Proteção de dados pessoais na América Latina

Por Ana Brian Nougrères, Danilo Doneda, Renato Jijena Leiva, Pablo Palazzi e Nelson Remolina

Introdução

Esta breve nota tem a inteção de introduzir o leitor ao estado atual da proteção de dados pessoais na América Latina (particularmente na Argentina, Brasil, Chile e Uruguai)

Argentina

En el caso de Argentina, se trata del segundo país en aprobar una ley de protección de datos personales (ley 25.326) luego de la ley chilena del año 1999. Desde el año 1994 la Constitución Federal contempla el habeas data (art. 43) y el Código Civil ampara la privacidad en sus diversas formas desde la reforma por ley 21.173 (art. 1.071 bis Código Civil). Además Argentina es signataria de numerosos tratados internacionales que tienen jerarquía constitucional en el ordenamiento interno y que amparan la privacidad e intimidad.

Argentina es un país muy activo en materia de datos personales, con mucha discusión judicial y académica del tema. Asimismo Argentina fue el único país latinoamericano aprobado por la UE (el otro país del continente fue Canadá pero no es América Latina).

Sin embargo no todo es tan atractivo como se lo pinta. Está pendiente que la agencia argentina de datos personales funcione de manera mas activa, sea dotada de mayor personal y presupuesto y pueda encarar el estudio de sectores determinados de la sociedad que no cumplen con la ley de protección de datos personales en forma visible y patente a diario. Hay un amplio tráfico de bases de datos sustraídas de fuentes estatales y privadas, mucho spam, cientos de casos de robo de identidad por mes que generan datos desactualizados y acciones de marketing que se realizan impunemente (ej. cesiones de datos personales sin permiso o conocimiento del titular o venta de bases de datos de salarios). Asimismo la agencia debería ser independiente y su director no debería ser nombrado por el Presidente sino por el Congreso, cuestión que estaba prevista en la ley original pero que el Poder Ejectuvio vetó en su momento. Por ende es necesaria una reforma legislativa de la ley 25.326 en estos y en otros aspectos como el caso de los bancos de datos privados destinados a proveer informes.

Brasil

O regime de proteção de dados pessoais no Brasil é formado por um conjunto de normas que somente podem ser sistematizadas sob o epíteto de “proteção de dados” com um certo esforço doutrinário. A privacidade é uma garantia fundamental da Constituição Federal e, a partir dela, o ordenamento disciplina a ação de habeas data (foi o primeiro país a instituí-la) e a proteção aos crediários de consumo proporcionada pela lei de defesa do consumidor, além de uma série de outras normas se relacionam com o tema. A partir destes marcos normativos fundamentais, a proteção de dados se desenvolve de forma setorial, sem que chame a atenção como uma disciplina integrada.

Várias destas regras setoriais merecem destaque. A lei de proteção ao consumidor é razoavelmente completa sobre o tema e cobre um amplo leque das operações de tratamento de dados pessoais no setor de comércio, o que é especialmente valioso com a grande expansão do crédito ao consumo em um passado recente. A própria ação de habeas data, se não é propriamente adequada à realidade do tratamento automatizado da informação, é um marco importantíssimo e acaba por ter a função de tornar clara a relavância que a Constituição reconhece ao controle pessoal sobre os próprios dados. Porém, a consolidação de um regime integrado de proteção de dados no Brasil parece ainda incipiente pela falta de disposição a reunir normas diversas sob a mesma rubrica – o que se demonstra ainda mais pela rejeição da jurisprudência em identificar a proteção de dados como uma garantia fundamental do indivíduo no direito brasileiro. De toda forma, nota-se nos últimos anos um certo desconforto com a aparente permissividade deste modelo, o que se verifica pelas reações, dentro e fora do mundo jurídico, a iniciativas como o monitoramento compulsório dos automóveis por meio de chips Rfid, o monitoramento de detentos em regime semi-aberto, a transferência de dados sanitários para o setor privado, entre outros casos que vêm ultimamente contribuíndo para o crescimento da discussão sobre o tema.

