censo),cuando se trate de fines

periodísticos, previendo conciliar elderecho a la intimidad con lalibertad de expresión. Esta normadebe valorarse a la luz también delartículo 13.2 que permite establecerel tratamiento de datos personalesy permitir el acceso a archivosrestringidos cuando se trate de finescientíficos o estadísticos; puescomo ya adelanté en el apartadoanterior, resulta injustificadootorgar tales privilegios a ciertosprofesionales28 .

Por ejemplo, en el caso del finperiodístico, esta norma permitiríaal profesional de la información unacceso ilimitado a archivos condatos de carácter personal paraque realice labores “periodísticas”.Si la labor del periodismo esinformar, cabe preguntarse siestamos aquí ante la posibilidadlegal de divulgar o informar a lacomunidad sobre el contenido dearchivos y por ende de datosíntimos, basados en un derecho decomunicar o el correlativo de estarinformados. Piénsese por ejemploen un archivo que contengadetalles de enfermedadesinfectocontagiosas de ciertossujetos: el periodista, en aras deinformar a la comunidad, no solotiene acceso a esos datos sino que-ejerciendo su profesión- losdifunde en perjuicio de losafectados, alegando un interésperiodístico de informar a lacomunidad. No hay límites éticosa los que aluda la Directiva niparámetros axiológicos odeontológicos que impliquen unautilización dañosa de los datos porparte de estos grupos que privilegia

el Convenio. Tal concentración depoder resulta aún más desmedidasi tomamos en consideración quelos profesionales de la informaciónya tienen un régimen o fuero deprotección especial inclusoamparado a la ConstituciónPolítica, en virtud del cual gozande la cláusula de conciencia, dela libertad de información y delsecreto profesional (art. 20 inciso1.d. de la Constitución Española ynormas conexas o semejantes deotras Cartas Magnas). Igualinterpretación se aplica para elcaso de los científicos, estadísticos,artistas o historiadores que aleguenposeer ese interés legítimo quecobija la excepción indicada paraacceder a archivos que custodiandatos de carácter privado.

Debo indicar que si bien losEstados Parte pueden hacerrestricciones o delimitar estaexcepción de forma más precisa,la Directiva resulta muy permisivay por ende peligrosa en esteaspecto, con la salvedad de quedeja a discreción de los Estadosbuscar la conciliación entre elderecho a la intimidad y la libertadde expresión.

Sobre esta salvedad de la normallamaba también la atención EmilioSuñé en su Tratado de DerechoInformático cuando decía:

No cabe sino estar de acuerdo conlos criterios de la Directiva, puesto quehacer excepción, sin más, de los datospara fines periodísticos, podría abrirun fácil procedimiento para burlar lasdisposiciones de la legislaciónprotectora de datos personales,

27 La distinción entre datos públicos y privados ha generado fuertes discusiones doctrinales, pues un dato público puede llegar a

convertirse en un dato trascendente (propio de la esfera íntima o privada) dependiendo del contexto en el que se le llegue aregistrar, y por ende estar sujeto a regulaciones más estrictas.

28 Si bien aludo en este punto a “profesionales”, téngase en consideración que la Directiva tampoco precisa que el interés científico,histórico, artístico, periodístico o estadístico sea alegado por un profesional en tales ramas, por lo que incluso podríamosinterpretar que cualquier ciudadano que invoque tal interés puede tener acceso a datos personales de terceros y utilizarlos sinningún obstáculo, por lo que la profesionalidad es algo que debió prever el texto legal para exigir, por ejemplo, responsabili-dades derivadas del ejercicio legítimo de la profesión o bien tener una simple garantía del uso de los datos.

DOCTRINA 113

precisamente en beneficio de lospoderosos, puesto que bastaría conser dueño de una empresa decomunicación social, para poderdisponer, con bastante libertad, dedatos personales. La finalidad delDerecho, como recordaba muy bienel antiguo Comisario de Protecciónde Datos del Land de Hesse, SpirosSimitis, no debe ser reforzar losprivilegios de los poderosos, sinocontrolar y equilibrar el poder.29

Con ello no quiero decir que lanorma contenga una malaintención. Simplemente no es felizsu redacción o resulta incompletapara la satisfacción del interésgeneral que es la protección de lavida privada (tal como lo señalael artículo primero). Por ello, esnecesario pensar en los siguienteslímites que propongo para estaexcepción:

1. Que quien alegue poseer uninterés que se ajuste a la excepción,demuestre ser un profesional enhistoria, periodismo, arte, cienciao estadística, y que demuestre lanecesidad de tener el acceso a losarchivos solicitados para un finespecífico, cierto y proporcional.

2. Que se permita el acceso a losdatos de las personas peroresguardando la identidad de lossujetos con la anonimidad, con elfin de proteger efectivamente elderecho a la intimidad, aplicandola disociación del dato de lapersona.

3. Que se requiera de talesprofesionales unos códigos deconducta suficientes para que consu secreto profesional resguardenla vida íntima de las personas.

4. Que el individuo sea informadode los accesos que este tipo de

sujetos tengan sobre sus datos ytenga la potestad de autorizar o notales accesos o incluso permitir larevelación de su identidad cuandoel estudio así lo requiera.

5. Que se prevean sancionescontra el profesional que excedasus competencias en este ámbito obien se prevalezca de su condiciónpara causar daño a la vida privadade las personas.

Las Secciones IV y V se refieren alderecho del interesado a recibirinformación y del encargado deltratamiento a ofrecerla según losparámetros de la Directiva, e indicaque en el derecho de acceso debegarantizársele al individuo losiguiente:

a. Que sea libre, periódico,oportuno, sin costos excesivos ysin restricciones. A este derechose le adicionan las condicionesque debe reunir la respuesta ala petitoria del interesado lacual debe ser prontaconfirmando la existencia oinexistencia del tratamiento dedatos, los fines, las categorías,los destinatarios, etc; y esacomunicación debe serinteligible, total y evidenciar lalógica utilizada para eltratamiento.

b.Que tenga derecho a larectificación, supresión obloqueo de datos incompletoso inexactos y

c. Que se proceda a la notificacióna terceros sobre las enmiendasrespectivas.

A partir de aquí se deduce que lasimple solicitud de supresión de un

dato no basta, sino que ese datodebe ser “incompleto o inexacto”,según la redacción indicada. Porello, pareciera ser una potestadvacía de contenido, pues lossupuestos en los que un individuopodrá solicitar que se eliminen susdatos, serán sumamenterestringidos.

Como ya dijimos, hay supuestos enlos que se pueden conservararchivos de datos personales sinlas regulaciones ya citadas. Dentrode estas excepciones y limitacionesque incluso le otorgan facultadesal Estado para organizar bases dedatos para fines económicos30 , enla Sección VI se detallan lassiguientes:

a. la seguridad del Estado

b. la defensa del Estado

c. la seguridad publica

d. la prevención o detección deinfracciones legales

e. el interés económico del Estado

f. el control o inspección y

g. la protección de los derechos ylibertades del interesado o deterceros.

Según lo que se indica en laSección VII, el derecho deoposición del interesado exige quelos Estados le garanticen suderecho a formular un reclamo quepretenda evitar el tratamiento de susdatos cuando éste no se ajuste ala normativa. El interesado puedeoponerse de forma gratuita yanticipadamente al tratamiento desus datos (principio de gratuidad

29 SUÑÉ LLINÁS, Emilio. Tratado de Derecho Informático. Volumen 1, Universidad Complutense de Madrid, Madrid, 2000,p. 107.

