www.consultoriaconstitucional.com 1 DERECHO FUNDAMENTAL A

Anuncio
www.consultoriaconstitucional.com
DERECHO FUNDAMENTAL A LA AUTODETERMINACIÓN INFORMATIVA
Mijail Mendoza Escalante*
SUMARIO: I. Introducción; II. Objeto de
protección; III. Contenido del derecho o
ámbito de protección; IV. Datos personales
y datos sensibles; V. Principios del
tratamiento de datos, el consentimiento y
sus excepciones; VI. Reflexión final:
titularidad del derecho por personas
jurídicas de derecho privado.
I. INTRODUCCIÓN
El derecho a la autodeterminación informativa constituye un derecho fundamental que
subyace a lo enunciado en el artículo 2, inciso 6, de la Constitución. El objeto de este
trabajo es la reconstrucción dogmática del contenido de este derecho a partir de su
régimen de protección en algunos modelos del derecho comparado. En éste se ha
desarrollado un conjunto de principios y reglas, por lo general comunes, que permiten
realizar tal propósito.
Este derecho fundamental garantiza a la persona un poder de control sobre todo tipo de
información que le concierne. Sin embargo, como todo derecho fundamental, el de
autodeterminación informativa no constituye un derecho absoluto o ilimitado. Él halla
límites en otros derechos fundamentales y bienes constitucionales. El conocimiento de
los datos personales por parte de terceros particulares o por el Estado puede resultar
necesario para posibilitar el ejercicio o para la protección de determinados derechos
fundamentales y, por otra parte, para que el Estado cumpla las funciones y atribuciones
que la Constitución le ha otorgado. Así, la seguridad del Estado, defensa, seguridad
pública, prevención y represión de ilícitos, la investigación científica. El conocimiento
de datos personales resulta necesario, por ejemplo, para posibilitar actividades
comerciales, planificación gubernamental y para combatir la comisión de delitos.
Esta representación del ámbito de protección de este derecho bajo el esquema
“contenido del derecho – limitación” o “contenido y restricción/intervención” permite
advertir dos cosas. La primera es que la autodeterminación informativa constituye un
derecho – principio cuyo contenido se manifiesta como mandato de optimización. La
segunda. La fundamental consecuencia de lo anterior es que todo dato personal se halla,
prima facie, bajo el ámbito de protección del derecho a la autodeterminación
informativa y, por tanto, los actos de acopio, tratamiento y transferencia de aquellos, por
parte del Estado o de particulares –autorizados-, sólo pueden admitirse a condición de
que se justifiquen en derechos fundamentales y bienes constitucionales. Esto no
*
Doctor en Derecho por la Universidad Complutense de Madrid, Diplomado como Especialista en
Derecho Constitucional y Ciencia Política por el Centro de Estudios Políticos y Constitucionales de
España, Consultor en Derecho Constitucional.
1
www.consultoriaconstitucional.com
significa que cualquier limitación del la autodeterminación sea válida, por el contrario,
condición de su validez, esto es, de su constitucionalidad, es que satisfaga las exigencias
del principio de proporcionalidad.
II. OBJETO DE PROTECCIÓN
El objeto de protección de este derecho fundamental puede ser abordado desde dos
perspectivas. Como una forma de protección del derecho a la vida privada, pero ante
lesiones que provienen específicamente del procesamiento de datos personales. Desde
una perspectiva diferente, el objeto de protección de este derecho viene a ser la
titularidad de la persona sobre los datos que le conciernen. Más precisamente, la
titularidad del control sobre los datos personales.
Si se adopta la primera concepción el bien protegido es la vida privada, si se adopta la
segunda el bien protegido es la autodeterminación informativa de la persona. La
diferencia reside en que, conforme a la primera concepción, no hay propiamente un
objeto de protección propio, distinto a la vida privada, sino más bien una fuente
particular, peculiar, como es el procesamiento de datos, donde se origina afectaciones
de la vida privada. Por el contrario, la segunda concepción considera que, sin perjuicio
del vínculo con la vida privada, el objeto de protección es la autodeterminación
informativa de la persona.
Evidentemente, existe un vínculo indisoluble entre éstas, en tanto la protección de la
autodeterminación informativa ha de posibilitar, en último término, la protección de la
vida privada. Sin embargo, sucede con la autodeterminación informativa lo mismo que
con otros derechos cuya protección se dirige a la protección de la vida privada y de la
intimidad. Es el caso de la inviolabilidad de domicilio y del secreto e inviolabilidad de
correspondencia y de documentos privados, cuya protección, en ambos caso, está
orientada a la protección de la vida privada y de la intimidad; sin embargo, en atención
a que ostentan un objeto propio y específico de protección, han adquirido la condición
de derechos fundamentales autónomos. En tal sentido, si bien a través de la
autodeterminación informativa se protege la vida privada y la intimidad, ella detenta
autonomía y, por ello, la entidad de un derecho fundamental autónomo.
