www.consultoriaconstitucional.com DERECHO FUNDAMENTAL A LA AUTODETERMINACIÓN INFORMATIVA Mijail Mendoza Escalante* SUMARIO: I. Introducción; II. Objeto de protección; III. Contenido del derecho o ámbito de protección; IV. Datos personales y datos sensibles; V. Principios del tratamiento de datos, el consentimiento y sus excepciones; VI. Reflexión final: titularidad del derecho por personas jurídicas de derecho privado. I. INTRODUCCIÓN El derecho a la autodeterminación informativa constituye un derecho fundamental que subyace a lo enunciado en el artículo 2, inciso 6, de la Constitución. El objeto de este trabajo es la reconstrucción dogmática del contenido de este derecho a partir de su régimen de protección en algunos modelos del derecho comparado. En éste se ha desarrollado un conjunto de principios y reglas, por lo general comunes, que permiten realizar tal propósito. Este derecho fundamental garantiza a la persona un poder de control sobre todo tipo de información que le concierne. Sin embargo, como todo derecho fundamental, el de autodeterminación informativa no constituye un derecho absoluto o ilimitado. Él halla límites en otros derechos fundamentales y bienes constitucionales. El conocimiento de los datos personales por parte de terceros particulares o por el Estado puede resultar necesario para posibilitar el ejercicio o para la protección de determinados derechos fundamentales y, por otra parte, para que el Estado cumpla las funciones y atribuciones que la Constitución le ha otorgado. Así, la seguridad del Estado, defensa, seguridad pública, prevención y represión de ilícitos, la investigación científica. El conocimiento de datos personales resulta necesario, por ejemplo, para posibilitar actividades comerciales, planificación gubernamental y para combatir la comisión de delitos. Esta representación del ámbito de protección de este derecho bajo el esquema “contenido del derecho – limitación” o “contenido y restricción/intervención” permite advertir dos cosas. La primera es que la autodeterminación informativa constituye un derecho – principio cuyo contenido se manifiesta como mandato de optimización. La segunda. La fundamental consecuencia de lo anterior es que todo dato personal se halla, prima facie, bajo el ámbito de protección del derecho a la autodeterminación informativa y, por tanto, los actos de acopio, tratamiento y transferencia de aquellos, por parte del Estado o de particulares –autorizados-, sólo pueden admitirse a condición de que se justifiquen en derechos fundamentales y bienes constitucionales. Esto no * Doctor en Derecho por la Universidad Complutense de Madrid, Diplomado como Especialista en Derecho Constitucional y Ciencia Política por el Centro de Estudios Políticos y Constitucionales de España, Consultor en Derecho Constitucional. 1 www.consultoriaconstitucional.com significa que cualquier limitación del la autodeterminación sea válida, por el contrario, condición de su validez, esto es, de su constitucionalidad, es que satisfaga las exigencias del principio de proporcionalidad. II. OBJETO DE PROTECCIÓN El objeto de protección de este derecho fundamental puede ser abordado desde dos perspectivas. Como una forma de protección del derecho a la vida privada, pero ante lesiones que provienen específicamente del procesamiento de datos personales. Desde una perspectiva diferente, el objeto de protección de este derecho viene a ser la titularidad de la persona sobre los datos que le conciernen. Más precisamente, la titularidad del control sobre los datos personales. Si se adopta la primera concepción el bien protegido es la vida privada, si se adopta la segunda el bien protegido es la autodeterminación informativa de la persona. La diferencia reside en que, conforme a la primera concepción, no hay propiamente un objeto de protección propio, distinto a la vida privada, sino más bien una fuente particular, peculiar, como es el procesamiento de datos, donde se origina afectaciones de la vida privada. Por el contrario, la segunda concepción considera que, sin perjuicio del vínculo con la vida privada, el objeto de protección es la autodeterminación informativa de la persona. Evidentemente, existe un vínculo indisoluble entre éstas, en tanto la protección de la autodeterminación informativa ha de posibilitar, en último término, la protección de la vida privada. Sin embargo, sucede con la autodeterminación informativa lo mismo que con otros derechos cuya protección se dirige a la protección de la vida privada y de la intimidad. Es el caso de la inviolabilidad de domicilio y del secreto e inviolabilidad de correspondencia y de documentos privados, cuya protección, en ambos caso, está orientada a la protección de la vida privada y de la intimidad; sin embargo, en atención a que ostentan un objeto propio y específico de protección, han adquirido la condición de derechos fundamentales autónomos. En tal sentido, si bien a través de la autodeterminación informativa se protege la vida privada y la intimidad, ella detenta autonomía y, por ello, la entidad de un