30 Nuevamente la inspiración personalista europea cede ante la orientación comercial propia de la nueva política de occidente,y de las tendencias actuales de la sociedad de la información.

C O D H E M


114

de las gestiones y derecho de recibirinformación, extraídos del DerechoAdministrativo) y debe serinformado cuando estos secomuniquen a terceros para ejercersu derecho a la oposición.

El artículo 15 rescata una nuevapremisa introducida por estaDirectiva que consiste en que losEstados miembros debenreconocer a las personas elderecho a no verse sometidas adecisiones judiciales basadasexclusivamente en el tratamientoautomatizado de datos. Noobstante, la redacción de la normapermite que eventualmente esetratamiento de datos pueda serutilizado como una pruebaindiciaria o como soporte de otromarco probatorio más complejo,por lo que no se tasa su totaldiscriminación. Además, estapremisa contiene dos excepcionesdentro de la misma norma, asaber:

a. Que los datos se hayanrecabado para un contrato yaún así se le permita lasalvaguardia del interés legítimodel sujeto.

b. Que la ley lo autoriceasegurando el interés legítimo delciudadano.

La Sección VIII se refiere a laconfidencialidad y seguridad quedebe imperar en el tratamiento dedatos y enfatiza en la necesidad deque los datos sean manipuladosúnicamente por el personalnecesario quien tendrá restringidoel acceso total o parcial a ficherosautomatizados o manuales cuyamanipulación no le compete (art.16).

En lo que respecta a la seguridadque deben garantizar los Estados,se les exige las siguientesactuaciones (art. 17):

a. Deberán obligar al responsabledel tratamiento para que apliquetodas las medidas técnicas y deorganización contra ladestrucción accidental o ilícita,pérdida accidental o alteración,difusión o accesos noautorizados, en particularcuando el tratamiento incluya latransmisión de datos dentro deuna red, y contra cualquier otrotratamiento ilícito de datospersonales.

b. Deberán establecer que elresponsable del tratamientoeli ja a un encargado deltratamiento capaz degarantizar las medidas deseguridad que resguarden elbuen manejo del fichero.

c. Establecer que la realización detratamientos por encargo seefectúe bajo la modalidad deun contrato formal que permitalo siguiente:

c.1. Vincular al responsable conel encargado

c.2. Que el encargado solo actúasiguiendo instrucciones delresponsable

c.3. Que la legislación les esaplicable a ambos.

La Sección IX se refiere a lanotificación obligatoria que deberealizarse a la autoridad de controlque se constituye según el artículo28 de la Directiva, y obliga a quecada Estado adopte medidas paraque todo responsable o encargadode tratamiento de datos notifiquesus actuaciones a la autoridad decontrol, de previo a iniciar el ficherorespectivo. Los Estados puedenexcluir de la obligación de notificaren los siguientes casos:

1. Si el tratamiento de datos noimplica una afectación a los

derechos y libertades de losinteresados, habiendo el Estadodefinido los fines, alcances ycategoría del fichero.

2. Cuando el encargado deltratamiento designado por elresponsable tenga por cometidohacer aplicar las disposiciones dela Directiva, llevar un registro delos tratamientos con la informaciónpertinente que garantice laprotección de los derechos ylibertades fundamentales.

3. Cuando el tratamiento estédestinado a llevar un registro quese abrirá al publico para consultageneral o para consulta particularde quien demuestre un interéslegítimo.

4. Cuando sea para fines legítimosde una asociación, fundación,sindicato u organismo similar.

La Directiva también indicaalgunos de los contenidos mínimosque debe llevar la notificación paraque pueda determinarse la índoledel tratamiento así como losresponsables de su manipulacióny determina la potestad estatalde impedir previamente eltratamiento de datos si existiesealgún peligro para los derechos ylibertades de los ciudadanos. (arts.19 y 20).

Se incorpora en el artículo 21 elprincipio de publicidad deltratamiento de datos, en virtud delcual los Estados deben garantizarel acceso a los tratamientosexistentes a través del registro queal efecto lleve la autoridad decontrol interno. (art. 21) En laactualidad, la comunidad europeacuenta con diversos centros detratamiento de datos en cada país.En España, existe la AgenciaEspañola de Protección de Datoscomo el órgano central y un únicoórgano descentralizado o

DOCTRINA 115

autónomo con el que hasta la fechasolo cuenta la comunidad de Madrid.

Fernando Galindo define laimportancia de esta entidadindicando lo siguiente:

Como expresa la palabra inglesa conla que se denomina a la autoridadsimilar allí existente, Register, sufunción principal consiste en ocuparsedel registro de ficheros públicos yprivados, y de que, por medio delejercicio de las funciones deinspección y sanción, en elfuncionamiento y actividad secumplan las leyes de protección dedatos, satisfaciéndose el derecho delos ciudadanos a laautodeterminación informativa o alconsentimiento. También se ocupa deaprobar los códigos de tipo deconducta que se presenten al Registrocomprobando su ajuste a lalegalidad. [...] La Agencia, por tanto,se ocupa especialmente de regular lasactividades profesionales de losinformáticos y de quienes utilizan susproductos: su observancia de lasmedidas de seguridad.31

La Directiva es más completa queel Convenio 108 en materia deimpugnación, pues define lanecesidad de establecer en cadalegislación interna un recursojudicial para que cualquierafectado por un tratamiento de susdatos pueda recurrir ante laautoridad respectiva y sin perjuiciode los recursos administrativos queal efecto se dispongan al serviciodel ciudadano (art. 22).Igualmente, la Directiva indica queel afectado podrá solicitar lareparación de todo daño que elresponsable del tratamiento dedatos le cause con su actuación, yadvierte la necesidad de imponersanciones en caso deincumplimientos. (arts. 23 y 24) Heaquí la importancia de las figurasdel responsable del tratamiento yel encargado del tratamiento,pues son el primer paso para

individualizar responsabilidadesque impliquen una efectivareparación de daños causados alos sujetos cuyos datos seanmanipulados de forma ilegítima.

La transferencia de datos a tercerospaíses sólo se dará si ese país escapaz de garantizar el nivel deprotección que exige la Directiva,misma que deberá ser evaluadapor los Estados Miembros y laComisión en caso que se considereque un tercer país no ha cumplidocon tales requisitos. Si secomprobara la falta de ese tercerpaís, los Estados miembros quedanfacultados para suspendercualquier transferencia e iniciarnegociaciones para remediarla situación. Cabe aquí lainterrogante sobre la prerrogativa,en materia de soberanía, que poseeun Estado para decidir si otrocumple o no con tales requisitosde idoneidad.

El artículo 26 señala nuevasexcepciones aplicables a laDirectiva en virtud de las cualesprocede la transferenciainternacional de datos a un paísque no garantice la protección si:

1. El interesado lo consiente.

2. Es necesario para suscribir uncontrato entre el interesado y elresponsable o, en interés delafectado, resulta necesario parasuscribir un contrato entre elresponsable y un tercero.

3. Es necesario para lasalvaguarda de un interés públicoo el reconocimiento o ejercicio deun derecho o del interés delafectado.

4. La transferencia se hace desdeun registro público que facilite tal

información de forma legítima yesté abierto a consulta.