La especificidad de la autodeterminación informativa reside básicamente en que se
configura sobre todo como un derecho de participación. No es una actuación libre de
intromisión lo que se garantiza, un status negativus, sino una intervención activa –de
control–, un status activo en el proceso que involucra la información personal. Su
ejercicio consiste en la competencia de control de la persona sobre la información
personal que fluye en el procesamiento de datos, en general o, si se prefiere, en lo que se
denomina como sociedad de la información. Esta especificidad del contenido de la
autodeterminación informativa le adjudica una entidad propia y, con ello, autónoma con
respecto al derecho a la vida privada y a la intimidad.
Es recurrente relacionar el surgimiento de este derecho a la aparición del procesamiento
automatizado de datos, sin embargo, tal relación no es conceptualmente exacta. Si se
prescinde del dato contingente de la informatización de los datos personales podremos
advertir que el problema no se plantea a partir de aquel proceso, sino a partir de la
posibilidad de la utilidad o beneficio que el Estado o particulares pueden obtener del
manejo de dicha información. El problema principal es que con el manejo de dicha
información se puede llegar a situaciones perversas de control social en la
determinación de opciones individuales, en los juicios de valor que pueden inferirse a
partir de los datos personales y, con ello, en las consecuencias que podrán derivarse de
2
www.consultoriaconstitucional.com
ellos, terminando así en un totalitarismo de nuevo cuño. De esta forma, este peligro no
se plantea por definición a partir del procesamiento informatizado de los datos
personales, sino de la utilización de los mismos. Si bien el grado de nocividad del
procesamiento informatizado puede llegar a magnitudes exponenciales, el problema y
consecuencias que genera se halla también presente en el procesamiento no
automatizado de dichos datos. En definitiva, el problema se halla aquí en la utilización
de los datos personales.
El bien protegido por el derecho a la autodeterminación informativa es el control de la
información personal, esto es, el control sobre el acopio, procesamiento o utilización, y
transmisión de la misma. El Tribunal Constitucional alemán en la célebre sentencia del
caso del censo, de 1983, elaboró con claridad los contornos dogmáticos de este derecho
fundamental. El Tribunal parte de la siguiente premisa:
“Quien no puede ver con suficiente seguridad qué informaciones que le conciernen en
determinados ámbitos de su medio social son conocidas y quien no puede evaluar
medianamente el conocimiento de su posible interlocutor puede ser sustancialmente
limitado en su libertad de planificar o decidirse por propia autodeterminación. Un orden
social y un orden jurídico que lo posibilite, en las cuales los ciudadanos ya no pueden
saber quién, qué, cuando y con qué motivo, sabe de ella, no serían compatibles con el
derecho a la autodeterminación informativa. Quien está inseguro de si formas de
conducta distintas son registradas todo el tiempo y si son almacenadas, procesadas y
transferidas de manera duradera como información, intentará no llamar la atención a
través de tales conductas. Quien de esa forma advierte que es registrado por la
administración, por ejemplo, de la participación en una manifestación o en una
iniciativa ciudadana y que ello le originará riesgos, probablemente renunciara al
ejercicio de sus respectivos derechos fundamentales (Art. 8, 9, de la Ley Fundamental).
Esto no sólo afectaría las posibilidades de desenvolvimiento del individuo, sino también
el bienestar general porque la autodeterminación es una condición funcional elemental
de una comunidad democrática libre, fundada en la aptitud de acción y de participación
de sus ciudadanos.
De ello se sigue que: el libre desenvolvimiento de la personalidad, bajo las condiciones
modernas del procesamiento de datos, la protección del individuo frente al acopio, el
almacenamiento, utilización y la transmisión de sus datos personales. (…) Este derecho
garantiza básicamente la competencia del individuo de determinar por sí mismo sobre la
transmisión y utilización de sus datos personales.”1
Como se puede advertir, el razonamiento es que la libertad general de actuación de la
persona (libre desenvolvimiento de la personalidad) resultaría severamente restringida si
la persona se ve impedida de planificar o decidirse libremente, si aquélla no tiene la
posibilidad de controlar la información personal. En este contexto, el control de los
datos personales se erige como un presupuesto o, mejor, como una garantía de la
facultad de autodeterminarse, esto es, de la propia libertad en el sentido de
autodeterminación individual. Por otro lado, el registro total, injustificado, de datos
personales se convierte en una forma de vigilancia, de perturbación en el ejercicio pleno
de la libertad, muy al margen de si las actuaciones registradas son privadas o públicas.
Además, si se dispone de la información personal el Estado puede obtener un perfil
psicológico acabado de la sociedad y, con ello, tiene la posibilidad de elaborar sutiles
formas de control social donde la libertad individual y de la sociedad terminan siendo
1
BVerfGE 65, 1 (p. 43). Sentencia de 15 de diciembre de 1983.