derecho fundamental autónomo. La especificidad de la autodeterminación informativa reside básicamente en que se configura sobre todo como un derecho de participación. No es una actuación libre de intromisión lo que se garantiza, un status negativus, sino una intervención activa –de control–, un status activo en el proceso que involucra la información personal. Su ejercicio consiste en la competencia de control de la persona sobre la información personal que fluye en el procesamiento de datos, en general o, si se prefiere, en lo que se denomina como sociedad de la información. Esta especificidad del contenido de la autodeterminación informativa le adjudica una entidad propia y, con ello, autónoma con respecto al derecho a la vida privada y a la intimidad. Es recurrente relacionar el surgimiento de este derecho a la aparición del procesamiento automatizado de datos, sin embargo, tal relación no es conceptualmente exacta. Si se prescinde del dato contingente de la informatización de los datos personales podremos advertir que el problema no se plantea a partir de aquel proceso, sino a partir de la posibilidad de la utilidad o beneficio que el Estado o particulares pueden obtener del manejo de dicha información. El problema principal es que con el manejo de dicha información se puede llegar a situaciones perversas de control social en la determinación de opciones individuales, en los juicios de valor que pueden inferirse a partir de los datos personales y, con ello, en las consecuencias que podrán derivarse de 2 www.consultoriaconstitucional.com ellos, terminando así en un totalitarismo de nuevo cuño. De esta forma, este peligro no se plantea por definición a partir del procesamiento informatizado de los datos personales, sino de la utilización de los mismos. Si bien el grado de nocividad del procesamiento informatizado puede llegar a magnitudes exponenciales, el problema y consecuencias que genera se halla también presente en el procesamiento no automatizado de dichos datos. En definitiva, el problema se halla aquí en la utilización de los datos personales. El bien protegido por el derecho a la autodeterminación informativa es el control de la información personal, esto es, el control sobre el acopio, procesamiento o utilización, y transmisión de la misma. El Tribunal Constitucional alemán en la célebre sentencia del caso del censo, de 1983, elaboró con claridad los contornos dogmáticos de este derecho fundamental. El Tribunal parte de la siguiente premisa: “Quien no puede ver con suficiente seguridad qué informaciones que le conciernen en determinados ámbitos de su medio social son conocidas y quien no puede evaluar medianamente el conocimiento de su posible interlocutor puede ser sustancialmente limitado en su libertad de planificar o decidirse por propia autodeterminación. Un orden social y un orden jurídico que lo posibilite, en las cuales los ciudadanos ya no pueden saber quién, qué, cuando y con qué motivo, sabe de ella, no serían compatibles con el derecho a la autodeterminación informativa. Quien está inseguro de si formas de conducta distintas son registradas todo el tiempo y si son almacenadas, procesadas y transferidas de manera duradera como información, intentará no llamar la atención a través de tales conductas. Quien de esa forma advierte que es registrado por la administración, por ejemplo, de la participación en una manifestación o en una iniciativa ciudadana y que ello le originará riesgos, probablemente renunciara al ejercicio de sus respectivos derechos fundamentales (Art. 8, 9, de la Ley Fundamental). Esto no sólo afectaría las posibilidades de desenvolvimiento del individuo, sino también el bienestar general porque la autodeterminación es una condición funcional elemental de una comunidad democrática libre, fundada en la aptitud de acción y de participación de sus ciudadanos. De ello se sigue que: el libre desenvolvimiento de la personalidad, bajo las condiciones modernas del procesamiento de datos, la protección del individuo frente al acopio, el almacenamiento, utilización y la transmisión de sus datos personales. (…) Este derecho garantiza básicamente la competencia del individuo de determinar por sí mismo sobre la transmisión y utilización de sus datos personales.”1 Como se puede advertir, el razonamiento es que la libertad general de actuación de la persona (libre desenvolvimiento de la personalidad) resultaría severamente restringida si la persona se ve impedida de planificar o decidirse libremente, si aquélla no tiene la posibilidad de controlar la información personal. En este contexto, el control de los datos personales se erige como un presupuesto o, mejor, como una garantía de la facultad de autodeterminarse, esto es, de la propia libertad en el sentido de autodeterminación individual. Por otro lado, el registro total, injustificado, de datos personales se convierte en una forma de vigilancia, de perturbación en el ejercicio pleno de la libertad, muy al margen de si las actuaciones registradas son privadas o públicas. Además, si se dispone de la información personal el Estado puede obtener un perfil psicológico acabado de la sociedad y, con ello, tiene la posibilidad de elaborar sutiles formas de control social donde la libertad individual y de la sociedad terminan siendo 1 BVerfGE 65, 1 (p. 43). Sentencia de 15 de diciembre de 1983. 