5. El responsable en ese tercer paísofrece garantías de protecciónconstantes en un contrato.

Dichas excepciones deberán serpreviamente conocidas por laComisión, la cual tiene el derechode oponerse fundadamente en loscasos que lo considere pertinente.Lo idóneo es que esa prerrogativade la Comisión no sea interpretadacomo una injerencia en lasoberanía de ese tercer país pueslo que se pretende nuevamente deconformidad con los fines delarticulado, es la protección de lavida privada de los ciudadanoscomo un derecho fundamental queexige medidas colectivas de estaíndole. No obstante, es inevitablepensar en el roce que tal situacióngenera en la práctica.

La Directiva exige laimplementación de códigos deconducta para los sectores quemanejan datos de particularessegún categorías, por ejemplo deasociaciones profesionales,sindicados, fundaciones, etc.;situación que debió tambiénhaberse contemplado para elartículo 9 de la Directiva, según locomentado en estas líneas.

El artículo 28, como yaadelantamos antes, ordena lacreación de al menos un órganoPÚBLICO como autoridad decontrol del manejo de datosque posea las s iguientespotestades:

1. Servir de órgano consultivo parala creación de medidasreglamentarias o administrativassobre protección de derechos ylibertades personales en el

31 GALINDO, Fernando. Derecho e informática. La Ley-Actualidad, Madrid, 1998, p.87.

C O D H E M


116

tratamiento de datos de carácterpersonal.

2. Tener poder de investigación yacceso a datos objeto de algúntratamiento.

3. Tener poder de intervencióncomo órgano dictaminador, antesde un tratamiento de datos.

4. Ordenar el bloqueo, supresióno destrucción de datos.

5. Prohibir un tratamiento de formatemporal o definitiva.

6. Someter sus inquietudes a lasautoridades publicas quecorrespondan.

7. Atender solicitudes departiculares sobre la verificación dela licitud de un tratamiento.

8. Ejercer sus competencias enel territorio del Estado miembroque la designe o en otro Estadomiembro cuando as í seainstada.

Los miembros de dichos órganosestarán sujetos al deber del secretoprofesional aún después de habercesado en sus funciones,protección que podría interpretarseque se extiende por toda la vida,pues no existen limites temporaleso cualitativos a ese deber desecreto.

Es importante ver que finalmentela Directiva define que el órganodebe tener una naturaleza pública,es decir, dependiente del Estado,pues recordemos que el Convenio108 permitía en su artículo 2.b queel órgano encargado de controlarlos ficheros existentes, fuesetambién de índole privada.Delegar tal responsabilidad en una

entidad privada podría a mi juicioacarrear una desprotección alindividuo ante el interés por lucraren esa actividad que es lo que aquíse pretende evitar a través de uncontrol en principio parcial yobjetivo que usualmente ejercen losEstados democráticos; sin que porello quiera decir que deban estarexentos de control.

La Directiva además crea unórgano adicional al que denomina“Grupo de protección de laspersonas en lo que respecta altratamiento de datospersonales”(art. 29 y 30),compuesto por un representante dela autoridad (es) de control decada Estado miembro, por unrepresentante de la autoridad (es)creada (s) por las instituciones yorganismos comunitarios y por unrepresentante de la Comisión. Susfunciones consisten en lassiguientes:

a. Estudiar la aplicación de lasnormas nacionales paracontribuir a su homogeneizaciónen el ámbito comunitario.

b. Dictaminar el nivel de protecciónexistente en la Comunidad y enlos países terceros.

c. Asesorar a la Comisión sobrecualquier modificación de laDirectiva o sobre cualquier mejorapara el tratamiento de datos.

d. Dictaminar los códigos deconducta adoptados en elámbito comunitario.

Los informes del Grupo seránconocidos en el ParlamentoEuropeo y el Consejo para suposterior publicación. Valga indicarla importancia que estos informeshan tenido en la práctica, sobre

todo en materia de protección dela intimidad a través de Internet.32

Como un último órgano, el artículo31 prevé la existencia de un Comitéque asesore a la Comisión paraadoptar las medidas de ejecucióncomunitaria que se necesiten.

Dentro de la sección dedicada alas Disposiciones Finales, laDirectiva exige que los Estadosadopten las medidas legales,reglamentarias y administrativaspara el cumplimiento de laDirectiva, en un plazo de 3 añosdesde su adopción y da un plazode 12 años para ajustar los ficherosmanuales a lo que dictamina laDirectiva para un óptimotratamiento de sus contenidos.

Como una previsión del ajuste quedebe realizarse en el ámbito legalpor los avances tecnológicospropios de la sociedad de lainformación en la que vivimos, elartículo 33 dispone que laComisión deberá evaluar eltratamiento de datos a través desonidos e imágenes para que enel plazo de tres años se presenteuna propuesta de protección a losderechos de los afectados.

En general, la Directiva es unainiciativa loable que pretendehacer efectiva la protección de lavida privada ante el tratamiento dedatos de forma indiscriminada quesucede en el mundo. Pero esprecisamente esa circunstancia delmundo “globalizado” lo que haceinsuficiente una iniciativa regional,que nuevamente presenta pocosalicientes para que Estados deotras regiones se adscriban a lamisma. En los aspectos señalados,la Direct iva necesi ta unperfeccionamiento que debepartir de la buena voluntad de

32 Dichos informes se localizan en la página de Internet: www.coe.fr

DOCTRINA 117

las partes y del compromiso realde cada Estado de ajustar sunormativa interna a esa nuevaregulación.

Como origen normativo, elConvenio 108 da pie para que enla Unión Europea se armonizarala regulación de la protección dela intimidad en el tratamiento dedatos personales que se lograconcretar a través de la Directiva95/46/CE del 24 de octubre de1995 relativa a la protección delas personas físicas en lo querespecta al tratamiento de datospersonales y a la libre circulaciónde esos datos –a la que aludimosen la primera parte de esteestudio-, así como la Directiva 97/66/CE del Parlamento Europeo ydel Consejo sobre al tratamientode datos personales y a laprotección de la intimidad en elsector de las comunicaciones.

Nos corresponde por tanto analizarotras normas derivadas delConvenio 108 y hacer un repasode las iniciativas legislativas enAmérica Latina que pretendenregular el tratamiento de datos enla región.

Resulta necesario el análisis deambas tendencias, pues comoveremos, la naturaleza jurídica derecursos procesales como elHabeas Data y la consideraciónlegal de la protección de laintimidad, varía de una región aotra, generándose una disimilitudterminológica y legislativaimportante que debe serconsiderada para una ulteriorarmonización del DerechoInternacional sobre la protecciónde la intimidad y el tratamientotransfronterizo de datospersonales.

V. OTRAS DISPOSICIONES ORIGINADASEN EL CONVENIO 108

Recientemente, en el seno delConsejo de Europa se hansometido propuestas demodificación al Convenio 108, enlo que respecta al flujotransfronterizo de datos, pues hasido una de las normas másconflictivas del texto por implicar apaíses que no pertenecen a laUnión Europea y por la dificultadde homologar (en esascircunstancias) el derecho internode cada Estado para cumplir conel principio de reciprocidad y el deprotección mínima que se exige enla protección de datos.

Así, el Proyecto de ProtocoloAdicional elaborado el 10 demarzo de 2000 por la Comisiónde Asuntos Jurídicos y DerechosHumanos33 , dejó constancia de supreocupación por la protecciónestadounidense a favor de lasempresas privadas y el libretrasiego de datos en dichasinstancias, y abogó por unadefensa universal de la vidaprivada.