3
www.consultoriaconstitucional.com
eliminadas, erigiéndose así un totalitarismo de nuevo cuño y, por ello, incompatible en
último término con la dignidad de la persona.
Por último, el conocimiento de información personal en manos de la delincuencia puede
amenazar derechos fundamentales como la vida, la integridad, la salud y la propiedad,
de las personas cuya información personal se conoce.
De este modo, el control de la información personal termina constituyéndose un medio
fundamental para garantizar la vida privada, la libertad, la vida, integridad, salud,
propiedad y, por último, la misma dignidad de la persona. En tal sentido, la variedad de
derechos cuya protección posibilita y la complejidad que adquiere su contenido para el
cumplimiento de su finalidad, le otorgan un carácter específico a su objeto de
protección, lo cual justifica adjudicarle la condición de un derecho fundamental
autónomo.
Cabe destacar que la autodeterminación informativa se configura sobre todo como un
derecho de protección. El control sobre la información personal presupone una
actuación positiva del Estado, la cual se erige como consecuencia del deber de
protección que tiene el Estado con respecto a este derecho. Esto significa concretamente
el deber del Estado de establecer, por un lado, procedimientos que posibiliten el
ejercicio eficaz del control de la información personal y, por otro, instituciones
orientadas a la protección o garantía de este control. Es en este último contexto donde la
instauración de una institución de protección de datos (v.gr. agencia, comisión) aparece
como una exigencia derivada de la acentuada condición de derecho de protección de la
autodeterminación informativa.
III. CONTENIDO DEL DERECHO O ÁMBITO DE PROTECCIÓN
El derecho a la autodeterminación informativa garantiza a la persona la titularidad de
ella sobre los datos que le conciernen. En tal sentido, este derecho atribuye a su titular:
- acceder a la información personal
- ser informado ante todo acto de acopio de datos personales
- cancelar información personal
- rectificar
- impedir su transmisión a terceros
La facultad de acceso habilita a la persona conocer la información que existe en un
banco de datos sobre ella y a que se le informe en cuanto al modo en que aquélla ha sido
obtenida, sobre la finalidad del recojo o acopio de datos y sobre el destinatario o
destinatarios de la misma. Este mismo derecho se extiende a los titulares de bancos de
datos cuando estos reciben información de una persona y cuando aquél ha de ceder
dicha información a un tercero.
Significa esto que el conocimiento de información personal en los términos expuestos
se dará en tres momentos distintos, luego de haber sido acopiada, cuando deba ser
entregada a un tercero y cuando es solicitada por la persona. En tal sentido, la lesión de
este derecho se puede dar tanto a causa de la denegación arbitraria de acceso al
conocimiento de la información personal, como también por la omisión de informar al
titular con motivo del acopio del dato personal o con motivo de su remisión a un
tercero.
La pregunta central en cuanto a este aspecto es conocer previamente quienes detentan
datos personales o si hay forma de saber qué instituciones del sector privado como del
sector público detentan información personal. Por esto, la forma en que se posibilita una
protección eficaz de este atributo es la existencia de un Registro único a cargo de una
4
www.consultoriaconstitucional.com
entidad de protección de datos, en el cual se tiene registrado la totalidad de titulares de
bancos de datos. Esto posibilita que la persona pueda conocer quiénes detentan bancos
de datos y, así, identificándolos, que pueda solicitarles el acceso al conocimiento de la
información personal.
Otro contenido de este derecho es la facultad de solicitar, ante todo acto de acopio de
datos personales, información sobre la identidad de la entidad responsable del acopio de
datos, sobre la finalidad o razón del acopio y de los destinatarios de aquéllos.
Generalmente se da por secundario o por sobrentendido este contenido del derecho,
supeditándolo al de acceso a la información personal; sin embargo, él detenta entidad
autónoma. Su exigencia se presenta de modo independiente, antes del acopio de datos;
el bien protegido por el derecho a la autodeterminación informativa es la titularidad
sobre la información personal, en consecuencia, ningún aspecto de éste puede ser
acopiado, a menos que exista una habilitación legal al efecto, sustentada en un
fundamento constitucional y –lo que aquí es relevante– que sea autorizado por la
persona cuyos datos son acopiados, en los términos antes expuestos; es decir, con
información sobre la identidad del órgano responsable del acopio de datos, la finalidad
de ello y los destinatarios de aquellos.
La cancelación de información personal puede solicitarse en tres supuestos: cuando la
información ha sido acopiada al margen de las condiciones establecidas al efecto en la
Ley, cuando ella ya no es necesaria para la finalidad que la motivó y cuando el
tratamiento de datos está orientado a proveer una definición de determinados aspectos
de la personalidad o de características de la persona.