3 www.consultoriaconstitucional.com eliminadas, erigiéndose así un totalitarismo de nuevo cuño y, por ello, incompatible en último término con la dignidad de la persona. Por último, el conocimiento de información personal en manos de la delincuencia puede amenazar derechos fundamentales como la vida, la integridad, la salud y la propiedad, de las personas cuya información personal se conoce. De este modo, el control de la información personal termina constituyéndose un medio fundamental para garantizar la vida privada, la libertad, la vida, integridad, salud, propiedad y, por último, la misma dignidad de la persona. En tal sentido, la variedad de derechos cuya protección posibilita y la complejidad que adquiere su contenido para el cumplimiento de su finalidad, le otorgan un carácter específico a su objeto de protección, lo cual justifica adjudicarle la condición de un derecho fundamental autónomo. Cabe destacar que la autodeterminación informativa se configura sobre todo como un derecho de protección. El control sobre la información personal presupone una actuación positiva del Estado, la cual se erige como consecuencia del deber de protección que tiene el Estado con respecto a este derecho. Esto significa concretamente el deber del Estado de establecer, por un lado, procedimientos que posibiliten el ejercicio eficaz del control de la información personal y, por otro, instituciones orientadas a la protección o garantía de este control. Es en este último contexto donde la instauración de una institución de protección de datos (v.gr. agencia, comisión) aparece como una exigencia derivada de la acentuada condición de derecho de protección de la autodeterminación informativa. III. CONTENIDO DEL DERECHO O ÁMBITO DE PROTECCIÓN El derecho a la autodeterminación informativa garantiza a la persona la titularidad de ella sobre los datos que le conciernen. En tal sentido, este derecho atribuye a su titular: - acceder a la información personal - ser informado ante todo acto de acopio de datos personales - cancelar información personal - rectificar - impedir su transmisión a terceros La facultad de acceso habilita a la persona conocer la información que existe en un banco de datos sobre ella y a que se le informe en cuanto al modo en que aquélla ha sido obtenida, sobre la finalidad del recojo o acopio de datos y sobre el destinatario o destinatarios de la misma. Este mismo derecho se extiende a los titulares de bancos de datos cuando estos reciben información de una persona y cuando aquél ha de ceder dicha información a un tercero. Significa esto que el conocimiento de información personal en los términos expuestos se dará en tres momentos distintos, luego de haber sido acopiada, cuando deba ser entregada a un tercero y cuando es solicitada por la persona. En tal sentido, la lesión de este derecho se puede dar tanto a causa de la denegación arbitraria de acceso al conocimiento de la información personal, como también por la omisión de informar al titular con motivo del acopio del dato personal o con motivo de su remisión a un tercero. La pregunta central en cuanto a este aspecto es conocer previamente quienes detentan datos personales o si hay forma de saber qué instituciones del sector privado como del sector público detentan información personal. Por esto, la forma en que se posibilita una protección eficaz de este atributo es la existencia de un Registro único a cargo de una 4 www.consultoriaconstitucional.com entidad de protección de datos, en el cual se tiene registrado la totalidad de titulares de bancos de datos. Esto posibilita que la persona pueda conocer quiénes detentan bancos de datos y, así, identificándolos, que pueda solicitarles el acceso al conocimiento de la información personal. Otro contenido de este derecho es la facultad de solicitar, ante todo acto de acopio de datos personales, información sobre la identidad de la entidad responsable del acopio de datos, sobre la finalidad o razón del acopio y de los destinatarios de aquéllos. Generalmente se da por secundario o por sobrentendido este contenido del derecho, supeditándolo al de acceso a la información personal; sin embargo, él detenta entidad autónoma. Su exigencia se presenta de modo independiente, antes del acopio de datos; el bien protegido por el derecho a la autodeterminación informativa es la titularidad sobre la información personal, en consecuencia, ningún aspecto de éste puede ser acopiado, a menos que exista una habilitación legal al efecto, sustentada en un fundamento constitucional y –lo que aquí es relevante– que sea autorizado por la persona cuyos datos son acopiados, en los términos antes expuestos; es decir, con información sobre la identidad del órgano responsable del acopio de datos, la finalidad de