Presentación Roberto Laguado Giraldo

Intimidad personal e
interoperabilidad: el reto de
proteger al individuo sin debilitar el
gobierno electrónico
Roberto Laguado Giraldo
Suárez Beltrán Abogados-Consultores
Bogotá Colombia
1
B-BI-BII y Protección de Datos
Personales
2
Un modelo contaminante
las tecnologías de la información y de la
comunicación asumieron con frecuencia
características de
tecnologías sucias,
aproximándose más
bien al modelo de las
tecnologías industriales
contaminantes
3
Límite entre lo público y lo
privado
Sociedad de la Información
Sociedad del control y la vigilancia
4
Aspectos Perceptibles
Aspectos Imperceptibles
Una relación desabalanceada
Límites entre el derecho a la
información y la privacidad individual
• “¿Toda la información puede estar a
disposición de todos, o debemos distinguir
entre información disponible y no
disponible?”
6
Límites entre el derecho a la
información y la privacidad individual
Datos Personales
Sensibles
Datos Personales
no sensibles
7
Mayor grado de
privacidad
Niveles de protección legal de
los datos
Necesidad de
Protección Legal
Panorama Internacional de
Protección de Datos Personales
• OCDE
1980 - Directrices que Regulan la Protección de la
Privacidad y el Fruto Transfronterizo de Datos
Personales
1985 - Declaración sobre Flujo de Datos
Transfronterizos
Inspiran la producción normativa en Latinoamérica
9
Panorama Internacional de
Protección de Datos Personales
• Estados Unidos
– Esquema de autoregulatorio y sectorial
(Consumidor, Cámaras de Vigilancia)
– Acuerdos contractuales
– Efectos del 11 de Septiembre han reducido la
privacidad del ciudadano
– Autocontrol empresarial en lugar de norma
generales
– Safe Harbor 2000 (EEUU – UE)
– Privacy Act 1974 que requiere actualización
10
Panorama Internacional de
Protección de Datos Personales
• Comunidad Europea
– Directiva Sobre Tratamiento de Datos Personales
95/46/CE
– Catálogo de principios
– Restricción al flujo transfronterizo de datos con
países no comunitarios: “nivel adecuado de
protección” so pena de sanciones.
– GT29- Governanza. Verifica el cumplimiento de la
Directiva y acredita niveles adecuados de terceros
países. Conformado por los Directores de
Oficicinas de PDP.
11
Panorama Internacional de
Protección de Datos Personales
• Latinoamérica
– Ausencia de instituciones protectoras de datos
personales, poniendo en cabeza de los jueces la
tutela y garantía a las libertades individuales
asociadas a la protección de datos personales.
– Enfasis en el dato crediticio, el derecho al olvido,
el control del dato personal.
– Alcance diferente del habeas data, respecto de
su oportunidad, objeto, sujetos activos y
pasivos.
12
Panorama Internacional de
Protección de Datos Personales
• Latinoamérica
– Interpretaciones diferentes sobre la
procedencia del consentimiento para la
recolección y cesión de datos.
– Diferente alcance del concepto de “datos
sensibles”:
• ¨Tales como¨….
• ¨(…) y en general¨
• Taxativos – Enunciativos
• En ocasiones se exige consentimiento
– Rigor y procedencia de sanciones diferentes.
13
Panorama Internacional de
Protección de Datos Personales
• Latinoamérica
– Avances regulatorios
•Desarrollo Constitucional masivo
•Chile (1999) y Argentina (2001)
normas generales no sectoriales.
•Éste último país es el único
latinoamericano que ha sido
certificado por el GT29 (UE).
14
Panorama Internacional de
Protección de Datos Personales
• Latinoamérica
• Uruguay (2004), Perú (2001),
México (2001), Panamá (2002) ha
regulado los datos comerciales y
crediticios
•Colombia: generaba
esperanza…. Finalmente ley
crediticia…(2007)
15
Safe Harbor
Contratos
Certificación del GT29
16
Límites del e-GOV ante los datos
Restricción a la recolección y tratamiento de datos personales
1.Debe mediar el consentimiento del titular, salvo:
1.1 Los datos son obtenidos de fuentes de acceso público
irrestricto;
1.2 Se recolecten para el ejercicio de funciones propias de las
entidades públicas o en virtud de un deber legal;
1.3 Se trate de listados cuyos datos personales se limiten a los
siguientes: nombre, documento de identidad, régimen y
categoría de responsabilidad tributaria, seguridad social o
previsional, profesión u ocupación, fecha de nacimiento y
domicilio;
1.4 Deriven de una relación contractual, científica o profesional
del titular de los datos, y resulten necesarios para su
desarrollo o cumplimiento o;
1.5 Su titular los haya hecho públicos previamente.
Límites del e-GOV ante los datos
Cesión de datos (interoperabilidad)
2. Los datos personales podrán cederse para el cumplimiento de los fines
directamente relacionados con el interés legítimo del cedente y del cesionario y
con el previo consentimiento del titular de los datos. Podrá obviarse el
consentimiento:
2.1 Cuando así lo disponga una ley;
2.2 Para el ejercicio de funciones propias de las entidades públicas o en
cumplimiento de un deber legal;
2.3 Llevado a cabo directamente entre dependencias de entidades públicas
de forma directa, en cumplimiento de sus respectivas competencias;
2.4 Se trate de datos personales relativos a la salud, y sea necesario por
razones de salud pública, de emergencia o para la realización de estudios
epidemiológicos, en tanto se preserve la identidad de los titulares de los
datos mediante mecanismos de disociación adecuados;
2.5 Disociaciando la información, de modo que los titulares de los datos sean
inidentificables.
