Código Civil y Comercial de la Nación - Libro Tercero - Derechos PersonalesArtículo 1770 (Argentina - Nacional)Constitución Política del Estado Plurinacional de BoliviaArtículo 20 - Artículo 127 - Artículo 131 (Bolivia - Bolivia)Constitución de la Nación Argentina Artículo 43 - Artículo 72 (Argentina - Nacional)Constitución Nacional de la República del ParaguayArtículo 8 - Artículo 28 - Artículo 33 - Artículo 135 (Paraguay - Paraguay)Tratado de Asunción para la Constitución del MercosurArtículo 1 - Artículo 2 (Mercosur)Constitución Política de ColombiaArtículo 15 (Colombia - Colombia)Constitución de la República del EcuadorArtículo 11 - Artículo 19 (Ecuador - Ecuador)
Este artículo analiza la cuestión de la intimidad y su relación con la información de carácter personal denominada Dato Personal. Haciendo referencia a la necesidad de proteger dicha información especialmente en lo que hace al tratamiento, almacenamiento y transferencia internacional de la misma. Atento dichas actividades poseen necesariamente una dimensión internacional que es consecuencia de la propia naturaleza de los medios informáticos se enfatiza la necesidad de abordar dicha protección en el ámbito regional. En esta dirección el artículo discurre sobre la actualidad normativa de la protección de los datos personales en el Mercado Común del Sur (MERCOSUR). Se describe del estado de la normativa vigente en el marco nacional de los países miembros y asociados, poniendo el acento en su alcance constitucional y en la existencia o no de normativa específica. Se describe la evolución de su abordaje en el ámbito regional, planteando la labor de la armonización de normas como garantía del efecto deseado de la normativa surgida de los acuerdos integrativos, y la interacción constructiva de los ordenamientos nacionales, poniendo énfasis en la necesidad de la integración para una profundización de dicho abordaje, mencionándose sus beneficios en la solución de una problemática internacional en la cual se requiere un balance entre la protección los datos personales y las exigencias del tráfico comercial.
This article discusses the issue of privacy and its relation to personal information called Personal Data. Referring to the need to protect such information especially in making treatment, storage and international transfer of it. Attentive such activities necessarily have an international dimension that is a consequence of the very nature of computer means the need to address such protection at the regional level is emphasized. This article address the rules currently run on the protection of personal data in the Southern Common Market (MERCOSUR). It describes the state of the regulations in force in the national framework of Member States and partner countries, with emphasis on its constitutional scope and the existence of specific legislation. the evolution of his approach at the regional level is described, presenting the work of harmonization of rules to guarantee the desired effect of regulations arising from the integrative agreements and constructive interaction of national systems, emphasizing the need for integration deepening of this approach, mentioning its benefits in solving international problems in which a balance between the protection of personal data and the demands of trade is required.
La noción de privacidad se encuentra íntimamente vinculada a la de intimidad. El derecho a la intimidad, garantizado por los principales convenios internacionales, ha adquierido una nueva dimensión en un mundo dominado por las llamadas Tecnologías de la Información y la Comunicación (TICs).
Dentro del concepto privacidad encontramos a la información denominada dato personal. Los datos personales constituyen toda información personal que pueda conducir directa o indirectamente a la identificación de un individuo. Esta valiosa información se encuentra hoy, en su gran mayoría, en el ámbito digital, por lo cual las posibilidades de recolección, almacenamiento y posterior transferencia a terceros son inconmensurables. En la actualidad, la problemática vinculada al tráfico de datos personales –y la protección de los derechos de sus titulares- incide sobre uno de los atributos más caros de la persona humana: su derecho a la intimidad.
Una de las principales proyecciones del derecho a la intimidad consiste en preservar la confidencialidad y la información sensible referida a la persona. En función de su relevancia, la protección de los datos personales ha adquirido en gran parte del mundo el carácter de un Derecho Fundamental. Dicha protección, complementada –aunque no limitada- con la denominada acción judicial de habeas data[1], consiste fundamentalmente en un conjunto de principios protectores y en la imposición de obligaciones a los sujetos encargados de la recolección y el tratamiento masivo de los datos personales. En ese mismo ámbito encontramos a la conformación de registros de datos y la creación de autoridades de control.
Sin dudas, el exponencial avance tecnológico supone un desafío en lo inherente a la protección de los datos personales debido al constante incremento del intercambio y de la recogida de datos. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología facilita el uso de los datos personales tanto a las empresas privadas como a las autoridades públicas. A su vez, ha transformado la economía como la vida social[2]. Además, cuestiones comerciales directamente relacionadas con la cuestión también se han visto alcanzadas y por qué no, sobrepasadas, en un ámbito donde los controles son laxos.
Las actividades relacionadas con el tratamiento automatizado de datos personales poseen necesariamente una dimensión internacional consecuencia de la naturaleza global de los medios informáticos[3]. Por lo tanto, no nos encontramos sólo ante un componente regulador de carácter nacional sino también ante uno internacional impuesto por el cambio tecnológico, su velocidad y su alcance que por su propia naturaleza trasciende las fronteras nacionales.