ello y los destinatarios de aquellos. La cancelación de información personal puede solicitarse en tres supuestos: cuando la información ha sido acopiada al margen de las condiciones establecidas al efecto en la Ley, cuando ella ya no es necesaria para la finalidad que la motivó y cuando el tratamiento de datos está orientado a proveer una definición de determinados aspectos de la personalidad o de características de la persona. Aunque no es idéntica a la cancelación, sí tiene un efecto análogo el denominado “bloqueo” de datos personales. El procede en los siguientes supuestos2: cuando no procede la cancelación del dato en virtud de un mandato de conservación del dato durante un plazo establecido por la Ley, cuando se presume que la cancelación del dato podría afectar intereses de la persona y cuando la cancelación no es posible debido a la particular forma del almacenamiento o, siéndolo, implicaría ello un costo manifiestamente desproporcional. Cuando la administración considera que sin el bloqueo podría afectarse los intereses de la persona o cuando estima que los datos ya no son necesarios para el cumplimiento de la finalidad de su acopio. El bloqueo de datos se extiende también a supuestos donde la exactitud de los datos es cuestionada por la persona, no habiéndose demostrado la exactitud o no de los mismos. Opera aquí una forma de pro homine3. La rectificación tiene por objeto la enmienda de datos erróneos o incompletos. A través de esta facultad se puede actualizar o corregir datos erróneos o, en su caso, la integración o añadido de datos personales nuevos que aún no se encuentran en el banco de información. El derecho de impedir implica la facultad de oponerse al acopio o recogida de datos personales, a su cesión o a su transferencia a terceros. Él tiene lugar cuando la persona se opone a cualquiera de estas operaciones y el interés de éste, en atención a su particular situación, prevalece sobre el interés del responsable del banco de información. 2 Esta sistematización de los supuestos de bloqueo la tomamos de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz) de Alemania, artículo 20, apartados 3, 4 y 6. 3 Esta previsión está enunciada en el artículo 20.4 de la citada Ley alemana: “Los datos personales procesados en forma automatizada o en archivos no automatizados deben ser bloqueados si su corrección es cuestionada por la persona afectada y no se ha llegado a determinar la corrección ni la incorrección de los mismos.” 5 www.consultoriaconstitucional.com En este contexto, la Constitución, en su artículo 2, inciso 6, ha reconocido el derecho de la persona: “A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar” La Constitución enuncia sólo uno de los contenidos del derecho a la autodeterminación informativa, el de oposición a la transmisión de datos personales por parte de la entidad responsable de ellos. Tal oposición se refiere únicamente a informaciones relativas a la intimidad personal y familiar, no a datos personales, de manera general. En principio, debe descartase una interpretación literal que conduzca a la exclusión del resto de contenidos del derecho a la autodeterminación informativa. En tal sentido, debe acudirse a una interpretación teleológica en la cual se determine el contenido del derecho en atención a la ratio que subyace al artículo 2, inciso 6, de la Constitución. Tal ratio viene a ser la garantía de un objeto de protección, el cual está constituido por el control de la información personal. El derecho a oponerse la transmisión de información personal presupone que la persona tiene titularidad sobre el control de ella, de lo contrario, resultaría imposible reconocerle tal derecho; en consecuencia, dado que la persona tiene titularidad sobre el control de la información que le concierne, entonces ella no sólo puede oponerse a la transmisión de aquélla, sino también cancerlarla, rectificarla y, ciertamente, acceder a su conocimiento. Por otra parte, debe considerarse que las disposiciones de la Constitución que enuncian derechos constituyen principios cuyo contenido es abierto a la incorporación de contenidos y garantías adicionales, orientadas a una optimización o mejor nivel de tutela del bien jurídico objeto de protección. Tal enriquecimiento del contenido del derecho puede ser efectuado a través de la Ley o de la Jurisprudencia, en cuanto fuentes de derecho. Precisamente, esto es lo que ha tenido lugar con el derecho reconocido en la citada disposición constitucional. El Tribunal Constitucional, ya en el año 2003, con motivo de un proceso de hábeas data, aludió expresamente al derecho a la autodeterminación informativa como objeto de protección de dicho proceso y consideró la integración de los mencionados contenidos a este derecho fundamental4. IV. DATOS PERSONALES Y DATOS SENSIBLES Por dato personal se entiende toda información referida a la persona. Esta información puede hallarse en fuentes de acceso público y en fuentes que no tienen tal carácter. En el primer caso se está también ante información que se encuentra bajo el ámbito