Chile

La ley chilena sobre protección de datos personales, N°19.628 del año 1999, fue redactada con la asesoría directa de grupos, gremios y empresas interesadas en asegurar el negocio que constituye el procesamiento de datos personales, lo que se sumó al desconocimiento de los parlamentarios que la impulsaron. Estas afirmaciones resultan evidentes del análisis comparado con las dos normas en que los parlamentarios dijeron haberse fundado, la ley francesa de 1978 y la española de 1992, con las cuales existen diferencias radicales, de forma y de fondo.

Las causas de la falta de real aplicación de la ley en Chile se deben a sus graves errores de fondo y de estructura, que desde 1999 han impedido su vigencia efectiva. A la ley chilena le faltan aspectos orgánicos esenciales, como la existencia de un registro de bases de datos particulares, de un ente fiscalizador, de un procedimiento de reclamo administrativo y de sanciones eficaces. La norma ha transformado al hábeas data en una mera declaración de intenciones, ya que por la vía de las excepciones y por establecer como regla general una enorme libertad en materia de procesamiento de datos personales, se permite su “tratamiento” sin autorización de los titulares.

A lo anterior, se agrega que el derecho de acceso se sometió a la competencia de los tribunales y no de un ente administrativo eficaz y especializado (cuando en contrario, incluso se había propuesto una Superintendencia de Bases de datos); y porque “para no encarecer los costos del negocio”, dicen las Actas, se eliminó la obligación de que se informara una vez al año a los titulares de los datos sobre su procesamiento, con lo cual se permitió el anonimato que hoy cubre el tráfico indiscriminado de información nominativa.

Aunque el tema de los “datos personales o nominativos procesados computacionalmente” va mucho más allá que el problema de los protestos, de la morosidad comercial y de los archivos históricos almacenados en bancos de datos por cierto lapso de tiempo, esta es la principal connotación que se le ha dado en Chile a la Ley Nº 19.628.

¿Los responsables del error legislativo denominado Ley 19.628?. Es cosa de ver las Actas e Informes parlamentarios. El Ejecutivo de la época que no colegisló; y el parlamentario que hoy, desde su cargo de Ministro, sigue insistiendo en foros especializados en que la culpa es de los ciudadanos despreocupados y no de la radical falta de idoneidad de la norma chilena.

Finalmente, un instructivo Presidencial del febrero del año 2007, sobre desarrollo digital, consignó que sería una nueva Política Pública el atender a problemas derivados del avance de las TICs no considerados adecuadamente, como las ambigüedades en torno a la privacidad y a la seguridad de los datos personales. A esta fecha no se han presentado proyectos de ley iniciados en el Gobierno (si en Mociones parlamentarias) en este sentido.

Colombia

En Colombia el tema de la protección de datos personales no es nuevo a pesar de no contar con una ley específica sobre el tema. Se podría resumir el caso colombiano diciendo que desde la perspectiva jurídica existe una amalgama de normas conformada por el artículo 15 de la Constitución que considera el habeas data como un derecho fundamental sumado a una serie de disposiciones sectoriales que tangencialmente se refirieren a la materia mas la importante jurisprudencia de la Corte Constitucional que desde 1992 a enero de 2008 se ha pronunciado en más de 140 sentencias.

