No dia 10 de maio, informações pessoais de seis milhões de chilenos armazenadas em instituições públicas e privadas foram disponibilizadas na Internet por um hacker que afirmou tê-lo feito para alertar contra a parca segurança com que tais informações eram tratadas. Para Renato Jijena, a disponibilização destas informações, em si, não é um delito, pelo mero fato de não haver previsão legal que possa ser usada para proteger as informações pessoais disponibilizadas. O problema verdaderio é o atual enfoque chleno para o problema da proteção de dados. Leia mais em [El Mercurio].
Category: Chile
Proteção de dados pessoais na América Latina
Por Ana Brian Nougrères, Danilo Doneda, Renato Jijena Leiva, Pablo Palazzi e Nelson Remolina
Introdução
Esta breve nota tem a inteção de introduzir o leitor ao estado atual da proteção de dados pessoais na América Latina (particularmente na Argentina, Brasil, Chile e Uruguai)
Argentina
En el caso de Argentina, se trata del segundo país en aprobar una ley de protección de datos personales (ley 25.326) luego de la ley chilena del año 1999. Desde el año 1994 la Constitución Federal contempla el habeas data (art. 43) y el Código Civil ampara la privacidad en sus diversas formas desde la reforma por ley 21.173 (art. 1.071 bis Código Civil). Además Argentina es signataria de numerosos tratados internacionales que tienen jerarquía constitucional en el ordenamiento interno y que amparan la privacidad e intimidad.
Argentina es un país muy activo en materia de datos personales, con mucha discusión judicial y académica del tema. Asimismo Argentina fue el único país latinoamericano aprobado por la UE (el otro país del continente fue Canadá pero no es América Latina).
Sin embargo no todo es tan atractivo como se lo pinta. Está pendiente que la agencia argentina de datos personales funcione de manera mas activa, sea dotada de mayor personal y presupuesto y pueda encarar el estudio de sectores determinados de la sociedad que no cumplen con la ley de protección de datos personales en forma visible y patente a diario. Hay un amplio tráfico de bases de datos sustraídas de fuentes estatales y privadas, mucho spam, cientos de casos de robo de identidad por mes que generan datos desactualizados y acciones de marketing que se realizan impunemente (ej. cesiones de datos personales sin permiso o conocimiento del titular o venta de bases de datos de salarios). Asimismo la agencia debería ser independiente y su director no debería ser nombrado por el Presidente sino por el Congreso, cuestión que estaba prevista en la ley original pero que el Poder Ejectuvio vetó en su momento. Por ende es necesaria una reforma legislativa de la ley 25.326 en estos y en otros aspectos como el caso de los bancos de datos privados destinados a proveer informes.
Brasil
O regime de proteção de dados pessoais no Brasil é formado por um conjunto de normas que somente podem ser sistematizadas sob o epíteto de “proteção de dados” com um certo esforço doutrinário. A privacidade é uma garantia fundamental da Constituição Federal e, a partir dela, o ordenamento disciplina a ação de habeas data (foi o primeiro país a instituí-la) e a proteção aos crediários de consumo proporcionada pela lei de defesa do consumidor, além de uma série de outras normas se relacionam com o tema. A partir destes marcos normativos fundamentais, a proteção de dados se desenvolve de forma setorial, sem que chame a atenção como uma disciplina integrada.