Uno de los considerandos que dejaentrever el espíritu de la reformaque se pretende, sostiene que laprotección de los datos de carácterpersonal y de la vida privada esuna prioridad ante Internet y lanueva sociedad de la informaciónproponiendo el establecimiento denuevas legislaciones que haganefectiva la salvaguarda de derechosque pretende el Convenio. Hemosllegado entonces a unaconcienciación de que si elderecho interno no regula laprotección de datos, la Directiva yel Convenio resultan ineficaces. Eneste protocolo cuyos alcances se

discuten aún en el Consejo deMinistros, se proponeconcretamente un control públicopero independiente, obligatorio yefectivo. Recomiendan ademáshacer un llamado de invitaciónpara la adherencia del Conveniode otros Estados e incluso de lospropios Estados de la UniónEuropea que aún no lo hanratificado, con el fin de “reforzar lacoherencia del orden constitucionaleuropeo”.

Pareciera por tanto que la sociedadde la información es la que podríaimplementar efectivamente eseorden universal al que Habermasy sus seguidores aspiran, sobretodo en momentos que se necesitala colaboración de todos losEstados para controlar el avancetecnológico de la mano delderecho. El Protocolo Adicional sibien hace referencia al ordenconstitucional europeo, reconocela importancia de tres aspectostrascendentales:

1) Que ese orden normativoregional, se conseguirá en estamateria con la adherencia de losEstados al Convenio 108 y a laDirectiva.

2) Que no basta la adhesión a losinstrumentos legales de la región,sino que los Estados deben ajustarsu normativa interna para haceraplicables los mínimos deprotección que se acuerdan en elseno de las organizacionesconjuntas.

3) La participación activa deEstados que no son miembros dela Unión Europea resultaimprescindible, pues el flujo dedatos supera los limites fronterizos,temporales y sociales que puedan

33 La versión oficial en francés de este documento se encuentra a disposición del público en la página de Internet: www.coe.fr

C O D H E M


118

imponerse, situación que exige unacuerdo más universal.

Pero existen otras disposiciones enla región que complementan tantoel Convenio 108 como la Directiva95/46/CE. Se trata de la Directiva97/66/CE del Parlamento Europeoy del Consejo del 15 de diciembrede 1997 relativa al tratamiento dedatos personales y a la protecciónde la intimidad en el sector de lastelecomunicaciones y publicadapor el Diario Oficial del 30 de enerode 1998; así como laRecomendación R (95) 4 delComité de Ministros del 7 de febrerode 1995 sobre la protección dedatos personales en servicios detelecomunicación.

Sin que mi objetivo sea ahondaren el contenido de estos dosdocumentos, es importante dejarconstando su existencia puescontienen una serie de normasque protegen al individuo en elnuevo mundo de lastelecomunicaciones. Por ejemplo,como una novedad, estasegunda Directiva protege losderechos de las personas físicas,pero también lo que denominan“intereses legít imos” de laspersonas jurídicas, situación queadquiere trascendencia ante elmanejo especial de datos enentidades sindicales o políticas. Nodebemos olvidar, sin embargo, quela protección de las datos decarácter personal no puedeamparar por sí mismas laprotección de los datos de unaempresa, con el fin de favorecerel secretismo de sus actividades.Muy por el contrario, se debenbuscar medidas para que sepreserve la transparencia de lasactuaciones de las personasjur íd icas al amparo de losprincipios de l ibertad deempresa, libre competencia y ladefensa de los derechos delconsumidor.

La Directiva 97/66/CE regula laprotección de datos en las guíastelefónicas, ya sea en su versiónimpresa (que es la usual) o enversiones electrónicas incluso eninfovías, indicando que deben seraccesibles a los usuarios con todoslos servicios de informacióncorrelativos, que los datos de losabonados sean los necesarios parasu identificación y consagra elderecho de exclusión para que elusuario pueda decidir si está o noen la guía telefónica respectiva. Losusuarios también adquieren conesta Directiva la potestad de pedirla omisión de datos que determinensu dirección o sexo en las guíasrespectivas.

Se prohíbe el cruce de datoscontenidos en guías telefónicas conlos de otros ficheros, sin que seprevieran excepciones en beneficiodel principio de libertad decomercio, situación que implica eneste campo una proteccióndemasiado rigurosa a un aspectode la intimidad.

Dentro del tema de facturación ytráfico, se le otorga el derecho alusuario de recibir facturas nodesglosadas que impidan a tercerosconocer el origen o destino de susllamadas y se hace un llamado aproteger la seguridad yconfidencialidad de los datos comoprincipio máximo de la Directiva eincluso se le exige al proveedor delservicio informar al usuario sobrelos riesgos de seguridad en la red.

La interceptación de lascomunicaciones para escucha,grabación o almacenamiento estáabsolutamente prohibida salvo siel interesado lo consiente o porseguridad pública (art.14). LaDirectiva dedica también unamplio articulado a garantizar elsecreto a las telecomunicacionespor parte de los operadores deredes y servicios.

Igualmente, esta Directiva regulaaspectos de las nuevas tecnologíasen materia de identificación ylocalización de llamadas, quepuede ser suprimida con unproceso expedito, llamadas deservicios de telemarketing, desvíoautomático de llamadas, etc.. Sobreeste punto, la Recomendación R(95) hace alusión a la seguridadde la telefonía móvil, cuyodesarrollo ha sido enorme en laúltima década.

La Directiva 97/66/CE fueincorporada parcialmente a lanormativa española a través delReal Decreto 1736/1998 del 31 dejulio que aprueba el Reglamentopor el que se desarrolla el Título IIIde la Ley General deTelecomunicaciones. El Título V delReal Decreto se refiereespecíficamente a la Protección delos datos personales en la prestaciónde los servicios de telecomunicaciones.

En España, otras normas queregulan la protección de los datospersonales en beneficio delderecho a la intimidad, son lassiguientes:

1. Ley Orgánica 1/1982 del 5 demayo, relativa a la Protección Civildel Derecho al Honor, a laIntimidad Personal y Familiar y ala propia Imagen.

2. Código Penal en sus arts. 197,205, 208, 210, 212 y 510.

3. Ley Orgánica 5/1992 del 29 deoctubre sobre regulación delTratamiento Automatizado de losDatos de Carácter Personal.(LORTAD) Esta, si bien seencuentra derogada, es un puntode referencia importante para eldesarrollo legislativo sobre lamateria en este país.

4. Ley Orgánica 15/1999 del 13de diciembre sobre protección de

DOCTRINA 119

datos de carácter personalpublicada en el BOE del 14-12-99.

Toda esta normativa, por tanto,constituye el marco jurídicoaplicable en España para laprotección de datos personales,que siempre deberá evaluarseperiódicamente a la luz del avancetecnológico universal y el desarrollode las legislaciones en derechocomparado.

Además, en España existe elReglamento de Medidas deSeguridad de los ficherosautomatizados que contengandatos de carácter personalpublicado por el BOE 151 del 25de junio de 1999. Este cuerponormativo fue aprobado en virtuddel artículo 9 de la Ley Orgánica5/1992 del 29 de octubre, queexigía la adopción de medidasreglamentarias específicas quegarantizaran la seguridad en losficheros. No obstante haber sidoemitido en virtud de una normativaderogada, el texto sigue vigentepese a la omisión actual dellegislador de emitir un reglamentoen virtud de la nueva Ley deprotección de datos.