de protección del derecho a la autodeterminación informativa y los principios que lo garantizan, la única consecuencia del carácter público de su acceso es que el acopio y tratamiento de tal información está exenta del consentimiento del titular de los datos personales, pero no de la exigencia derivada del resto de principios que garantizan este derecho. Tal es el caso de los libros, revistas, periódicos, guías telefónicas. El derecho como tal es la titularidad de la información personal, no sólo “intima”, sino también la “privada”, en todo caso, información cuyo acopio, tratamiento y entrega a terceros, sólo está habilitado si ello se justifica en un bien constitucional colectivo o en derechos fundamentales. Así las cosas, toda información referida a la persona se halla, prima facie, bajo el ámbito de protección de este derecho y, por tanto, excluido de su 4 Vid. STC, Exp. N.º 1797-2002-HD, publicada el 30 de septiembre de 2003. Este desarrollo jurisprudencial originó la ampliación del contenido de este derecho protegido por la Constitución y, a su vez, la ampliación del ámbito de protección del proceso de hábeas data que, posteriormente, el Código Procesal Constitucional ha incorporado (art. 61, inc. 2). 6 www.consultoriaconstitucional.com acopio, tratamiento y transmisión, en tanto no exista un derecho fundamental o un bien constitucional que exija lo contrario. Los datos sensibles están constituidos por información concerniente al origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas, morales, filiación sindical, información referida a salud y a la vida sexual, filiación política partidaria, filiación a asociaciones u organizaciones análogas de carácter religioso, filosófico o político. Se suele añadir a este grupo datos referidos a sanciones disciplinarias y sanciones penales5. De esta forma, puede representarse gráficamente los datos personales como un círculo en cuyo interior hay un círculo que a modo de núcleo viene a ser el de datos sensibles. De este modo, de modo análogo a la teoría de las esferas sobre el derecho a la vida privada, puede afirmarse que los datos sensibles constituyen el núcleo de la esfera de datos personales debido a que la entidad, el valor de los mismos, resulta de mayor fundamentalidad que el resto de datos personales. La mayor fundamentalidad de tal sector se sustenta en que la protección de datos sensibles, a diferencia del resto de datos personales, se relaciona estrechamente con la protección de otros derechos fundamentales (intimidad, igualdad, libertad de conciencia y de pensamiento) y del propio principio de dignidad. Los datos sensibles no constituyen, como erróneamente podría pensarse, información cuyo acceso o elaboración se halle prohibido de manera absoluta. Tal condición implica, más bien, que se trata de datos personales de protección reforzada. Es decir, se permite su conocimiento y elaboración, pero se exige mayores garantías para tal efecto. La protección reforzada de los datos sensibles se sustenta en distintos fundamentos. En el caso de la salud y la conducta sexual, la exclusión de su conocimiento se basa en el derecho a la intimidad. Tales datos hacen parte de la esfera más íntima de la persona en relación a otros referidos a ella. En el caso de las convicciones religiosas, filosóficas, morales, opiniones políticas, la exclusión de su conocimiento se fundamenta en la libertad de conciencia, de religión y de pensamiento. Uno de los contenidos de estos derechos es el de guardar reserva sobre dichas convicciones. En el caso de datos como la filiación de diversa naturaleza (filiación sindical, política partidaria, filiación a asociaciones carácter religioso, filosófico o político), el origen racial o étnico y las sanciones (disciplinarias y penales), la exclusión de su conocimiento y elaboración se fundamenta en el deber de protección del Estado respeto al derecho a la igualdad. Se trata de datos en base a cuyo conocimiento el Estado o particulares pueden ilegítimamente ocasionar desventajas o exclusión o, cuando menos, formas de tratamiento discriminatorio. Evitar que estos actos contrarios al derecho a la igualdad tengan lugar demanda una protección reforzada de los mismos. Ciertamente, el régimen de protección de los datos sensibles se erige sobre los principios y reglas de protección de datos en general. La especificidad de aquél se da en lo siguiente. El principio de consentimiento. El consentimiento debe ser expreso, escrito y específico sobre los datos sensibles. Por consiguiente, para el acopio y elaboración de datos sensibles no resulta válido el consentimiento implícito, ni verbal y tampoco el consentimiento genérico. No obstante, si resulta necesario dichos datos pueden ser tratados sin consentimiento, pero para la salvaguarda de determinados derechos fundamentales como la vida, la salud, del titular de los datos, de un tercero o de los miembros de la sociedad o incluso el derecho a la tutela jurisdiccional. Así, la excepción 5 En Suiza la Ley Federal de Protección de Datos (Bundesgesetz über den Datenschutz) (Art. 3.c.3) incluye como dato sensible las medidas de ayuda social. 