Aunque no es idéntica a la cancelación, sí tiene un efecto análogo el denominado
“bloqueo” de datos personales. El procede en los siguientes supuestos2: cuando no
procede la cancelación del dato en virtud de un mandato de conservación del dato
durante un plazo establecido por la Ley, cuando se presume que la cancelación del dato
podría afectar intereses de la persona y cuando la cancelación no es posible debido a la
particular forma del almacenamiento o, siéndolo, implicaría ello un costo
manifiestamente desproporcional. Cuando la administración considera que sin el
bloqueo podría afectarse los intereses de la persona o cuando estima que los datos ya no
son necesarios para el cumplimiento de la finalidad de su acopio. El bloqueo de datos se
extiende también a supuestos donde la exactitud de los datos es cuestionada por la
persona, no habiéndose demostrado la exactitud o no de los mismos. Opera aquí una
forma de pro homine3.
La rectificación tiene por objeto la enmienda de datos erróneos o incompletos. A través
de esta facultad se puede actualizar o corregir datos erróneos o, en su caso, la
integración o añadido de datos personales nuevos que aún no se encuentran en el banco
de información.
El derecho de impedir implica la facultad de oponerse al acopio o recogida de datos
personales, a su cesión o a su transferencia a terceros. Él tiene lugar cuando la persona
se opone a cualquiera de estas operaciones y el interés de éste, en atención a su
particular situación, prevalece sobre el interés del responsable del banco de
información.
2
Esta sistematización de los supuestos de bloqueo la tomamos de la Ley Federal de Protección de Datos
(Bundesdatenschutzgesetz) de Alemania, artículo 20, apartados 3, 4 y 6.
3
Esta previsión está enunciada en el artículo 20.4 de la citada Ley alemana: “Los datos personales
procesados en forma automatizada o en archivos no automatizados deben ser bloqueados si su
corrección es cuestionada por la persona afectada y no se ha llegado a determinar la corrección ni la
incorrección de los mismos.”
5
www.consultoriaconstitucional.com
En este contexto, la Constitución, en su artículo 2, inciso 6, ha reconocido el derecho de
la persona:
“A que los servicios informáticos, computarizados o no, públicos o privados, no
suministren informaciones que afecten la intimidad personal y familiar”
La Constitución enuncia sólo uno de los contenidos del derecho a la autodeterminación
informativa, el de oposición a la transmisión de datos personales por parte de la entidad
responsable de ellos. Tal oposición se refiere únicamente a informaciones relativas a la
intimidad personal y familiar, no a datos personales, de manera general.
En principio, debe descartase una interpretación literal que conduzca a la exclusión del
resto de contenidos del derecho a la autodeterminación informativa. En tal sentido, debe
acudirse a una interpretación teleológica en la cual se determine el contenido del
derecho en atención a la ratio que subyace al artículo 2, inciso 6, de la Constitución. Tal
ratio viene a ser la garantía de un objeto de protección, el cual está constituido por el
control de la información personal. El derecho a oponerse la transmisión de información
personal presupone que la persona tiene titularidad sobre el control de ella, de lo
contrario, resultaría imposible reconocerle tal derecho; en consecuencia, dado que la
persona tiene titularidad sobre el control de la información que le concierne, entonces
ella no sólo puede oponerse a la transmisión de aquélla, sino también cancerlarla,
rectificarla y, ciertamente, acceder a su conocimiento. Por otra parte, debe considerarse
que las disposiciones de la Constitución que enuncian derechos constituyen principios
cuyo contenido es abierto a la incorporación de contenidos y garantías adicionales,
orientadas a una optimización o mejor nivel de tutela del bien jurídico objeto de
protección. Tal enriquecimiento del contenido del derecho puede ser efectuado a través
de la Ley o de la Jurisprudencia, en cuanto fuentes de derecho. Precisamente, esto es lo
que ha tenido lugar con el derecho reconocido en la citada disposición constitucional. El
Tribunal Constitucional, ya en el año 2003, con motivo de un proceso de hábeas data,
aludió expresamente al derecho a la autodeterminación informativa como objeto de
protección de dicho proceso y consideró la integración de los mencionados contenidos a
este derecho fundamental4.
IV. DATOS PERSONALES Y DATOS SENSIBLES
Por dato personal se entiende toda información referida a la persona. Esta información
puede hallarse en fuentes de acceso público y en fuentes que no tienen tal carácter. En el
primer caso se está también ante información que se encuentra bajo el ámbito de
protección del derecho a la autodeterminación informativa y los principios que lo
garantizan, la única consecuencia del carácter público de su acceso es que el acopio y
tratamiento de tal información está exenta del consentimiento del titular de los datos
personales, pero no de la exigencia derivada del resto de principios que garantizan este
derecho. Tal es el caso de los libros, revistas, periódicos, guías telefónicas.