Dentro de la exposición de motivosde este Reglamento, se evidenciala concienciación del legislador enla necesidad de adoptar medidasde seguridad por vía legal con elfin de hacer cumplir la protecciónefectiva de la vida privada de losciudadanos en lo que respecta altratamiento de sus datospersonales. Al efecto dice ellegislador:

“El presente Reglamento tiene porobjeto el desarrollo de lo dispuesto

en los artículos 9 y 43.3.h) de laLey Orgánica 5/1992. ElReglamento determina las medidasde índole técnica y organizativaque garanticen la confidencialidade integridad de la información conla finalidad de preservar el honor,la intimidad personal y familiar yel pleno ejercicio de los derechospersonales frente a su alteración,pérdida, tratamiento o acceso noautorizado. (...) Las medidas deseguridad que se establecen seconfiguran como las básicas deseguridad que han de cumplirtodos los ficheros que contengandatos de carácter personal, sinperjuicio de establecer medidasespeciales para aquellos ficherosque por la especial naturaleza delos datos que contienen o por laspropias características de losmismos exigen un grado deprotección mayor.”

En las últimas dos décadas estapráctica normativa se ha extendidotanto en Europa como en otroscontinentes, situación queevidencia una innegable necesidadde conminar a otros Estados aadoptar medidas de protecciónsimilares, con el fin de no hacerilusoria una protección universalque ya resulta necesariaante el poder de las infovías y lasnuevas tecnologías de lainformación.

En su libro La protección de datosen Europa34 Miguel Angel Davarareúne la lista de las diversaslegislaciones adoptadas por lospaíses de la Unión Europea entorno a la protección de datos,indicando además cuáles son losórganos en cada Estado,encargados de ejercer el papel deAutoridad de Control del manejo

de ficheros, figura adoptadaoriginalmente en Alemania bajo elnombre de Bundesbeauftragter furden Datenshutz o ComisarioFederal para la Protección deDatos, cuyas competencias enalgunos países han recaído comorecargo en el Defensor del Pueblou Ombudsman35 .

Las agencias de protección dedatos en cada país, son una fuentede experiencia importante que debeser evaluada por los países queinician sus nuevas regulaciones enla materia. Las recomendacionesemitidas por estas entidades, si bienson orientativas no son vinculantespor no emanar de un órganolegislativo. Sin embargo, a nivelformal se deben los usuariossuscribir a sus instrucciones en lamedida que el registro de ficherosy el tratamiento de datos de losdiversos sectores públicos yprivados, así como la definiciónpráctica de los niveles deseguridad, necesita unaordenación específica que debe seridéntica para situaciones deigualdad entre los usuarios, demanera que se instauren procesosjustos de exigencia en eltratamiento de datos que otorguenuna verdadera seguridad jurídicaa las partes involucradas.

Se trata, por supuesto, deconcienciar a los legisladores dela nueva sociedad de lainformación de la necesidad deestablecer medidas jurídicas quegaranticen una conciliación justay apropiada del derecho de lainformación con el derecho de laintimidad; ambos derechosfundamentales que sin embargopersiguen la protección de bienesjurídicos disímiles.

34 DAVARA, Miguel Angel. La protección de datos en Europa. Principios, derechos y procedimiento. Grupo Asnef Equifax, Madrid,1998 p. 204.

35 En países latinoamericanos que, como veremos, no han instaurado la figura de una Agencia de Protección de Datos, es elDefensor de los Habitantes (o del Pueblo) quien, acorde con sus funciones y con el fin de seguir en la política de economía derecursos estatales, podría asumir algunas de las competencias ya citadas para velar por el cumplimiento de la protección dedatos de los ciudadanos tanto dentro de la Administración Pública como en la empresa privada.

C O D H E M


120

VI. LA EXPERIENCIA LATINOAMERICANAEN LA REGULACIÓN DEL HABEAS DATA

Como ya adelantamos, en AméricaLatina la adopción de medidas queprotejan al ciudadano ante el augede la tecnología ha sido más lentaque en el resto del mundo,precisamente porque el desarrollotecnológico ha llegado a estasnaciones de forma tardía. Laprioridad en esta región es lograrel acceso equitativo de losciudadanos a los bienesinformáticos que ya forman partede la cotidianeidad en el primermundo.

La escasez de recursos es evidente.La prioridad del Estado esreconocer dentro de suslimitaciones económicas el derechodel conocimiento o educación enel área de la informática queconsiste en el derecho a formarseen las nuevas tecnologías, dereconocer un acceso adecuado ala línea o punto de conexión (líneatelefónica, satelital, cable, etc...),proporcionar un acceso a unhardware o equipo físico así comoa un software en condicionestécnicas que permitan la conexióna las infovías. De tal forma, en lospaíses en vías de desarrollo esevidente que la protección de losderechos fundamentales haquedado rezagada para unasegunda etapa de transición, quesin embargo ya empieza a dar susfrutos.

Cada vez hay más países enLatinoamérica que se suman a lapromulgación universal de leyesinternas que protejan los derechosde sus ciudadanos ante el uso dela informática y los cambiosgenerados por la nueva sociedadde la información.

En lo que respecta a la protecciónde datos de carácter personal, enla región se ha optadogeneralmente por establecerlegislaciones bajo la denominaciónde “Leyes sobre Habeas Data”,recurriendo a tal recurso como lavía de defensa de la intimidadde los ciudadanos ante lamanipulación indiscriminada desus datos.

Argentina fue pionero en elestablecimiento de una legislaciónadecuada sobre el tema. En suConstitución Nacional existen dosartículos que amparan la adopciónde lo que es hoy en día sunormativa en torno al HabeasData, y se trata de los artículos 18y 19 que a la letra dicen:

Artículo 18.- (...) El domicilio esinviolable como también lacorrespondencia epistolar y lospapeles privados; y una leydeterminará en que casos y con quéjustificativos podrá procederse a suallanamiento y ocupación (... )

Artículo 19.- Las acciones privadasde los hombres que de ningún modoofendan al orden y a la moral publica,ni perjudiquen a un tercero, están soloreservadas a Dios, y exentas de laautoridad de los magistrados.Ningún habitante de la Nación seráobligado a hacer lo que no manda laley, ni privado de lo que ello no prohíbe.

Sin embargo, es el artículo 43,párrafo tercero, de la ConstituciónNacional de 1994 el que recogela protección de los datospersonales de los ciudadanos alamparo del texto siguiente:

Artículo 43. (...) Toda persona podráinterponer esta acción para tomarconocimiento de los datos a ellareferidos y de su finalidad, que constenen registros o bancos de datospúblicos, o los privados destinados aproveer informes, y en caso de falsedado discriminación, para exigir

la supresión, rectificación,confidencialidad o actualización deaquellos. No podrá afectarse el secretode las fuentes de informaciónperiodística.

Resulta importante el antecedenteconstitucional pues la inclusión deuna protección expresa deltratamiento de datos en laconstitución Política, otorga unrango de protección especial a estederecho que asegura lavinculación ulterior de lostribunales constitucionales en laelaboración jurisprudencial ydoctrinal de este derecho.