La jurisprudencia colombiana ha seguido muy de cerca los principios internacionales sobre la protección de datos personales que han sido incorporados en documentos de la Organización de las Naciones Unidas y la Unión Europea. Desde la primera sentencia (T 414/92) la Corte Constitucional de Colombia ha establecido que la persona es el titular y propietario del dato personal. Para ella es obligación de los administradores de bancos de datos administrar correctamente y proteger los archivos y bases de datos que contengan información personal o socialmente relevante y no atentar contra los derechos fundamentales de los ciudadanos. La Corte Constitucional señaló, de manera general, que “la función de administrar una base de datos debe fundamentarse en los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad”. Concretamente, ha precisado que los administradores deben: (1) Obtener previamente la autorización de la persona cuyos datos se pretende incluir en la base; (2) Notificar a la persona sobre la inclusión de sus datos en el banco e informarle que va a reportar su información en una base de datos con miras a que el titular pueda desde un comienzo ejercer sus derechos de rectificación y actualización;(3) Actualizar permanente y oficiosamente la información para que ésta sea veraz, completa y no se omitan factores que pueden cambiar el buen nombre de la persona; (4) Eliminar de oficio la información negativa que ha caducado con el paso del tiempo; (5) Indemnizar los perjuicios causados por la falta de diligencia o por posibles fallas en el manejo, tratamiento o administración de datos personales; (6) Garantizar el derecho de acceso, actualización y corrección. Estos derechos implican que el ciudadano tenga “la posibilidad (…) de saber en forma inmediata y completa, cómo, por qué y dónde aparece cualquier dato relacionado con él”; (…)si la información es errónea o inexacta, el individuo puede solicitar, con derecho a respuesta también inmediata, que la entidad responsable del sistema introduzca en él las pertinentes correcciones, aclaraciones o eliminaciones, a fin de preservar sus derechos fundamentales vulnerados”. Finalmente, la Corte ha precisado que, por regla general, “no puede recolectarse información sobre datos “sensibles” como, por ejemplo, la orientación sexual de las personas, su filiación política o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a una política de discriminación o marginación”.

Actualmente se encuentra en la Corte Constitucional el proyecto de ley estatutaria aprobado en 2007 cuyo texto se puede consultar aqui . Le corresponde a la Corte establecer si dicho texto se ajusta o no a la Constitución. No obstante, debemos anotar que no existe consenso sobre la conveniencia del proyecto ya que ha sido objeto de críticas. De hecho, frente a la Corte varias entidades, ciudadanos, expertos, exmagistrados y consticuionalistas ha solicitado diversidad de cosas: declararlos constitucional integralmente, declararlo inconsticional totalmente y parcialmente. Desde la academia reconocemos que el proyecto contiene aspectos positivos pero a la vez creemos que tiene muchas falencias y apartes claramente inconstitucionales (Ver: Documento GECTI No. 8 del 27 de septiembre de 2007. “El proyecto de ley sobre habeas data y protección de datos personales es inconstitucional”, Documento radicado ante la Corte Constitucional de Colombia y también Alarma y desconcierto por la futura ley de habeas data, la protección de datos personales y los deudores morosos ). Esta apreciación también ha sido compartida por la Procuraduría General de la Nación en su concepto 4407 (Ver: Gran parte del proyecto de ley estatutaria sobre habeas data es inconstitucional (concepto No. 4407).

Uruguay

El modelo uruguayo nos muestra, por un lado, normativa marco, constituida por las disposiciones de los artículos 72 y 332 de la Constitución de la República (1967), que consagran los principios generales como fuente de derecho en nuestro país. Esta concepción –jusnaturalista—nos habilita a decir que no existe desamparo para los ciudadanos uruguayos, y que sus datos personales tienen medios de protección consagrados en la Carta. La interpretación de nuestra Constitución en su carácter de normativa enmarcadora de los principios generales del derecho nos permite una integración de los principios consagrados en tratados internacionales como parte integrante del ordenamiento jurídico nacional. Entendemos, por tanto, que la protección de datos personales está implícitamente consagrada en nuestro ordenamiento jurídico normativo con carácter general.