El derecho como tal es la titularidad de la información personal, no sólo “intima”, sino
también la “privada”, en todo caso, información cuyo acopio, tratamiento y entrega a
terceros, sólo está habilitado si ello se justifica en un bien constitucional colectivo o en
derechos fundamentales. Así las cosas, toda información referida a la persona se halla,
prima facie, bajo el ámbito de protección de este derecho y, por tanto, excluido de su
4
Vid. STC, Exp. N.º 1797-2002-HD, publicada el 30 de septiembre de 2003. Este desarrollo
jurisprudencial originó la ampliación del contenido de este derecho protegido por la Constitución y, a
su vez, la ampliación del ámbito de protección del proceso de hábeas data que, posteriormente, el
Código Procesal Constitucional ha incorporado (art. 61, inc. 2).
6
www.consultoriaconstitucional.com
acopio, tratamiento y transmisión, en tanto no exista un derecho fundamental o un bien
constitucional que exija lo contrario.
Los datos sensibles están constituidos por información concerniente al origen racial o
étnico, opiniones políticas, convicciones religiosas, filosóficas, morales, filiación
sindical, información referida a salud y a la vida sexual, filiación política partidaria,
filiación a asociaciones u organizaciones análogas de carácter religioso, filosófico o
político. Se suele añadir a este grupo datos referidos a sanciones disciplinarias y
sanciones penales5.
De esta forma, puede representarse gráficamente los datos personales como un círculo
en cuyo interior hay un círculo que a modo de núcleo viene a ser el de datos sensibles.
De este modo, de modo análogo a la teoría de las esferas sobre el derecho a la vida
privada, puede afirmarse que los datos sensibles constituyen el núcleo de la esfera de
datos personales debido a que la entidad, el valor de los mismos, resulta de mayor
fundamentalidad que el resto de datos personales. La mayor fundamentalidad de tal
sector se sustenta en que la protección de datos sensibles, a diferencia del resto de datos
personales, se relaciona estrechamente con la protección de otros derechos
fundamentales (intimidad, igualdad, libertad de conciencia y de pensamiento) y del
propio principio de dignidad.
Los datos sensibles no constituyen, como erróneamente podría pensarse, información
cuyo acceso o elaboración se halle prohibido de manera absoluta. Tal condición implica,
más bien, que se trata de datos personales de protección reforzada. Es decir, se permite
su conocimiento y elaboración, pero se exige mayores garantías para tal efecto.
La protección reforzada de los datos sensibles se sustenta en distintos fundamentos. En
el caso de la salud y la conducta sexual, la exclusión de su conocimiento se basa en el
derecho a la intimidad. Tales datos hacen parte de la esfera más íntima de la persona en
relación a otros referidos a ella. En el caso de las convicciones religiosas, filosóficas,
morales, opiniones políticas, la exclusión de su conocimiento se fundamenta en la
libertad de conciencia, de religión y de pensamiento. Uno de los contenidos de estos
derechos es el de guardar reserva sobre dichas convicciones.
En el caso de datos como la filiación de diversa naturaleza (filiación sindical, política
partidaria, filiación a asociaciones carácter religioso, filosófico o político), el origen
racial o étnico y las sanciones (disciplinarias y penales), la exclusión de su
conocimiento y elaboración se fundamenta en el deber de protección del Estado respeto
al derecho a la igualdad. Se trata de datos en base a cuyo conocimiento el Estado o
particulares pueden ilegítimamente ocasionar desventajas o exclusión o, cuando menos,
formas de tratamiento discriminatorio. Evitar que estos actos contrarios al derecho a la
igualdad tengan lugar demanda una protección reforzada de los mismos.
Ciertamente, el régimen de protección de los datos sensibles se erige sobre los
principios y reglas de protección de datos en general. La especificidad de aquél se da en
lo siguiente. El principio de consentimiento. El consentimiento debe ser expreso, escrito
y específico sobre los datos sensibles. Por consiguiente, para el acopio y elaboración de
datos sensibles no resulta válido el consentimiento implícito, ni verbal y tampoco el
consentimiento genérico. No obstante, si resulta necesario dichos datos pueden ser
tratados sin consentimiento, pero para la salvaguarda de determinados derechos
fundamentales como la vida, la salud, del titular de los datos, de un tercero o de los
miembros de la sociedad o incluso el derecho a la tutela jurisdiccional. Así, la excepción
5
En Suiza la Ley Federal de Protección de Datos (Bundesgesetz über den Datenschutz) (Art. 3.c.3)
incluye como dato sensible las medidas de ayuda social.
7
www.consultoriaconstitucional.com
al consentimiento del dato sensible debe guardar una relación idónea directa con la
protección de aquellos derechos o de algún bien constitucional colectivo. Una garantía
adicional prevista es la prohibición de la existencia de ficheros creados con la finalidad
exclusiva de almacenar datos sensibles.