Las leyes se han ido adoptando aesta nueva disposición, y en 1998se promulga la Ley de Tarjetas deCrédito, No. 25.065, cuyo artículo53 dice:

Las entidades emisoras de Tarjetas deCrédito, bancarias o crediticias tienenprohibido informar a las bases dedatos de antecedentes financierospersonales sobre los Titulares ybeneficiarios de extensiones deTarjetas de Crédito u opciones cuandoel Titular no haya cancelado susobligaciones, se encuentre en mora oen etapa de refinanciación. Sinperjuicio de la obligación de informarlo que correspondiere al Banco Centralde la República Argentina. Lasentidades informantes serán solidariae ilimitadamente responsables por losdaños y perjuicios ocasionados a losbeneficiarios de las extensiones uopciones de Tarjetas de Crédito porlas consecuencias de la informaciónprovista.

A la luz de esa ley, se han emitidodirectrices que regulan la seguridadde los datos crediticios y financierosde los deudores, tales como laComunicación A 2729 del BCRA36

y la Comunicación A 2950 delBCRA37 .

El 14 de setiembre de 2000 losdiputados argentinos aprueban la

36 Este texto se encuentra disponible en la página: www.bcra.gov.ar/pdfs/texord/clasdeud/pdf37 Este texto se encuentra disponible en la página: www.bcra.gov.ar/pdfs/texord/A2950/pdf

DOCTRINA 121

Ley de protección de datospersonales y Habeas Data3 8

convirtiéndose en una de las pocasregulaciones estatales delcontinente que contemplan deforma detallada el Habeas Datacomo un recurso novedoso parala protección de la intimidad antela informática.

La Ley de Habeas Data argentinarecoge acertadamente, entre otrosasuntos, los principios generales yaanalizados en la Directiva de lacomunidad europea, y se centraademás en el derecho de losciudadanos a recibir información.En virtud de esa últimaprerrogativa, los familiares de losdesaparecidos en el régimen de ladictadura militar, poseen el derechode acceso a archivos militares quepudiesen contener la informaciónque antes les había sido vedada,con el fin de determinar el destinode sus familiares.

Hay que destacar que el procesoargentino se ajusta a las tendenciaseuropeas que exigen unaprotección constitucional delderecho a la intimidad en eltratamiento de datos personales yla posterior regulación normativaa través de leyes que especifiquentanto la regulación de la materiacomo el Habeas Data como unrecurso procesal para exigir elrespeto de lo dispuesto por las leyesespeciales.

En la Constitución de Brasil de1998, el artículo quinto, LXXII,consagra la existencia del HabeasData como un recurso procesalpara asegurar el conocimiento dela información registrada sobre lapersona y como el medio paraejercer el derecho de rectificación

de dichos datos. En este caso sibien aún no existe una ley sobre laprotección de datos, sí existe untexto legal de naturaleza procesaldenominado Ley nº 9.507, del12.11.97, Regula o direito deacesso a informações e disciplinao rito processual do Habeas data.

El artículo 2 inciso 6 de laConstitución Peruana de 1993prohíbe el suministro deinformación que afecte la intimidadpersonal o familiar a través dearchivos informatizados y consagraigualmente el recurso de HabeasData en el artículo 200, comoprocedimiento para la defensa deuna serie de derechos derivados dela nueva sociedad de lainformación: la libertadinformática, la protección de laintimidad, el honor, la voz y laimagen. Además, en Perú ya se haaprobado la Ley sobre HabeasData, Ley No. 23.061 del 2 deMayo de 199439 ; siendo estanación uno de los países con unaregulación más completa sobreprotección de datos.

La Constitución Política de 1987 deNicaragua señala en su artículo 26inciso 4 el derecho de todociudadano a conocer lainformación que sobre su personahan registrado las autoridadesestatales, así como su derecho asaber porqué y con qué fin existeesa información. Una normasimilar en contenido está recogidaen la Constitución Política delEcuador de 1998 cuyo artículo 94dice:

Artículo 94.- Toda persona tendráderecho a acceder a los documentos,bancos de datos e informes que sobresí misma, o sobre sus bienes, constenen entidades públicas o privadas, así

como a conocer el uso que se hagade ellos y su propósito. Podrá solicitarante el funcionario respectivo, laactualización de los datos o surectif icación, eliminación oanulación, si fueren erróneos oafectaren ilegítimamente susderechos. Si la falta de atencióncausare perjuicio, el afectado podrádemandar indemnización. La leyestablecerá un procedimiento especialpara acceder a los datos personalesque consten en los archivosrelacionados con la defensanacional.40

Por su parte, en Paraguay tambiénse ha optado por establecer laprotección expresa de la intimidaden la manipulación de los datospersonales, así como la garantíaconstitucionalmente reconocida delHabeas Data según lo revelan lossiguientes artículos de laConstitución Política:

Artículo 28.- Se reconoce el derechode las personas a recibir informaciónveraz, responsable y ecuánime. Lasfuentes públicas de información sonlibres para todos. La ley regulará lasmodalidades, plazos y sancionescorrespondientes a las mismas, a finde que este derecho sea efectivo. /Toda persona afectada por la difusiónde una información falsa,distorsionada o ambigua tienederecho a exigir su rectificación o suaclaración por el mismo medio y enlas mismas condiciones que haya sidodivulgada, sin perjuicio de los demásderechos compensatorios.

Art.30. - La emisión y la propagaciónde las señales de comunicaciónelectromagnética son del dominiopúblico del Estado, el cual, enejercicio de la soberanía nacional,promoverá el pleno empleo de lasmismas según los derechos propiosde la República y conforme con losconvenios internacionales ratificadossobre la materia. La ley asegurará, enigualdad de oportunidades, el libreacceso al aprovechamiento delespectro electromagnético, así comoal de los instrumentos electrónicos deacumulación y procesamiento de

38 Dicho texto se encuentra disponible en la página www.juschubut.gov.arg/ley4244.htm39 Texto disponible en la página: www.congreso.gob.pe40 Texto disponible en la página: http://www.cldonline.org/habeasdata.html

C O D H E M


122

información pública, sin más límitesque los impuestos por las regulacionesinternacionales y las normas técnicas.Las autoridades asegurarán que estoselementos no sean utilizados paravulnerar la intimidad personal ofamiliar y los demás derechosestablecidos en esta Constitución.

Artículo 135. (...) Toda persona puedeacceder a la información y a los datosque sobre sí misma o sobre sus bienesobren en registros oficiales o privadosde carácter público, así como conocerel uso que se haga de los mismos y desu finalidad. Podrá solicitar ante elmagistrado competente laactualización, la rectificación o ladestrucción de aquellos si fuesenerróneos o afectaran ilegítimamentesus derechos.

La Constitución Política chilena, sibien contempla normas genéricasde protección a la intimidad, noexpresa abiertamente una normaespecífica sobre el tratamiento dedatos personal o el Habeas Data.Es la Ley de Protección de DatosPersonales aprobada en 1999 laque define los alcances de laprotección de la intimidad en elmanejo, archivo y disposición delos datos de los ciudadanos. Enel año 2000, el Ministerio deJusticia aprobó el Decreto 779-2000 que es el Reglamento delRegistro de Bancos de DatosPersonales a cargo deorganismos públicos, separandocon ello el tratamiento de datosde ficheros públicos de lo querespecta al tratamiento queotorgan los ficheros privados.