Várias destas regras setoriais merecem destaque. A lei de proteção ao consumidor é razoavelmente completa sobre o tema e cobre um amplo leque das operações de tratamento de dados pessoais no setor de comércio, o que é especialmente valioso com a grande expansão do crédito ao consumo em um passado recente. A própria ação de habeas data, se não é propriamente adequada à realidade do tratamento automatizado da informação, é um marco importantíssimo e acaba por ter a função de tornar clara a relavância que a Constituição reconhece ao controle pessoal sobre os próprios dados. Porém, a consolidação de um regime integrado de proteção de dados no Brasil parece ainda incipiente pela falta de disposição a reunir normas diversas sob a mesma rubrica – o que se demonstra ainda mais pela rejeição da jurisprudência em identificar a proteção de dados como uma garantia fundamental do indivíduo no direito brasileiro. De toda forma, nota-se nos últimos anos um certo desconforto com a aparente permissividade deste modelo, o que se verifica pelas reações, dentro e fora do mundo jurídico, a iniciativas como o monitoramento compulsório dos automóveis por meio de chips Rfid, o monitoramento de detentos em regime semi-aberto, a transferência de dados sanitários para o setor privado, entre outros casos que vêm ultimamente contribuíndo para o crescimento da discussão sobre o tema.
Chile
La ley chilena sobre protección de datos personales, N°19.628 del año 1999, fue redactada con la asesoría directa de grupos, gremios y empresas interesadas en asegurar el negocio que constituye el procesamiento de datos personales, lo que se sumó al desconocimiento de los parlamentarios que la impulsaron. Estas afirmaciones resultan evidentes del análisis comparado con las dos normas en que los parlamentarios dijeron haberse fundado, la ley francesa de 1978 y la española de 1992, con las cuales existen diferencias radicales, de forma y de fondo.
Las causas de la falta de real aplicación de la ley en Chile se deben a sus graves errores de fondo y de estructura, que desde 1999 han impedido su vigencia efectiva. A la ley chilena le faltan aspectos orgánicos esenciales, como la existencia de un registro de bases de datos particulares, de un ente fiscalizador, de un procedimiento de reclamo administrativo y de sanciones eficaces. La norma ha transformado al hábeas data en una mera declaración de intenciones, ya que por la vía de las excepciones y por establecer como regla general una enorme libertad en materia de procesamiento de datos personales, se permite su “tratamiento” sin autorización de los titulares.
A lo anterior, se agrega que el derecho de acceso se sometió a la competencia de los tribunales y no de un ente administrativo eficaz y especializado (cuando en contrario, incluso se había propuesto una Superintendencia de Bases de datos); y porque “para no encarecer los costos del negocio”, dicen las Actas, se eliminó la obligación de que se informara una vez al año a los titulares de los datos sobre su procesamiento, con lo cual se permitió el anonimato que hoy cubre el tráfico indiscriminado de información nominativa.
Aunque el tema de los “datos personales o nominativos procesados computacionalmente” va mucho más allá que el problema de los protestos, de la morosidad comercial y de los archivos históricos almacenados en bancos de datos por cierto lapso de tiempo, esta es la principal connotación que se le ha dado en Chile a la Ley Nº 19.628.
¿Los responsables del error legislativo denominado Ley 19.628?. Es cosa de ver las Actas e Informes parlamentarios. El Ejecutivo de la época que no colegisló; y el parlamentario que hoy, desde su cargo de Ministro, sigue insistiendo en foros especializados en que la culpa es de los ciudadanos despreocupados y no de la radical falta de idoneidad de la norma chilena.
Finalmente, un instructivo Presidencial del febrero del año 2007, sobre desarrollo digital, consignó que sería una nueva Política Pública el atender a problemas derivados del avance de las TICs no considerados adecuadamente, como las ambigüedades en torno a la privacidad y a la seguridad de los datos personales. A esta fecha no se han presentado proyectos de ley iniciados en el Gobierno (si en Mociones parlamentarias) en este sentido.
Colombia
En Colombia el tema de la protección de datos personales no es nuevo a pesar de no contar con una ley específica sobre el tema. Se podría resumir el caso colombiano diciendo que desde la perspectiva jurídica existe una amalgama de normas conformada por el artículo 15 de la Constitución que considera el habeas data como un derecho fundamental sumado a una serie de disposiciones sectoriales que tangencialmente se refirieren a la materia mas la importante jurisprudencia de la Corte Constitucional que desde 1992 a enero de 2008 se ha pronunciado en más de 140 sentencias.