Ahora bien, el principio de consentimiento tiene como destinatario a toda entidad,
pública o privada, encargada de la recogida y del procesamiento de datos. Esto significa
que, cuando se trata de datos sensibles, tales entidades deben observar las
especificidades del principio de consentimiento respecto a este tipo de datos. Sin
embargo, por su propia naturaleza, dicho principio no rige con respecto al legislador. Es
decir, las limitaciones –intervenciones- de la Ley respecto a datos sensibles de la
persona no puede exigir el consentimiento de éstas. No obstante ello, la limitación del
legislador sobre la esfera de los datos sensibles detenta algunas particularidades cuya
consecuencia es el reforzamiento de la protección intervención
Como vimos, el ámbito de protección de los datos personales puede representarse
mediante un círculo o esfera cuyo núcleo está constituido por los datos sensibles. Tal
representación sólo tiene como propósito destacar que en el conjunto total de datos
personales, la esfera de datos sensibles viene a ser un sector delicado, sensible, en el
cual, la intervención o, eventualmente, la afectación del derecho a la autodeterminación
informativa, puede ser más grave o más intensa que cuando tenga lugar en el resto de la
esfera de datos personales.
La consecuencia de lo anterior ha de operar, concretamente, en la variable de la
intensidad de la intervención, al momento de examinar la limitación de la
autodeterminación informativa según el principio de proporcionalidad. Esto significa
que la intervención en datos sensibles siempre ha de ser una intervención grave y que,
por consiguiente, los exámenes de necesidad y de ponderación han de partir de esta
premisa. Como consecuencia, las razones que han de justificar una intervención
legítima en el sector de datos sensibles habrán de demostrar que la no limitación de este
sector efectuada por una Ley puede ocasionar una intervención o afectación en
determinados derechos o bienes constitucionales más grave aún que la intervención en
la esfera de datos sensibles originada por la Ley. Si esto llegase a demostrarse, entonces,
la limitación o intervención sobre los datos sensibles es constitucional.
A diferencia de la intervención en datos sensibles, la que tenga lugar sobre cualquier
dato personal que no tenga aquella condición, constituirá, prima facie, una intervención
de intensidad leve o intensidad media, pero no una intervención de intensidad grave.
Esta constatación ha de tener relevancia en el examen de proporcionalidad que debe
efectuarse en el control de constitucionalidad de Leyes, que limiten el derecho a la
autodeterminación informativa en el sector de datos sensibles.
V. PRINCIPIOS DEL TRATAMIENTO DE DATOS, EL CONSENTIMIENTO Y
SUS EXCEPCIONES
La protección del derecho a la autodeterminación informativa se complementa con un
conjunto de principios que contribuyen a garantizar este derecho fundamental. Se trata
de elementos objetivos que deben estar presente en todo régimen legal de este derecho,
de modo que se garantice un elevado nivel de protección del mismo. Entre ellos,
tenemos el principio de consentimiento, de finalidad, de necesidad, calidad de datos,
seguridad y, ciertamente, el principio de legalidad.
El elemento nuclear de este régimen lo constituye el principio de consentimiento. Según
él todo acto de acopio, tratamiento y transferencia de datos, debe estar precedido por el
8
www.consultoriaconstitucional.com
consentimiento expreso, indubitable e informado, de la persona a quien se refieren tales
datos. El consentimiento tiene sin embargo determinadas excepciones. Dentro de ellas
se encuentran las siguientes: 1) cuando la información que se halla en fuentes de acceso
público, 2) cuando es necesario para el cumplimiento de las funciones de la
Administración, 3) cuando sean necesarios para el mantenimiento de una relación
jurídica contractual, 4) cuando sea necesario para la protección del derecho a la vida del
titular de la información. En tales supuestos, no se requiere el consentimiento de la
persona. Al margen del primero, el fundamento del resto de las excepciones reside en la
protección de bienes constitucionales (servicio público, buena administración, seguridad
jurídica) y de derechos fundamentales (derecho a la vida y a la salud).
El carácter público de las fuentes no implica, sin embargo, que los datos personales
obtenidos de aquéllas sean susceptibles de cualquier tipo de tratamiento; ello sólo
autoriza a prescindir del consentimiento del titular de los datos, pero no exceptúa de la
exigencia en cuanto a la relación directa que debe haber entre el tratamiento del dato
con la finalidad pretendida y amparada, ya en la protección de un derecho fundamental,
ya en la protección de un bien constitucional. En tal sentido, un dato personal obtenido
de una fuente de acceso público, pero cuyo tratamiento no satisface la exigencia
mencionada, resultará igualmente contraria al derecho a la autodeterminación
informativa.