Además, en este país, existe expresa consagración normativa de la protección de datos personales en normas de alcance sectorial, que vienen a regular distintos aspectos que conciernen a la protección de datos personales y al derecho de acceso. Así podemos mencionar la consagración del secreto tributario y previsional, el secreto bancario, el secreto estadístico, el derecho de acceso a la información, el acceso por la autoridad impositiva a los datos que se encuentren en poder de órganos u organismos públicos estatales o no estatales para el control de los tributos, la acción de amparo, la protección de los datos de identificación civil, la prohibición de cesión, venta, reproducción o entrega a terceros de información relativa al estado civil de las personas del Registro de Estado Civil; la inscripción registral de las personas que tienen la condición de deudor alimentario moroso, el carácter reservado de los datos personales de los menores y adolescentes, los datos médicos, la consagración de la libertad de pensamiento e información, el sector comercial, la acción de habeas data, la creación de un Registro de Empresas Infractoras a la normativa laboral en la órbita del Ministerio de Trabajo y Seguridad Social.

Si bien la Constitución no ampara explícitamente la protección de datos personales ni el acceso a la información como derechos fundamentales, no puede concluirse que el ordenamiento uruguayo no posea medios para la tutela de los datos personales. Sí los posee en función de los preceptos constitucionales, que habrán de ser informados conjuntamente con los contenidos en las declaraciones y convenios multilaterales signados por nuestro país, y la variada y dispersa normativa existente.

El sistema uruguayo de protección de datos, aún sin contener una ley que ampare con carácter general la protección de los datos personales, sí posee una adecuada enumeración y desarrollo de los principios generales que rigen el derecho fundamental a la protección de datos personales (Ley N° 17838, Ley N° 16616), tiene expresa consideración del derecho de acceso (Ley N° 16736), define los datos sensibles (Ley N° 17838), tiene consagrada la acción de amparo como instrumento procesal para el ejercicio de los derechos de acceso, rectificación, corrección de los datos (Ley N° 17838, Ley N° 16099).

En términos generales, el sistema uruguayo nos brinda algunas herramientas para la protección de los datos, que no son pocas.

A estudio del parlamento se encuentran al día de la fecha dos proyectos de ley que pueden delinear próximos cambios en el sistema de protección de datos uruguayo. El primero, sobre “Acceso a la información pública y amparo informativo e Instituto Nacional para la información pública”, se encuentra a estudio de la Comisión de Educación y Cultura de la Cámara de Senadores desde el año 2006 (Carpeta N° 541/2006). El segundo, sobre protección de datos, ingresó desde el Poder Ejecutivo al análisis del Poder Legislativo en el mes de septiembre de 2007; se le dio ingreso formal a la Cámara de Senadores en la primera sesión de octubre y pasó a ser analizado por la Comisión de Educación y Cultura de esta Cámara parlamentaria uruguaya”.

Conclusiones

Solamente dos países poseen leyes que siguen el modelo europeo en la región (de las cuales una ya fue considerada adecuada por la Unión Europea de protección de los datos personales) y en otos tres países hay proyectos legislativos en curso de análisis. El resto de la región parece encontrarse un tanto distante de tener una ley de protección de datos personales.

***

Esta é a primeira nota de uma série que os autores realizarão com a intenção de publicar conteúdos conjuntos nos blogs da Rede Latino-Americana de Proteção de Dados Pessoais e difundir os aspectos mais importantes da proteção de dados pessoais na região.

Por Ana Brian Nougrères, Danilo Doneda, Renato Jijena Leiva, Pablo Palazzi e Nelson Remolina

São Paulo tem a primeira lei estadual sobre monitoramento telemático de presos

A Lei Estadual 12.906/08, sancionada pelo governador José Serra em 15/04/08, determina a utilização de meios eletrônicos de vigilância para presos em regime semi-aberto. A medida não é compulsória, pois é necessário o consentimento do detento – consentimento este presmido em determinadas hipóteses. As especificações técnicas e a implementação em si da medida estarão a cargo da Secretaria de Administração Penitenciária (SAP). Apesar desta lei ser pioneira no tema – e apesar da medida ser polêmica – outros estados, como Paraná e Minas Gerais, realizam experiências similares.