7 www.consultoriaconstitucional.com al consentimiento del dato sensible debe guardar una relación idónea directa con la protección de aquellos derechos o de algún bien constitucional colectivo. Una garantía adicional prevista es la prohibición de la existencia de ficheros creados con la finalidad exclusiva de almacenar datos sensibles. Ahora bien, el principio de consentimiento tiene como destinatario a toda entidad, pública o privada, encargada de la recogida y del procesamiento de datos. Esto significa que, cuando se trata de datos sensibles, tales entidades deben observar las especificidades del principio de consentimiento respecto a este tipo de datos. Sin embargo, por su propia naturaleza, dicho principio no rige con respecto al legislador. Es decir, las limitaciones –intervenciones- de la Ley respecto a datos sensibles de la persona no puede exigir el consentimiento de éstas. No obstante ello, la limitación del legislador sobre la esfera de los datos sensibles detenta algunas particularidades cuya consecuencia es el reforzamiento de la protección intervención Como vimos, el ámbito de protección de los datos personales puede representarse mediante un círculo o esfera cuyo núcleo está constituido por los datos sensibles. Tal representación sólo tiene como propósito destacar que en el conjunto total de datos personales, la esfera de datos sensibles viene a ser un sector delicado, sensible, en el cual, la intervención o, eventualmente, la afectación del derecho a la autodeterminación informativa, puede ser más grave o más intensa que cuando tenga lugar en el resto de la esfera de datos personales. La consecuencia de lo anterior ha de operar, concretamente, en la variable de la intensidad de la intervención, al momento de examinar la limitación de la autodeterminación informativa según el principio de proporcionalidad. Esto significa que la intervención en datos sensibles siempre ha de ser una intervención grave y que, por consiguiente, los exámenes de necesidad y de ponderación han de partir de esta premisa. Como consecuencia, las razones que han de justificar una intervención legítima en el sector de datos sensibles habrán de demostrar que la no limitación de este sector efectuada por una Ley puede ocasionar una intervención o afectación en determinados derechos o bienes constitucionales más grave aún que la intervención en la esfera de datos sensibles originada por la Ley. Si esto llegase a demostrarse, entonces, la limitación o intervención sobre los datos sensibles es constitucional. A diferencia de la intervención en datos sensibles, la que tenga lugar sobre cualquier dato personal que no tenga aquella condición, constituirá, prima facie, una intervención de intensidad leve o intensidad media, pero no una intervención de intensidad grave. Esta constatación ha de tener relevancia en el examen de proporcionalidad que debe efectuarse en el control de constitucionalidad de Leyes, que limiten el derecho a la autodeterminación informativa en el sector de datos sensibles. V. PRINCIPIOS DEL TRATAMIENTO DE DATOS, EL CONSENTIMIENTO Y SUS EXCEPCIONES La protección del derecho a la autodeterminación informativa se complementa con un conjunto de principios que contribuyen a garantizar este derecho fundamental. Se trata de elementos objetivos que deben estar presente en todo régimen legal de este derecho, de modo que se garantice un elevado nivel de protección del mismo. Entre ellos, tenemos el principio de consentimiento, de finalidad, de necesidad, calidad de datos, seguridad y, ciertamente, el principio de legalidad. El elemento nuclear de este régimen lo constituye el principio de consentimiento. Según él todo acto de acopio, tratamiento y transferencia de datos, debe estar precedido por el 8 www.consultoriaconstitucional.com consentimiento expreso, indubitable e informado, de la persona a quien se refieren tales datos. El consentimiento tiene sin embargo determinadas excepciones. Dentro de ellas se encuentran las siguientes: 1) cuando la información que se halla en fuentes de acceso público, 2) cuando es necesario para el cumplimiento de las funciones de la Administración, 3) cuando sean necesarios para el mantenimiento de una relación jurídica contractual, 4) cuando sea necesario para la protección del derecho a la vida del titular de la información. En tales supuestos, no se requiere el consentimiento de la persona. Al margen del primero, el fundamento del resto de las excepciones reside en la protección de bienes constitucionales (servicio público, buena administración, seguridad jurídica) y de derechos fundamentales (derecho a la vida y a la salud). El carácter público de las fuentes no implica, sin embargo, que los datos personales obtenidos de aquéllas sean susceptibles de cualquier tipo de tratamiento; ello sólo autoriza a prescindir del consentimiento del titular de los datos, pero no exceptúa de la exigencia en cuanto a la relación directa que debe haber entre el tratamiento del dato con la