La jurisprudencia colombiana ha seguido muy de cerca los principios internacionales sobre la protección de datos personales que han sido incorporados en documentos de la Organización de las Naciones Unidas y la Unión Europea. Desde la primera sentencia (T 414/92) la Corte Constitucional de Colombia ha establecido que la persona es el titular y propietario del dato personal. Para ella es obligación de los administradores de bancos de datos administrar correctamente y proteger los archivos y bases de datos que contengan información personal o socialmente relevante y no atentar contra los derechos fundamentales de los ciudadanos. La Corte Constitucional señaló, de manera general, que “la función de administrar una base de datos debe fundamentarse en los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad”. Concretamente, ha precisado que los administradores deben: (1) Obtener previamente la autorización de la persona cuyos datos se pretende incluir en la base; (2) Notificar a la persona sobre la inclusión de sus datos en el banco e informarle que va a reportar su información en una base de datos con miras a que el titular pueda desde un comienzo ejercer sus derechos de rectificación y actualización;(3) Actualizar permanente y oficiosamente la información para que ésta sea veraz, completa y no se omitan factores que pueden cambiar el buen nombre de la persona; (4) Eliminar de oficio la información negativa que ha caducado con el paso del tiempo; (5) Indemnizar los perjuicios causados por la falta de diligencia o por posibles fallas en el manejo, tratamiento o administración de datos personales; (6) Garantizar el derecho de acceso, actualización y corrección. Estos derechos implican que el ciudadano tenga “la posibilidad (…) de saber en forma inmediata y completa, cómo, por qué y dónde aparece cualquier dato relacionado con él”; (…)si la información es errónea o inexacta, el individuo puede solicitar, con derecho a respuesta también inmediata, que la entidad responsable del sistema introduzca en él las pertinentes correcciones, aclaraciones o eliminaciones, a fin de preservar sus derechos fundamentales vulnerados”. Finalmente, la Corte ha precisado que, por regla general, “no puede recolectarse información sobre datos “sensibles” como, por ejemplo, la orientación sexual de las personas, su filiación política o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a una política de discriminación o marginación”.
Actualmente se encuentra en la Corte Constitucional el proyecto de ley estatutaria aprobado en 2007 cuyo texto se puede consultar aqui . Le corresponde a la Corte establecer si dicho texto se ajusta o no a la Constitución. No obstante, debemos anotar que no existe consenso sobre la conveniencia del proyecto ya que ha sido objeto de críticas. De hecho, frente a la Corte varias entidades, ciudadanos, expertos, exmagistrados y consticuionalistas ha solicitado diversidad de cosas: declararlos constitucional integralmente, declararlo inconsticional totalmente y parcialmente. Desde la academia reconocemos que el proyecto contiene aspectos positivos pero a la vez creemos que tiene muchas falencias y apartes claramente inconstitucionales (Ver: Documento GECTI No. 8 del 27 de septiembre de 2007. “El proyecto de ley sobre habeas data y protección de datos personales es inconstitucional”, Documento radicado ante la Corte Constitucional de Colombia y también Alarma y desconcierto por la futura ley de habeas data, la protección de datos personales y los deudores morosos ). Esta apreciación también ha sido compartida por la Procuraduría General de la Nación en su concepto 4407 (Ver: Gran parte del proyecto de ley estatutaria sobre habeas data es inconstitucional (concepto No. 4407).
Uruguay
El modelo uruguayo nos muestra, por un lado, normativa marco, constituida por las disposiciones de los artículos 72 y 332 de la Constitución de la República (1967), que consagran los principios generales como fuente de derecho en nuestro país. Esta concepción –jusnaturalista—nos habilita a decir que no existe desamparo para los ciudadanos uruguayos, y que sus datos personales tienen medios de protección consagrados en la Carta. La interpretación de nuestra Constitución en su carácter de normativa enmarcadora de los principios generales del derecho nos permite una integración de los principios consagrados en tratados internacionales como parte integrante del ordenamiento jurídico nacional. Entendemos, por tanto, que la protección de datos personales está implícitamente consagrada en nuestro ordenamiento jurídico normativo con carácter general.