Límites del e-GOV ante los datos
Restricción a la recolección y administración de datos personales sensibles
1. Ninguna persona puede ser obligada a proporcionar datos sensibles,
2. Está prohibida la formación de archivos, bancos o registros que almacenen
información que directa o indirectamente revele datos sensibles, salvo los
registros que las asociaciones religiosas, científicas y sindicales construyan
para su desarrollo.
3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento
con el consentimiento de su titular o en las siguientes circunstancias:
3.1 El tratamiento sea necesario para salvaguardar la vida del interesado o
de otra persona, en el supuesto de que el interesado esté física o
jurídicamente incapacitado para dar su consentimiento,
3.2 El tratamiento se refiera a datos que el interesado haya hecho
manifiestamente públicos,
Límites del e-GOV ante los datos
3. Los datos sensibles sólo pueden ser recolectados y objeto de
tratamiento con el consentimiento de su titular o en las siguientes
circunstancias:
3.3 El tratamiento sea necesario para el reconocimiento, ejercicio o
defensa de un derecho en un procedimiento judicial,
3.4 Las necesarias para la prevención o para el diagnóstico médico, la
prestación de asistencia sanitaria o tratamientos médicos
3.5 Por motivos de interés público,
3.6 Cuando se trate de datos relativos a antecedentes penales o
criminales, exclusivamente por
parte de las autoridades públicas
competentes, en el marco de las leyes y reglamentaciones respectivas y en
estricto cumplimiento de las competencias específicas señaladas por
dichas normas
3.7. Con finalidades estadísticas o científicas cuando no puedan ser
identificados sus titulares, con el consentimiento de su titular.
3.8 Para el cumplimiento de un deber legal
Riesgos que enfrenta el e-Gov ante una
desbalanceada protección de datos
personales
1. Ausencia de interoperabilidad local y
supranacional
–
Caso EEUU interoperabilidad de los sistemas
de salud: National Health Information
Network
21
Riesgos que enfrenta el e-Gov ante una
desbalanceada protección de datos
personales
1. Ausencia de interoperabilidad local y
supranacional
– Caso EEUU- EU: serán armónicos alguna vez?
Un esquema de privacidad armónico constituye una
expresión de interoperabilidad organizacional
– Proyecto E-ID de la Unión Europea
“Is it a citizen’s right to have an e-ID?” or “Is it a
Government’s right to profile EU citizens?”
22
Riesgos que enfrenta el e-Gov ante una
desbalanceada protección de datos
personales
• 2. Estancamiento o retroceso del desarrollo del E-gov
– Juki Net – Japón: 3 años de litigio (2002-2005) y oposición de
la comunidad.
– Sistema de Salud - Australia: 6 años de retraso. Finalmente
decidieron usar smart-cards.
– Administración de Seguridad Social- EEUU: el servicio volvió a
hacerse por correo postal físico.
– NEIS (Sistema de educación escolar)-Korea: huelgas de
hambre por parte de ONG´s.
– Sistema de la Superintendencia Nacional de Salud y del
Sistema de Catastro Distrital de Colombia La Corte
Constitucional ordenó reconstruirlos por violación a la
intimidad (Sentencia T-729/02)
23
Riesgos que enfrenta el e-Gov ante una
desbalanceada protección de datos
personales
3.
Desconfianza
cliente/ciudadano
por
parte
del
– Además de la desconfianza generada por la
corrupción el ciudadano debe poder estar tranquilo
cuando suministra electrónicamente información
para:
• Contratar con el Estado
• Cumplir obligaciones tributarias
• Votar
• Interactuar con el sistema de seguridad social
• Durante el censo
24
Caja de Herramientas para la
Protección de Datos Personales
25
Rutina de Protección de Datos
Personales
26
Interoperabilidad organizacional: fundamento
en los principios
“Un consenso obviaría o reduciría las
razones para regular la exportación
de datos y facilitar la resolución de
los problemas o conflictos de las
leyes. Además, constituiría un primer
paso hacia
la elaboración de acuerdos
internacionales vinculantes y más
detallados.”
OCDE, Directrices que Regulan la
Protección de la Privacidad y el
Fruto Transfronterizo de Datos
Personales. 1980
27
Los principios
• 1. Principio de finalidad de los datos
• 2. Principio de proporcionalidad y
suficiencia de los datos
• 3. Principio de exactitud de los datos
• 4. Principio de conservación de los datos
• 5. Principio de legitimación para el
tratamiento y consentimiento del
interesado
28
Los Principios
• 6. Principio de información y notificación
• 7. Principio de habeas data y participación
•
•
•
•
individual: de acceso, rectificación y cancelación
de los datos.
8 Principio de Técnicas y Salvaguardas de
Seguridad y Confidencialidad
9. Principio de institucionalización de la
protección de datos personales
10. Principio de Responsabilidad y Sanciones
11. Principio de salvaguardia equivalente en el
29
flujo transfronterizo de datos personales
Interoperabilidad organizacional: fundamento
en los principios
30
Conclusiones
31
Suarez Beltran Abogados Consultores
Bogotá Colombia
Roberto Laguado Giraldo
32