Valga citar también la inclusión dela protección de datos en laConstitución Política Colombianacuyo artículo 15 en lo que interesadice:

Artículo 15.- Todas las personas tienenderecho a su intimidad personal y

familiar y a su buen nombre, y elEstado debe respetarlos y hacerlosrespetar. De igual modo tiene derechoa conocer, actualizar y rectificar lasinformaciones que se hayan recogidosobre ellas en bancos de datos y enarchivos de entidades públicas yprivadas. En la recolección,tratamiento y circulación de datos serespetarán la libertad y demásgarantías consagradas en laConstitución. La correspondencia ydemás formas de comunicaciónprivada son inviolables. Sólo puedenser interceptadas o registradasmediante orden judicial, en los casosy con las formalidades que establezcala ley. Para efectos tributarios ojudiciales y para los casos deinspección, vigilancia e intervencióndel Estado podrá exigirse lapresentación de libros de contabilidady demás documentos privados, en lostérminos que señale la ley.41

En Costa Rica, la AsambleaLegislativa tiene pendiente deaprobación bajo el expediente No.12.827 el proyecto de ley conocidocomo Habeas Data42 , quepretende adicionar un capítulonuevo que regule el indicadorecurso dentro de la Ley deJurisdicción Constitucional (No.7135 del 19-10-89). Dichoproyecto fue impulsado ante elevidente perjuicio a la intimidad queprovocaban ficheros bancariossobre morosos que en esa nacióneran distribuidos entre bancosestatales y privados para limitar lacapacidad crediticia de quienesconstaban en tal lista. El texto legalque consta como proyecto de ley,pretende constituir una herramientaprocesal para que personas físicasy jurídicas puedan proteger, demanera procedimental, el derechode la persona a su intimidad,imagen, honor, autodeterminacióninformativa y libertad informáticaen el tratamiento de sus datospersonales, incorporando los

principios y prerrogativas deprotección legal que se incluyenen el Convenio 108 y en laDirectiva Europea analizadasupra.

Otra de las inquietudes dellegislador costarricense fue laamplitud de lo que se denomina“Secreto de Estado”,denominación bajo la cual podríaestarse ocultando informaciónpersonal de los ciudadanos endetrimento de su intimidad y másespecíficamente, de suautodeterminación informativa.

En Costa Rica, no existe normaconstitucional que prevea elrecurso de Habeas Data, pese ala existencia del artículo 23 sobrela protección de la intimidad delos ciudadanos. El desarrollo delrecurso de Habeas Data, s inembargo, se ha dado en lajur i sprudencia desde hacealgunos años, aplicando ladefensa de la intimidad delindividuo a través del Recurso deAmparo.

Efectivamente, la tendencia ha sidoaprovechar la existencia de lafigura procesal del Recurso deAmparo para ejercer la protecciónde la intimidad que lecorrespondería por especialidad alrecurso de Habeas Data. Noobstante, los Es tados hancomprendido la necesidad deconformar el Habeas Data comoun recurso independiente queotorgue protección efectiva alafectado en la disponibilidad dela información que se recabe desu persona ya sea por sujetos dederecho público o privado,tutelando lo que se ha

41 Texto disponible en la página: www.georgetown.edu/LatAmerPolitical/Constitutions/Colombia/colombia.html42 Dicho proyecto fue declarado inconstitucional por haberse infringido en su proceso de aprobación ciertos requisitos formales que

exige la Constitución Política de Costa Rica, por lo que el proceso de estudio y votación se ha retomado en el seno de laAsamblea Legislativa para enmendar el procedimiento. La Sala Constitucional, sin embargo, no emitió su pronunciamientosobre el fondo del proyecto. (Voto No. 5958-98 de las 14:54 horas del 19 de agosto de 1998).

DOCTRINA 123

l legado a denominar la“autodeterminación informativa”como una facultad del individuode ejercer acciones concretasante el uso indiscriminado, falso,equívoco, excesivo, incorrecto,inexacto o i legít imo de susdatos.

VII. BALANCE DE LAAUTODETERMINACIÓN INFORMATIVAEN AMÉRICA LATINA

La autodeterminación informativa,como ya adelanté en la primeraparte de este estudio, es latransformación del derecho a laintimidad como un derecho deacción en defensa de los interesespersonales, que otorga la facultadde ingresar a bases de datos yejercer las acciones necesariaspara conocer, acceder, corregir,actualizar, cambiar, incluir e inclusoeliminar datos recabados con o sinconsentimiento del sujeto. Engeneral, el recurso pretenderesguardar la identidad informáticade la persona y evitar laconstitución de perfiles subjetivosque pudiesen alterar el derecho ala intimidad, al honor, a la imageny a la autodeterminación delindividuo.

Finalmente, como iniciativaregional, a finales de la décadapasada la Asamblea General dela Organización de NacionesUnidas adoptó al respecto la“Directriz para la Regularización deFicheros Automáticos de DatosPersonales”43 que pretendeconminar a los Estados miembrosa adoptar la regularización internapara la defensa de la intimidad delos ciudadanos en la manipulaciónde sus datos de carácter personal.

Sin entrar en un exhaustivo análisisde estas legislaciones, basta indicar

que en la carrera del derecho porajustarse a los avancestecnológicos, se han cometidociertos errores legislativos quedeben ser evaluados a la luz de laexperiencia de las naciones cuyanormativa ya ha sidoperfeccionada. Si se pretendeincluir un recurso de Habeas Data,debe existir conciencia de lanecesidad de adoptar unalegislación previa, específica ypertinente que proteja lamanipulación de datos a través deficheros automatizados y manualestanto en la empresa privada comoen los órganos gubernamentales.

La mayoría de iniciativasamericanas (incluyendo el proyectode ley de la República de CostaRica) carecen de la regulacióninicial de los ficheros y demecanismos que permitan a losencargados de tales ficherosadoptar las medidas básicas paragarantizar al ciudadano tanto laprotección de su intimidad comoel acceso a los registros, situaciónque permitiría el control adecuadoque se pretende. Esta situacióndeviene en una inseguridadjurídica con respeto al uso diariode estos ficheros o bases de datose incluso, ante este vacío legalqueda sin definir lo que debeentenderse como datos de carácterpersonal y los datos públicos. Portanto, se ha optado por acudirdirectamente a un mecanismo oherramienta procesal que resultadebilitada ante aquella omisión, yse deja en manos de lo que será lajurisprudencia, la delimitación dela nueva figura legal que nosocupa en este estudio.

Esto ha provocado enLatinoamérica que la figura delHabeas Data adquiera distintasdimensiones con respecto a la

figura europea, que muchas vecesredundan en una mejora de lamisma, y otras podrían implicar suestancamiento o inaplicabilidad.

Ante la falta de presupuesto paraestablecer órganos dedicados a laexclusiva vigilancia delcumplimiento de la protección delos datos en las empresas privadasy públicas o bien para el controlde los ficheros; las legislacioneslatinoamericanas optaron porredimensionar las funciones deórganos ya existentes(generalmente de índole judicial)evitando con ello menosburocracia. Esa ventaja, sinembargo, podría eventualmentecrear un rezago en el desarrollo deesta figura (ya de por sí cambiante),debido a la inexistencia de órganosespecializados y la imposibilidad delos juzgados de asumireficientemente nuevas tareas oejercer acciones cautelaresinmediatas sin que se les dote demás recurso humano, logístico,técnico y económico.

Al Habeas Data latinoamericano sele han adicionado nuevasutilidades y áreas de protecciónque redundan en beneficio de unamejor defensa de los derechos delos ciudadanos. Por ejemplo, bastacitar el caso de Argentina en dondetal recurso ha permitido elesclarecimiento de casosrelacionados con el destino de los“desaparecidos” en las dictadurasmilitares, al proporcionar accesoa los archivos donde talinformación constaba desde hacíadécadas.

