Principios y Recomendaciones Protección de Datos...

Recomendaciones: Protección de Datos Personales

Principios y RecomendacionesPrincipios y RecomendacionesProtecciProteccióón de Datos Personalesn de Datos Personales

John M. WilsonOficial Jurídico Principal

Departamento de Derecho Internacional



Antecedentes Procesales

• Asamblea General:

Desde 1996 estudios sobre los marcos existentes en acceso a la información y protección de datos personales

• Comité Jurídico Interamericano:

Estudios protección de datos, informes, cuestionario y resolución



Antecedentes Procesales

• Acceso a la Información: Principios, Recomendaciones, Ley Modelo; Guía de Implementación; Programa Interamericano

• Protección de Datos: Solicito el presente Estudio de Principios y Recomendaciones sobre protección de datos personales


Antecedentes TecnológicosAvances Tecnológicos: • Computación, Internet, comercio electrónico, medicina, biotecnología

• Colección, Almacenamiento, transferencia, divulgación

• Incremento significativo en el procesamiento de los datos personales

• Crecimiento exponencial cada año


Antecedentes LegislativosAvances Legislativos: • La legislación se basa en el derecho de la persona a la privacidad

• El origen del derecho a la privacidad varia región por región

• Tratamiento de la protección de datos varia país por país

• Tres tipos de legislación prevaleciente


Alternativas Legislativas

Tres tipos de legislación prevaleciente

• Sistema Europeo: Sistema más estricto de regulaciones estatales

• Sistema Estadounidense: Autorregulación de las entidades privadas

• Habeas Data: Acceso a la información personal en manos del gobierno


Balance entre objetivos

PROTECCIPROTECCIÓÓN N derecho de privacidadderecho de privacidad

FOMENTOFOMENTOcomercio electrcomercio electróóniconico


Sistema Europeo• Derecho Humano: El Consejo de Europa Reconoce la Privacidad como un Derecho Humano

• Derecho: Declaración Universal de Derechos Humanos

• Derecho: Pacto Internacional de ONU sobre los Derechos Civiles y Políticos

• Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques



Sistema Europeo

• Derecho a privacidad cubre todo aspecto

• Procesamiento de datos por el gobierno y entidades privadas

• Convenio del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal

• Directiva sobre protección de datos de la Unión Europea



Directiva de la Unión Europea

• Derecho: Reconoce el derecho de los particulares a la privacidad

• Estándar: Establece el nivel estándar de la protección de datos para los miembros de la Unión Europea

• Aplicación Extraterritorial: permite transferencia de datos personales sólo cuando el país “garantice un nivel de protección adecuado [de los datos]”



Sistema de Estados Unidos• Derecho: origina de la interpretación de la Constitución en la jurisprudencia de las cortes

• Corte Suprema ha declarado que la Constitución protege el interés de las personas de evitar la divulgación de sus asuntos personales

• Corte Suprema ha declarado que la privacidad no es absoluta. El interés de la persona a la privacidad se debe balancear con el interés público



Interés Publico

INDIVIDUO INDIVIDUO derecho de privacidadderecho de privacidad

PUBLICOPUBLICOinternteréés colectivo s colectivo



Sistema de Estados Unidos

• Protección se limita a los datos procesados o en custodia del gobierno federal

• No abarca los datos procesados o en custodia de la entidades privadas

• Auto‐regulación por parte de los sectores económicos



Safe Harbor• Sistema Voluntario al cual las empresas privadas se pueden apegar

• Certifica que la entidad privada establece un nivel adecuado de protección de los datos personales

• Requerido para las empresas que reciben datos personales de la Unión Europea

• Transferencias internacionales de datos personales



America Latina: Habeas Data• Habeas Data: Acción ante el sistema judicial

• Permite protección de la imagen, privacidad, honor, etc., de la persona

• Mecanismo que otorga a la persona la facultad de detener el abuso de sus datos personales

• En general, permite a la persona el acceso a la información personal en las bases de datos públicas y/o privadas



Habeas Data• No exige que el gobierno o entidades privadas protejan los datos personales por iniciativa propia

• Requiere que la persona agraviada presente una denuncia ante el sistema judicial

• Requiere que este compruebe que el procesamiento de los dato personales fue indebido

• Reserva como recurso legal sólo para personas a las que se compromete su privacidad

• No otorga un recurso legal a una persona agraviada si sus datos personales han sido transferidos del país



Nueva Ley Mexicana• Ley Federal sobre la Protección de los Datos Personales, julio de 2010

• Nueva ley regula solo los datos en custodia de actores privados

• Ley de Transparencia regula datos en custodia del gobierno

• Instituto Federal de Acceso a la Información, cobra nuevas facultades sobre Datos Personales



Principios y Recomendaciones

• Fundamento en legislaciones existentes

• Documentos de principios de sociedad civil

• Estudios y resoluciones del Comité Jurídico Interamericano

• Instrumentos internacionales

• Jurisprudencia y resoluciones judiciales



Principio 1: Legitimidad y Justicia

• Legitimidad: procesamiento de los datos personales debe ser legal y legítimo

• Justo: procesamiento de datos personales debe ser justo

• Todo procesamiento de datos personales que da lugar a discriminación contra la persona es injusto



Principio 2: Propósito Especifico

• Los datos personales deben ser procesados con un propósito específico y explícito

• EL propósito debe ser acorde a las expectativas razonables y consentimiento de la persona afectada