finalidad pretendida y amparada, ya en la protección de un derecho fundamental, ya en la protección de un bien constitucional. En tal sentido, un dato personal obtenido de una fuente de acceso público, pero cuyo tratamiento no satisface la exigencia mencionada, resultará igualmente contraria al derecho a la autodeterminación informativa. Aunque no se encuadra dentro de ninguna de las excepciones antes mencionadas, el caso de la información que manejan las Centrales de Riesgo constituye también una excepción al principio de consentimiento. La información sobre la solvencia o el historial crediticio de una persona –natural o jurídica- constituyen datos que se hallan bajo el ámbito de protección del derecho a la autodeterminación informativa en virtud de que se trata de información referida a aquélla. Sin embargo, aun cuando tales datos se hallan bajo tal ámbito de protección, existe una razón de orden constitucional que justifica que dichas entidades puedan acopiar y tratar dicha información. La libertad de empresa, el derecho de propiedad, la libertad contractual y, con éstas, la seguridad jurídica, constituyen los fundamentos constitucionales que exigen que toda persona – natural o jurídica- que ha de establecer una relación contractual que compromete su patrimonio, tenga la posibilidad de conocer con certeza información referida a la solvencia económica de las personas con quienes pretende establecer dicha relación. Aquellos derechos y el valor seguridad jurídica resultarían desprotegidos si el conocimiento de tal información no sería posibilitada por la información provista por las Centrales de Riesgo.6 El principio de finalidad exige que el acopio y tratamiento de los datos esté relacionado directamente al cumplimiento del fin para el cual la ley habilita dichos actos, de modo que si no guardan tal vínculo devienen inválidos o contrarios al derecho de autodeterminación informativa, los datos no pueden ser empleados para finalidades 6 Cuestión distinta y no exenta de problemas es si, como consecuencia de la información obtenida, las entidades financieras están o no legitimadas para ofrecer servicios de crédito a través de llamadas telefónicas a los domicilios o centros laborales de sus posibles clientes. La respuesta parece ser negativa. En principio, debe tenerse en cuenta que la excepción del principio de consentimiento respecto a estos datos sólo habilita el tratamiento de los mismos, pero no las ofertas de servicios crediticios vía telefónica. Ahora, la perturbación de todo espacio privado, como el domiciliario y el laboral, a través de intromisiones no autorizadas, como una llamada telefónica de oferta de crédito, resulta contraria, prima facie, al derecho a la vida privada. El derecho a la inviolabilidad de domicilio conduce a similar conclusión. Si atendemos a que este derecho garantiza una prohibición frente a intromisiones no autorizadas de todo genero, aquellas llamadas aparecen prima facie como una forma de perturbación de este derecho. 9 www.consultoriaconstitucional.com distintas o incompatibles a las estipuladas por la Ley.7 El principio de necesidad exige que los datos personales objeto de acopio y tratamiento sean únicamente los estrictamente indispensables para el cumplimiento de la finalidad establecida en la Ley y por el periodo necesario para ello. Consideramos que en este punto, el mecanismo de disociación8 se erige como una exigencia necesaria previa a todo acopio y tratamiento. Según esto, puede prescindirse de la disociación de los datos personales si y sólo si ello podría perjudicar el cumplimiento de la finalidad para la cual la Ley habilita su acopio y tratamiento. De lo contrario, la disociación será una exigencia necesaria impuesta por el principio de necesidad. Otro principio es el de calidad de datos. Los datos tienen que ser exactos, actualizados, derivándose de ello un deber de actualización de datos por parte de los encargados de su tratamiento. El principio de legalidad constituye una garantía frente a todo acto que incide en cualquier derecho fundamental, pero adquiere singular importancia respecto al derecho a la autodeterminación informativa. En virtud de aquél, todo acto de acopio, tratamiento y transferencia de datos personales, sólo puede tener lugar en los supuestos previstos por la Ley y en las condiciones en ella definidas. Correlativamente, esto significa que sólo puede acopiarse y elaborarse un dato personal si así lo autoriza la Ley, de lo contrario, ni el Estado ni los particulares puede efectuarlo. Según esto, las entidades encargadas del tratamiento de datos no debe basar sus actuaciones en base a conceptos jurídicos abiertos e indeterminados que pudiera habilitar, incluso, la propia ley. El principio de legalidad, por su condición de tal, excluye actuaciones de tal naturaleza, ya que ellas terminarían eliminando de efecto alguno la finalidad garantista de este principio. Conectado con lo anterior, aunque distinto, se halla el principio de reserva de ley. Resulta constitucionalmente más adecuado para una mejor garantía de la