Latinoamérica se ha separado estavez de la tendencia legislativaimpuesta por los Estados Unidosde Norteamérica en materia deDerecho Informático. Si la nación

43 Dicho texto se encuentra disponible en la página: www.onu.org

C O D H E M


124

del norte aboga por no adoptar(por protección al sector privado)el Habeas Data sino dejar que segenere una autorregulación de lasfuerzas comerciales basadasúnicamente y de forma eventual encódigos de ética o en políticas depuerto seguro; Latinoamérica porsu parte ha tomado conciencia dela necesidad de proteger alindividuo ante la revolucióntecnológica.

Sin embargo, considero necesarioque más que una herramientajudicial o procesal (como pretendehacerlo por ejemplo la Repúblicade Costa Rica), el Recurso deHabeas Data debe constituirse alamparo de una ley de protecciónde datos que adicionalmente searespaldada por una norma derango constitucional expresa parala materia.

No basta entonces conimplementar un recurso procesal siexiste un vacío legal importante

que determine responsabilidades delos individuos y señale cuáles sonlas conductas anómalas queimplicarían la violación de losderechos del afectado, así comolas medidas de seguridadmínimas que se deben adoptaren cada caso de conformidadcon el tipo de dato referido o elnivel de seguridad necesario parasu resguardo. Dejar en manos dela jurisprudencia la construcciónde este nuevo derecho, no es unaalternativa que a mi juicio seaviable por la inseguridad jurídicaque genera tanto para el usuariocomo para quienes debanmanipular bancos de datosdonde conste informaciónpersonal de los ciudadanos.

Debemos enfrentar la necesidad decrear figuras jurídicas que seadapten a los nuevosrequerimientos del mercado peroprotegiendo como prioridad losderechos fundamentales de losusuarios. Se debe buscar un

equilibrio entre los intereses delos ciudadanos y los interesescomerciales. La ley debe preverno establecer límites extremos queimpidan el libre funcionamientode las redes de información y delcomercio electrónico (que es lainquietud planteada en EstadosUnidos) , pero tampocodesamparar a los ciudadanos enel libre ejercicio, goce y respetode los derechos fundamentalesque les corresponden.

Dentro de esta idea, finalizo elpresente estudio con unaref lexión muy elocuente alrespecto de Watson & Chervokasque dice:

Solo porque la ley ignore la realidad,no quiere decir que la realidad va acambiar y como resul tado, losnegocios y la industria continuaránbajo e l asal to de las nuevastecnologías hasta que desarrollemosmecanismos conscientes de principiosbásicos de dominio tecnológico queno impliquen la detención de sudesarrollo.44

44 Traducción libre del artículo “Open Source: Philosophy lies at the heart of media bussiness” de Watson & Chervokas.” En Internet:www.newaydirect.com/watson&Chervokas/Philosophy

DOCTRINA 125

VIII. BIBLIOGRAFÍA

DOCTRINA:

CORRIPIO GIL-DELGADO, María de los Reyes. Regulación jurídica de los tratamientos personales realizadospor el sector privado en Internet. Agencia de Protección de Datos, Madrid, 2000.

DAVARA, Miguel Angel. Manual de Derecho Informático. Editorial Aranzadi, Pamplona, 1997.

DAVARA RODRÍGUEZ, Miguel Ángel. Derecho informático. Aranzadi, Pamplona, 1993.

DAVARA, Miguel Angel. La protección de datos en Europa. Principios, derechos y procedimiento. GrupoAsnef Equifax, Madrid, 1998.

FERNÁNDEZ ESTEBAN, María Luisa. Nuevas tecnologías, Internet y Derechos Fundamentales. Mc Graw-Hill Interamericana de España, Madrid, 1998.

GALINDO, Fernando. Derecho e informática. La Ley-Actualidad, Madrid, 1998.

HABERMAS, Jürgen. La inclusión del otro. Editorial Paidós, Barcelona, 1999.

LUCAS MARIN, Antonio. La nueva sociedad de la información. Editorial Trotta, Madrid, 2000.

LUCAS MURILLO, Pablo. Derecho a la autodeterminación informativa. Editorial Tecnos, Madrid, 1990.

MUÑOZ MACHADO, Santiago. La regulación de la red. Poder y derecho en Internet. Editorial Taurus,Madrid, 2000.

PEREZ LUÑO, Antonio Enrique. Nuevas tecnologías, sociedad y derecho. El impacto socio-jurídico de lasN.T. de la información. FUNDESCO, Madrid, 1987.

RUIZ MIGUEL, Carlos. La configuración constitucional del derecho a la intimidad. Tecnos, Madrid, 1995.

SUÑÉ LLINÁS, Emilio. Tratado de Derecho Informático. Volumen 1, Universidad Complutense de Madrid,Madrid, 2000.

TEODORO I SADURNÍ, Jaume. Intercambio electrónico de datos(EDI). Ministerio de Obras públicas, Transportesy Medio Ambiente. Dirección General de Telecomunicaciones, Madrid, 1994.

VÁZQUEZ GALLO, Enrique y BERROCAL COLMENAREJO, Julio. Comercio Electrónico, materiales para elanálisis. Ministerio de Fomento, Madrid, 2000.

VELAZQUEZ BAUTISTA, Rafael. Protección Jurídica de datos personales automatizados. Editorial COLEX,Madrid, 1993.

WARREN, Samuel y Louis Brandes. El derecho a la intimidad. Editorial CIVITAS, Madrid, 1995.

ARTÍCULOS DIGITALES:

BUSCHIAZZO (Sebastián). Habeas Data: La solución latinoamericana al problema de protección de datos.http://www.econolink.com.ar/derintern/derinter3.htm

CARRANZA TORRES (Luis). Caracteres generales del Habeas Data. http://www.informaticajuridica.com/trabajos.asp?trabajo=caracteres_generales_del_corpus_habeas.htm

C O D H E M


126

GUADAMUZ (Andrés). Habeas Data: The Latin-American response to Data Protection. http://elj.warwick.ac.uk/jilt/00-2/guadamuz.html#2.2

IRIARTE AHON (Erick). Habeas Data. http://publicaciones.derecho.org/redi/No.-03-octubre-de-1998/erick

NÚÑEZ PONCE (Julio). La acción constitucional de Habeas Data y la comercialización judicial en Internet.http://publicaciones.derecho.org/redi/No._13_agosto_de_1999/data

PALAZZI (Pablo). El Habeas Data en el Derecho Argentino. http://publicaciones.derecho.org/redi/No.-o4-noviembre-de-1998/palazzi

PUCCINELLI (Oscar Raúl). El Habeas Data en el constitucionalismo indoiberoamericano.http://www.enlsaperu.com/nleg/article/277DOC04.htm

RIASCOS GÓMEZ (Libardo Orlando). La visión iusinformática del derecho a la intimidad, no es un nuevoderecho fundamental. http://www.informatica-juridica.com/trabajos.asp?trabajo=ponencia.html

TORRES CARRANZA (Luis R.). Caracteres generales del Habeas Data. www.informaticajuridica.com/trabajos.asp?trabajo=caracteres—generales_del corpues-habeas.htm

WATSON & CHERVOKAS. Open Source: Philosophy lies at the heart of media bussiness.www.newaydirect.com/watson&Chervokas/Philosophy.

LA PROTECCIÓN DEL DERECHO A LA INTIMIDAD EN EL...

Documents

Transcript of LA PROTECCIÓN DEL DERECHO A LA INTIMIDAD EN EL...