• Consentimiento Explicito: 1) datos sensibles; 2) uso distinto de los datos



Principio 3: Procesamiento Limitado• Limitado: procesamiento debe ser adecuado, relevante y no excesivo con relación al propósito y sólo la cantidad mínima de datos personales para cumplir con el propósito

• Necesario: personales sólo será necesario si el mismo contribuye directamente a la consecución del objetivo para el cual fueron obtenidos y procesados los datos



Principio 4: Transparencia

• procesamiento debe ser transparente:

• información sobre la identidad del controlador de datos

• propósito del procesamiento

• a quien se podrán revelar los datos personales

• cómo puede ejercer sus derecho la persona

• cualquier otra información necesaria para el procesamiento justo de los datos personales



Principio 5: Rendición de Cuentas

• El controlador es responsable de adoptar todas las medidas necesarias que imponga la legislación o autoridad competente

• El controlador tiene la obligación de demostrar que cumple con las directivas necesarias para proteger los datos personales

• Responsabilidad personal por incumplimiento



Principio 6: Condiciones Necesarias

• Consentimiento: consentimiento libre, inequívoco e informado de la persona antes de procesar sus datos personales

• Intereses: se deben balancear los intereses del de la persona afectada v. del procesador

• Condición: relación contractual; autoridad legal; circunstancias excepcionales



Principio 7: Revelación Limitada

• Comparición de Datos a terceros requiere la notificación a la persona interesada

• Establecimiento de protecciones en caso de transferencia a un tercero controlador de datos

• Relación contractual, respecto al marco normativo existente



Principio 8: Transferencia Internacional

• Las transferencias internacionales de datos personales sólo deberán efectuarse si el país receptor ofrece el mismo nivel de protección de los datos personales

• Factores para considerar: 1) la naturaleza de los datos; 2) el país de origen; 3) el país receptor; 4) el propósito para el cual se procesan los datos, y 5) las medidas de seguridad vigentes para la transferencia y el procesamiento de los datos personales



Principio 9: Derecho de Acceso

• derecho de la persona a solicitar y obtener la información sobre sus datos personales

• solicitar información sobre un dato personal específico y/o sobre cómo y por qué se procesa el dato personal

• transparencia señalado, toda la información que se suministre a la persona afectada debe ser clara y fácilmente comprensible



Principio 10: Derecho de Corregir

• La persona tiene derecho a solicitar que el controlador de datos corrija o suprima los datos personales que puedan ser incompletos, inexactos, innecesarios o excesivos

• Si los datos personales han sido divulgados a terceros, el controlador de datos debe también notificar a estos del cambio



Principio 11: Derecho de Objetar• La persona podría objetar el procesamiento en los casos en que exista una razón legítima, como un perjuicio o angustia injustificada y sustancial

• Sólo puede objetar el procesamiento de sus propios datos personales

• No podrá objetar: si los datos son necesarios para cumplimiento de un deber impuesto por ley, para ejecución de una obligación contractual entre la persona y el controlador de datos, o si la consintió



Principio 12: Personalidad

• Las personas y sus representantes pueden ejercer el derecho de acceso, derecho de corrección y supresión y derecho de objetar el procesamiento de los datos personales

• El controlador de datos puede requerir que la persona suministre información razonable para determinar su identidad



Principio 13: Seguridad de los Datos • El controlador y el procesador de datos deben tener las medidas técnicas y de organización para garantizar la integridad, confidencialidad y disponibilidad de los datos personales

• El controlador debe informar a la persona de toda violación de la seguridad que afecte sus derechos y toda medida que adopte para subsanar la violación



Principio 14: Confidencialidad• Los controladores y los procesadores tienen el deber de mantener la confidencialidad de todos los datos personales

• Deber de confidencialidad se extiende hasta después de terminada la relación

• La confidencialidad puede ser supeditada por las cortes para proteger la seguridad pública, la seguridad nacional o la salud pública



Principio 15: Cumplimiento• Para asegurar el cumplimiento y la aplicación de la protección de datos, los estados deben contar con una autoridad supervisora y establecer un recurso judicial

• Los controladores y procesadores de datos que no procesen conforme lo previsto en la legislación nacional podrían ser sujetos a responsabilidad administrativa, civil o penal



Medidas Proactivas• Los estados pueden crear programas de capacitación, educación y conciencia pública para fomentar la comprensión de la legislación, los procedimientos y los derechos en materia de protección de los datos personales

• Los estados también pueden crear procedimientos operativos normalizados para los controladores de datos, a fin de prevenir, detectar y contener las posibles violaciones de la seguridad



Cooperación

• La cooperación entre las autoridades nacionales y las autoridades internacionales es parte esencial de la protección de los datos personales

• Los estados debe promover cooperación entre autoridades nacionales encargadas de la protección de datos personales, a nivel nacional e internacional para promover la protección



Conclusiones

• Los estados miembros debieran seguir estudiando el tema

• Comprometerse a salvaguardar el derecho a la privacidad de las personas

• Considerar la posibilidad de actualizar sus sistemas regulatorios de protección de los datos personales en base a los principios y recomendaciones del presente trabajo



Conclusiones

• Principios de protección de datos

• Recomendaciones de proteccion de datos

• Modelo para legislacion interna en materia de proteccion de datos

• Intrumento internacional para las transferencias transfronterizas

• Convenciones de DIPr


Principios y Recomendaciones Protección de Datos...

Documents

Transcript of Principios y Recomendaciones Protección de Datos...