Además, en este país, existe expresa consagración normativa de la protección de datos personales en normas de alcance sectorial, que vienen a regular distintos aspectos que conciernen a la protección de datos personales y al derecho de acceso. Así podemos mencionar la consagración del secreto tributario y previsional, el secreto bancario, el secreto estadístico, el derecho de acceso a la información, el acceso por la autoridad impositiva a los datos que se encuentren en poder de órganos u organismos públicos estatales o no estatales para el control de los tributos, la acción de amparo, la protección de los datos de identificación civil, la prohibición de cesión, venta, reproducción o entrega a terceros de información relativa al estado civil de las personas del Registro de Estado Civil; la inscripción registral de las personas que tienen la condición de deudor alimentario moroso, el carácter reservado de los datos personales de los menores y adolescentes, los datos médicos, la consagración de la libertad de pensamiento e información, el sector comercial, la acción de habeas data, la creación de un Registro de Empresas Infractoras a la normativa laboral en la órbita del Ministerio de Trabajo y Seguridad Social.
Si bien la Constitución no ampara explícitamente la protección de datos personales ni el acceso a la información como derechos fundamentales, no puede concluirse que el ordenamiento uruguayo no posea medios para la tutela de los datos personales. Sí los posee en función de los preceptos constitucionales, que habrán de ser informados conjuntamente con los contenidos en las declaraciones y convenios multilaterales signados por nuestro país, y la variada y dispersa normativa existente.
El sistema uruguayo de protección de datos, aún sin contener una ley que ampare con carácter general la protección de los datos personales, sí posee una adecuada enumeración y desarrollo de los principios generales que rigen el derecho fundamental a la protección de datos personales (Ley N° 17838, Ley N° 16616), tiene expresa consideración del derecho de acceso (Ley N° 16736), define los datos sensibles (Ley N° 17838), tiene consagrada la acción de amparo como instrumento procesal para el ejercicio de los derechos de acceso, rectificación, corrección de los datos (Ley N° 17838, Ley N° 16099).
En términos generales, el sistema uruguayo nos brinda algunas herramientas para la protección de los datos, que no son pocas.
A estudio del parlamento se encuentran al día de la fecha dos proyectos de ley que pueden delinear próximos cambios en el sistema de protección de datos uruguayo. El primero, sobre “Acceso a la información pública y amparo informativo e Instituto Nacional para la información pública”, se encuentra a estudio de la Comisión de Educación y Cultura de la Cámara de Senadores desde el año 2006 (Carpeta N° 541/2006). El segundo, sobre protección de datos, ingresó desde el Poder Ejecutivo al análisis del Poder Legislativo en el mes de septiembre de 2007; se le dio ingreso formal a la Cámara de Senadores en la primera sesión de octubre y pasó a ser analizado por la Comisión de Educación y Cultura de esta Cámara parlamentaria uruguaya”.
Conclusiones
Solamente dos países poseen leyes que siguen el modelo europeo en la región (de las cuales una ya fue considerada adecuada por la Unión Europea de protección de los datos personales) y en otos tres países hay proyectos legislativos en curso de análisis. El resto de la región parece encontrarse un tanto distante de tener una ley de protección de datos personales.
***
Esta é a primeira nota de uma série que os autores realizarão com a intenção de publicar conteúdos conjuntos nos blogs da Rede Latino-Americana de Proteção de Dados Pessoais e difundir os aspectos mais importantes da proteção de dados pessoais na região.
Por Ana Brian Nougrères, Danilo Doneda, Renato Jijena Leiva, Pablo Palazzi e Nelson Remolina