Perspecivas na Europa e novidade na China?

De acordo com  Peter Schaar, comissário alemão de proteção de dados, um dos próximos movimentos do grupo de trabalho do artigo 29 – comissão formada pela Diretiva Européia de Proteção de Dados com caráter consultuvo – será a consideração dos endereços IP como informação pessoal.
 
Com isto, os endereços IP passariam a submeter-se às mesmas regras de proteção de dados que os dados identificativos diretos de uma pessoa – por exemplo, restringindo a possibilidade da realização de medidas como a retenção de dados identificados através dos endereços IP. Uma breve análise do tema pode ser consultada em [Ars Technica].
 
Ao mesmo tempo, lê-se no  Privacy Laws & Business Newsletters que foi apresentada na China uma proposta de lei para proteção de dados.A proposta abrangeria tanto o setor privado como o público e estaria mais próxima dos padrões europeus de proteção de dados do que dos padrões da APEC. Aguardam-se outras confirmações da medida bem como seu desenvolvimento.

Acesso a dados pessoais sem autorização judicial e o Brasil na contramão da Sociedade da Informação

Conforme noticiado pelo O Estado de São Paulo, a Advocacia-Geral da União prepara parecer que pode ter o efeito de autorizar o acesso a dados pessoais pelo Ministério Público Federal, as promotorias estaduais, a Controladoria-Geral da União, a Polícia Federal e o Tribunal de Contas da União – sem necessidade de autorizacão judicial para tal.

A medida é fundamentada, como costuma ser em tais casos, nas necessidades do combate à criminalidade.A privacidade e o sigilo, em suas diversas formas, são apresentados como subterfúgios para acobertar ações ilícitas. Ao menos no discurso, parece prevalecer uma tese há muito abandonada em diversos países que, com o passar dos anos, amadureceram suas regras de proteção de dados de uma forma balanceada: a de que um homem honesto não teria nada a esconder.

A questão que parece descurada neste e em outros debates do gênero é de que o elogio da transparência é um mero efeito retórico. O acesso às informações pessoais na Sociedade da Informação é uma das modalidades fundamentais de distibuição de poder. O fato de uma pessoa zelar pelos seus próprios dados, procurar saber para que e por quem serão utilizados, não é um metro da sua honestidades pessoal pois todos, a prescindir da honestidade pessoal, podem ser afetados por utilizações abusivas de suas informações pessoais. Até o ponto que esta distribuição continuar a ser feita ao arrepio de direitos fundamentais da pessoa em relação ao controle de suas própias informações – o que era possível, no caso, pelo controle jurisdicional da quebra do sigilo – a balança pende mais e mais a desfavor da pessoa.

Destaque-se que a Receita Federal, que eventualmente teria a ganhar com a medida, manifestou-se contrária a ela. Pode-se, em um pequeno esforço de imaginação, tentar-se supor o porque: talvez, tendo vivenciado os resultados de procedimentos que ampliam a utilização e o acesso a dados pessoais, está mais do que todos consciente que esta atividade é uma atividade de risco, cujos resultados acabam sendo, infelizmente, o vazamento e a perda de controle sobre os mesmos. A prejuízo do cidadão.

Cadastro obrigatório para lan houses está em vigor no Rio de Janeiro e São Paulo

O cadastro do usuário dos cibercafés (também conhecidos como lan houses) passará a ser identificado também no Estado do Rio de Janeiro, de acordo com a Lei Estadual 5.132/07.

A medida já vigora desde 2006 no estado de São Paulo, onde a Lei Estadual 12.228/06 previu medida idêntica. A fundamentação em ambos os casos é a segurança pública, principalmente na prevenção dos chamacos “crimes informáricos”. Ambas as lei prevêm que o usuário do estabelecimento que fornece o acesso à Internet deve manter os dados cadastrais identificativos de cada usuário, abrangendo data e horário em que efetuou acesso à Internet. No caso da lei paulista, o prazo obrigatório de conservação de tais cadastros é de 60 meses.