Aunque no se encuadra dentro de ninguna de las excepciones antes mencionadas, el
caso de la información que manejan las Centrales de Riesgo constituye también una
excepción al principio de consentimiento. La información sobre la solvencia o el
historial crediticio de una persona –natural o jurídica- constituyen datos que se hallan
bajo el ámbito de protección del derecho a la autodeterminación informativa en virtud
de que se trata de información referida a aquélla. Sin embargo, aun cuando tales datos
se hallan bajo tal ámbito de protección, existe una razón de orden constitucional que
justifica que dichas entidades puedan acopiar y tratar dicha información. La libertad de
empresa, el derecho de propiedad, la libertad contractual y, con éstas, la seguridad
jurídica, constituyen los fundamentos constitucionales que exigen que toda persona –
natural o jurídica- que ha de establecer una relación contractual que compromete su
patrimonio, tenga la posibilidad de conocer con certeza información referida a la
solvencia económica de las personas con quienes pretende establecer dicha relación.
Aquellos derechos y el valor seguridad jurídica resultarían desprotegidos si el
conocimiento de tal información no sería posibilitada por la información provista por
las Centrales de Riesgo.6
El principio de finalidad exige que el acopio y tratamiento de los datos esté relacionado
directamente al cumplimiento del fin para el cual la ley habilita dichos actos, de modo
que si no guardan tal vínculo devienen inválidos o contrarios al derecho de
autodeterminación informativa, los datos no pueden ser empleados para finalidades
6
Cuestión distinta y no exenta de problemas es si, como consecuencia de la información obtenida, las
entidades financieras están o no legitimadas para ofrecer servicios de crédito a través de llamadas
telefónicas a los domicilios o centros laborales de sus posibles clientes. La respuesta parece ser
negativa. En principio, debe tenerse en cuenta que la excepción del principio de consentimiento
respecto a estos datos sólo habilita el tratamiento de los mismos, pero no las ofertas de servicios
crediticios vía telefónica. Ahora, la perturbación de todo espacio privado, como el domiciliario y el
laboral, a través de intromisiones no autorizadas, como una llamada telefónica de oferta de crédito,
resulta contraria, prima facie, al derecho a la vida privada. El derecho a la inviolabilidad de domicilio
conduce a similar conclusión. Si atendemos a que este derecho garantiza una prohibición frente a
intromisiones no autorizadas de todo genero, aquellas llamadas aparecen prima facie como una forma
de perturbación de este derecho.
9
www.consultoriaconstitucional.com
distintas o incompatibles a las estipuladas por la Ley.7 El principio de necesidad exige
que los datos personales objeto de acopio y tratamiento sean únicamente los
estrictamente indispensables para el cumplimiento de la finalidad establecida en la Ley
y por el periodo necesario para ello. Consideramos que en este punto, el mecanismo de
disociación8 se erige como una exigencia necesaria previa a todo acopio y tratamiento.
Según esto, puede prescindirse de la disociación de los datos personales si y sólo si ello
podría perjudicar el cumplimiento de la finalidad para la cual la Ley habilita su acopio y
tratamiento. De lo contrario, la disociación será una exigencia necesaria impuesta por el
principio de necesidad.
Otro principio es el de calidad de datos. Los datos tienen que ser exactos, actualizados,
derivándose de ello un deber de actualización de datos por parte de los encargados de su
tratamiento.
El principio de legalidad constituye una garantía frente a todo acto que incide en
cualquier derecho fundamental, pero adquiere singular importancia respecto al derecho
a la autodeterminación informativa. En virtud de aquél, todo acto de acopio, tratamiento
y transferencia de datos personales, sólo puede tener lugar en los supuestos previstos
por la Ley y en las condiciones en ella definidas. Correlativamente, esto significa que
sólo puede acopiarse y elaborarse un dato personal si así lo autoriza la Ley, de lo
contrario, ni el Estado ni los particulares puede efectuarlo. Según esto, las entidades
encargadas del tratamiento de datos no debe basar sus actuaciones en base a conceptos
jurídicos abiertos e indeterminados que pudiera habilitar, incluso, la propia ley. El
principio de legalidad, por su condición de tal, excluye actuaciones de tal naturaleza, ya
que ellas terminarían eliminando de efecto alguno la finalidad garantista de este
principio.
Conectado con lo anterior, aunque distinto, se halla el principio de reserva de ley.
Resulta constitucionalmente más adecuado para una mejor garantía de la
autodeterminación informativa que el régimen de su desarrollo y limitación esté
reservado a la Ley y, por tanto, se excluya remisiones al reglamento, particularmente en
lo que concierne a los supuestos de acopio, tratamiento, transferencia, de datos
personales y a los supuestos de limitación del derecho. Nuevamente aquí, el recurso a
conceptos jurídicos abiertos e indeterminados cuya precisión remita al reglamento
constituye una forma subrepticia de deslegalización de una materia reservada a Ley y,
por ello, contrario al principio de reserva de Ley.