autodeterminación informativa que el régimen de su desarrollo y limitación esté reservado a la Ley y, por tanto, se excluya remisiones al reglamento, particularmente en lo que concierne a los supuestos de acopio, tratamiento, transferencia, de datos personales y a los supuestos de limitación del derecho. Nuevamente aquí, el recurso a conceptos jurídicos abiertos e indeterminados cuya precisión remita al reglamento constituye una forma subrepticia de deslegalización de una materia reservada a Ley y, por ello, contrario al principio de reserva de Ley. VI. REFLEXIÓN FINAL: TITULARIDAD DEL DERECHO POR PERSONAS JURÍDICAS DE DERECHO PRIVADO Hasta en la actualidad no existe en Perú una Ley de Protección de Datos Personales, omisión que resulta necesario y urgente suplir. Por otra parte, la jurisprudencia constitucional no ha tenido ocasión de realizar desarrollos importantes sobre el derecho a la autodeterminación informativa, excepción hecha de la sentencia ya mencionada donde se esclarece el contenido de este derecho y de algunos pronunciamientos sobre rectificación y actualización de datos financieros. Un problema de entidad es el de si las personas jurídicas de derecho privado pueden ser o no titulares del derecho a la autodeterminación informativa. Las respuestas que ofrece 7 8 En realidad, este principio constituye una proyección a este ámbito de la exigencia de idoneidad, impuesta por el principio de proporcionalidad. La disociación consiste en un procedimiento por el cual se impide la identificación de las personas cuyos datos personales han sido objeto de acopio y tratamiento. 10 www.consultoriaconstitucional.com el derecho comparado se decantan tanto en sentido negativo (v.gr. Alemania y España) como en sentido positivo (v.gr. Italia y Austria). Consideramos acertada esta última opción. Las personas jurídicas de derecho privado pueden ser titulares de datos que se refieren a ellas por dos razones. La recurrentemente presente cuando se trata del problema de la titularidad por personas jurídicas privadas, esto es, que detrás de éstas hay personas naturales cuyos derechos o intereses pueden resultar desprotegidos si los datos de la persona jurídica resultan desprovistos del poder de control que garantiza el derecho de autodeterminación informativa. Por otra parte, como se advirtió, este derecho resulta instrumental al efecto de la protección de derechos como el de igualdad, propiedad y vida privada. El desconocer a una persona jurídica privada el poder de control sobre la información que le concierne tendría el efecto de dejarla desprovista de protección de aquellos derechos, frente al tratamiento y transferencia descontrolada de su información, esto es, carente de un régimen de protección que se dispensa no cómo efecto reflejo o indirecto de dichos derechos, sino como un auténtico derecho fundamental autónomo y con garantías específicas y propias de este derecho. BIBLIOGRAFÍA Eguiguren Praeli, Francisco “El derecho a la autodeterminación informativa y la protección frente a la utilización informática de los datos personales”, en su volumen: La libertad de expresión e información y el derecho a la intimidad personal, Palestra, Lima, 2004, pp. 139-200. Espinosa-Saldaña Barrera, Eloy “El hábeas data en el derecho comparado y el Perú, y algunas notas sobre su real viabilidad y la pertinencia en nuestro país”, en su volumen: Jurisdicción constitucional, impartición de justicia y debido proceso, ARA editores, Lima, 2003, pp. 293-338. Fernández Segado, Francisco “El régimen jurídico del tratamiento automatizado de los datos de carácter personal en España”, en AA.VV. Ius et Praxis, Año 3, N.º 1, Universidad de Talca, Chile, 1997, pp. 33-69. Gozaíni, Osvaldo Alfredo Derecho procesal constitucional. Hábeas data. Protección de datos personales, Rubinzal – Culzoni Editores, Bs.As., 2001. Iriarte Pamo, Nadia “El derecho a la autodeterminación informativa”, en Actualidad Jurídica, N.º 168, Noviembre, Lima, 2007, pp. 137-141. Hoffmann-Riem, Wolfgang “Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Wege zu einem neuen Konzept des Datenschutzes –”, en Archiv des öffentlichen Rechts, 123. Band, 1998, pp. 513-540. Hufen, Friedhelm “Schutz der Persönlichkeit und Recht auf informationelle Selbstbestimmung”, en Badura, P. et alt. (Hg) Festschrift 50 Jahre Bundesverassungsgericht, 2. Band (Klärung und Fortbildung des Verfassungsrechts), Mohr Siebeck, 2002, pp. 105-125. 11 www.consultoriaconstitucional.com Lucas Murillo de la Cueva, Pablo El derecho a la autodeterminación informativa, Tecnos, Madrid, 1990, e Informática y protección de datos personales, CEC, Madrid, 1993. LEGISLACIÓN COMPARADA CONSULTADA Alemania: Bundesdatenschutzgesetz, (2003) 45 arts. Austria: Bundesgesetz über den Schutz personenbezogener Daten (2000) 64 arts. España: Ley Orgánica 15/1999 de protección de datos de carácter personal, 49 arts. Italia: Codice in materia di protezione dei dati personali (2003) 186 arts. Suiza: Bundesgesetz über den Datenschutz (1992) 39 arts. Unión Europea: Directiva 95/46/CE, 34 arts. 12