Projeto de lei de proteção de dados de iniciativa governamental é enviada ao parlamento do Uruguai

O governo uruguaio enviou ao parlamento um projeto de lei sobre proteção de dados pessoais. O projeto condensa em um único documento legislativo uma série de normas esparsas, bem como unifica em uma discipina única o tratamento de dados pessoais em uma ampla gama de situações, além de instituir um órgão de controle com competência genérica – representando, desta forma, um passo bastante largo em relação à normativa anterior, cuja Lei 17.838, por exemplo, era uma norma setorial. [ler mais]

Monitoramento de automóveis gera debate

O jornal “Folha de S. Paulo” de 13 de outubro apresentou em suas páginas duas visões opostas sobre a implementação do SINIAV na cidade de São Paulo.


A favor, Alexandre de Morais alega que a segurança que a medida proporcionará superará eventuais questionamentos quanto à privacidade (baseando-se, porém, em pressupostos que nãoestão presentes na redação da Resolução 212 do CONTRAN que a regulamenta, como, por exemplo, que os dados obtidos seriam criptografados). PAra Moraes, não haveria contratempo algum relacionado à privacidade, visto que “… dados obtidos pela prefeitura, pois serão absolutamente sigilosos, sem nenhuma utilização fora das hipóteses legais.”

Ao contrário, Marcos da Costa evoca os inevitáveis riscos quanto à segurança da informação que sempre surgem quando se trata da elaboração de um banco de dados de tais dimensões e tratando de dados muito representativos quanto às ações e hábitos dos condutores brasileiros.


A falta de especificações quanto à segurança da informação no SINIAV só faz aumentar a desconfiança de que o risco é real e que qualquer implementação imediata do sistema no estágio em que se encontra seria, a dizer pouco, temerária e apressada.

Elio Gastari tratou do tema no mesmo jornal, no artigo O Big Brother de Serra e Kassab

Habeas Data prestes a ser aplicado pela Suprema Corte das Filipinas

Pela primeira vez surgem notícias do transplante do modelo do habeas data para além do espaço jurídico latino-americano: de acordo com Reynato Puno, juiz da Suprema Corte das Filipinas, a Corte está preparando o remédio do habeas data para fazer frente à demanda de informações sobre vítimas e desaparecidos durante o regime ditatorial pelo qual passou o país. Situação, aliás, em todo semelhante àquela que impulsionou o constituinte brasileiro a criar a ação, em 1988.  Leia em: [Inquirer] [Manila Times]

Cidade de São Paulo terá a primazia do monitoramento massificado de sua frota

A Prefeitura e o Governo do Estado de São Paulo assinaram convênio que fará da cidade a primeira no país a implementar o Siniav –  Sistema Nacional de Identificação Automática de Veículos. Após uma recepção quase morna da resolução que o criou, a notícia da sua implementação em larga escala começou a gerar algumas críticas e considerações sobre os efeitos colaterais da medida – basicamente a possibilidade de um monitoramento eficaz e constate ao qual os motoristas paulistanos logo estarão, ao  que parece, submetidos. [leia no site da prefeitura de São Paulo]

V Encontro Ibero-Americano de Protecção de Dados

logo_ibero_amero.jpgO V Encontro Ibero-Americano de Protecção de Dados será realizado nos próximos dias 8 e 9 de novembro em Lisboa, Portugal. O Encontro será organizado pela autoridade portuguesa de proteção de dados, a CNPD – Comissão Nacional de Protecção de Dados.O evento realiza-se no âmbito da Rede Ibero-Americana de Proteção de Dados, que congrega a maioria dos países latino-americanos bem como os países ibéricos.

Mobile Blogging from here.