VI. REFLEXIÓN FINAL: TITULARIDAD DEL DERECHO POR PERSONAS
JURÍDICAS DE DERECHO PRIVADO
Hasta en la actualidad no existe en Perú una Ley de Protección de Datos Personales,
omisión que resulta necesario y urgente suplir. Por otra parte, la jurisprudencia
constitucional no ha tenido ocasión de realizar desarrollos importantes sobre el derecho
a la autodeterminación informativa, excepción hecha de la sentencia ya mencionada
donde se esclarece el contenido de este derecho y de algunos pronunciamientos sobre
rectificación y actualización de datos financieros.
Un problema de entidad es el de si las personas jurídicas de derecho privado pueden ser
o no titulares del derecho a la autodeterminación informativa. Las respuestas que ofrece
7
8
En realidad, este principio constituye una proyección a este ámbito de la exigencia de idoneidad,
impuesta por el principio de proporcionalidad.
La disociación consiste en un procedimiento por el cual se impide la identificación de las personas
cuyos datos personales han sido objeto de acopio y tratamiento.
10
www.consultoriaconstitucional.com
el derecho comparado se decantan tanto en sentido negativo (v.gr. Alemania y España)
como en sentido positivo (v.gr. Italia y Austria). Consideramos acertada esta última
opción. Las personas jurídicas de derecho privado pueden ser titulares de datos que se
refieren a ellas por dos razones. La recurrentemente presente cuando se trata del
problema de la titularidad por personas jurídicas privadas, esto es, que detrás de éstas
hay personas naturales cuyos derechos o intereses pueden resultar desprotegidos si los
datos de la persona jurídica resultan desprovistos del poder de control que garantiza el
derecho de autodeterminación informativa. Por otra parte, como se advirtió, este
derecho resulta instrumental al efecto de la protección de derechos como el de igualdad,
propiedad y vida privada. El desconocer a una persona jurídica privada el poder de
control sobre la información que le concierne tendría el efecto de dejarla desprovista de
protección de aquellos derechos, frente al tratamiento y transferencia descontrolada de
su información, esto es, carente de un régimen de protección que se dispensa no cómo
efecto reflejo o indirecto de dichos derechos, sino como un auténtico derecho
fundamental autónomo y con garantías específicas y propias de este derecho.
BIBLIOGRAFÍA
Eguiguren Praeli, Francisco “El derecho a la autodeterminación informativa y la
protección frente a la utilización informática de los datos personales”, en su volumen:
La libertad de expresión e información y el derecho a la intimidad personal, Palestra,
Lima, 2004, pp. 139-200.
Espinosa-Saldaña Barrera, Eloy “El hábeas data en el derecho comparado y el Perú, y
algunas notas sobre su real viabilidad y la pertinencia en nuestro país”, en su volumen:
Jurisdicción constitucional, impartición de justicia y debido proceso, ARA editores,
Lima, 2003, pp. 293-338.
Fernández Segado, Francisco “El régimen jurídico del tratamiento automatizado de los
datos de carácter personal en España”, en AA.VV. Ius et Praxis, Año 3, N.º 1,
Universidad de Talca, Chile, 1997, pp. 33-69.
Gozaíni, Osvaldo Alfredo Derecho procesal constitucional. Hábeas data. Protección de
datos personales, Rubinzal – Culzoni Editores, Bs.As., 2001.
Iriarte Pamo, Nadia “El derecho a la autodeterminación informativa”, en Actualidad
Jurídica, N.º 168, Noviembre, Lima, 2007, pp. 137-141.
Hoffmann-Riem,
Wolfgang
“Informationelle
Selbstbestimmung
in
der
Informationsgesellschaft – Auf dem Wege zu einem neuen Konzept des Datenschutzes
–”, en Archiv des öffentlichen Rechts, 123. Band, 1998, pp. 513-540.
Hufen, Friedhelm “Schutz der Persönlichkeit und Recht auf informationelle
Selbstbestimmung”, en Badura, P. et alt. (Hg) Festschrift 50 Jahre
Bundesverassungsgericht, 2. Band (Klärung und Fortbildung des Verfassungsrechts),
Mohr Siebeck, 2002, pp. 105-125.
11
www.consultoriaconstitucional.com
Lucas Murillo de la Cueva, Pablo El derecho a la autodeterminación informativa,
Tecnos, Madrid, 1990, e Informática y protección de datos personales, CEC, Madrid,
1993.
LEGISLACIÓN COMPARADA CONSULTADA
Alemania: Bundesdatenschutzgesetz, (2003) 45 arts.
Austria: Bundesgesetz über den Schutz personenbezogener Daten (2000) 64 arts.
España: Ley Orgánica 15/1999 de protección de datos de carácter personal, 49 arts.
Italia: Codice in materia di protezione dei dati personali (2003) 186 arts.
Suiza: Bundesgesetz über den Datenschutz (1992) 39 arts.
Unión Europea: Directiva 95/46/CE, 34 arts.
12
Descargar