En la doctrina internacional el concepto de la intimidad ha ido evolucionando. Inicialmente surgió como una defensa ante la interferencia en el derecho a la vida privada del individuo, luego avanzó hacia la libertad negativa de rechazar u oponerse al uso de información personal y finalmente evolucionó al concepto de la libertad positiva de supervisar el uso de la información personal. Así, el derecho a la intimidad se ha transformado en un medio de preservar la identidad, la dignidad y la libertad, conocido como el derecho del individuo a “quedarse solo” y la “autodeterminación informativa”.[4]
En buena medida, la significación de la protección de los datos personales se encuentra en el hecho de que la generación de confianza en el entorno en línea es esencial para el desarrollo económico. La falta de confianza hace que los consumidores vacilen a la hora de adquirir productos en línea y adoptar nuevos servicios, con lo que se corre el riesgo de ralentizar el desarrollo de usos innovadores de las nuevas tecnologías[5].
En cuestiones como la protección de los datos personales es donde los beneficios de los procesos de integración son más tangibles. Así, los recursos para el abordaje de problemáticas como las relacionadas con la protección de los derechos involucrados en una trasferencia de datos personales aumentan en la medida en que contamos con un abordaje integral de la materia, como el que brinda la integración.
Desde la óptica de la integración, este tipo de problemas es abordada mediante la armonización. La armonización de normas y legislaciones nacionales está relacionada con la diversidad de los sistemas jurídicos nacionales y la solución de sus innumerables conflictos. En general, la labor de armonización se efectiviza tendiendo puentes entre los derechos nacionales que son los finalmente aplicados, con el fin de garantizar el efecto deseado de la normativa surgida en los acuerdos integrativos, y la interacción constructiva de los ordenamientos nacionales[6].
La armonización es un instrumento clave en los procesos de integración. Sin embargo, no debe ser entendida como la creación de una normativa común para el bloque regional. Antes bien, consiste en una labor de adaptación necesaria para la eliminación de obstáculos y distorsiones al flujo económico y comercial originadas en la diversidad jurídica. En un proceso de integración, la armonización de la normativa existente resulta un imperativo de gran utilidad en las relaciones económicas entre sus diversos actores públicos y privados, especialmente por lo antieconómico de su inexistencia para el intercambio de bienes y servicios.
En el caso del Mercado Común del Sur (MERCOSUR), el artículo 1° del Tratado de Asunción de 1991 hace referencia a la cuestión de la armonización al sostener: “el compromiso de los Estados-partes de armonizar sus legislaciones en las áreas pertinentes para lograr el fortalecimiento del proceso de integración”. En la misma dirección, el Protocolo de Ouro Preto de 1994, establece en sus artículos 25 y 42: “la Comisión Parlamentaria conjunta... coadyuvará en la armonización de las legislaciones, tal como lo requiera el avance del proceso de integración”, y “las normas emanadas de los órganos del Mercosur previstos en el artículo 2 de este protocolo tendrán carácter obligatorio y cuando sea necesario deberán ser incorporadas a los ordenamientos jurídicos nacionales mediante los procedimientos previstos por la legislación de cada país”.
Estado de la cuestión en los países miembros y asociados del MERCOSUR [arriba]
El MERCOSUR, fue originalmente integrado por Argentina, Brasil, Paraguay y Uruguay, y desde 2013 y 2015 por Venezuela[7] y Bolivia[8] respectivamente. Con la excepción de Bolivia, a los demás Estados se los denomina miembros plenos. Además, el bloque se complementa con Estados Asociados[9] entre los cuales se encuentran Chile (1996), Perú (2003), Colombia y Ecuador (2004) y Guyana y Surinam (2015).
El MERCOSUR es consecuencia de una asociación de Estados con una finalidad inicial de tipo económico, que a diferencia de la Unión Europea (UE) no ha alcanzado un estadio supranacional.
Por su propia composición, en el MERCOSUR, la protección de datos personales ha sido abordada hasta la fecha, desde el punto de vista normativo, dentro del ámbito nacional de algunos de los Estados miembros y asociados. Solamente en los casos de Argentina y Uruguay –entre los miembros plenos- y Chile y Perú –dentro de los asociados- detectamos normativa específica sobre Protección de Datos Personales, mientras que los demás miembros solo abordan el tema dentro del marco de los derechos a la intimidad, la vida privada, el honor y la imagen de las personas. Brasil solo aborda la cuestión en el marco del habeas data. En los casos de Brasil, Paraguay, Venezuela, Bolivia, Colombia, Ecuador y Guyana la aproximación al tema remite al ámbito del control de acceso a la información.
En el caso de Argentina, debido al avance de las nuevas tecnologías y a la influencia de la informática, la legislación ha reconocido el derecho de sus habitantes a acceder a la información almacenada sobre ellos por terceros en bases, registros, archivos o bancos de datos, públicos o privados, otorgando la facultad de actuar en consecuencia.
Para la normativa local el Derecho a la Privacidad es aquel consagrado en los artículos 18 y 19 de la Constitución Nacional, y en la legislación civil, en el actual artículo 1770 (ex 1071 bis) del Código Civil y Comercial.
En lo atinente a la protección de los datos personales, el artículo 43 de la Constitución introduce la generalización del habeas data, exteriorizándose su reglamentación por medio de la Ley 25.326 de Protección de Datos Personales y su decreto reglamentario N°1558/2001, conformando ambos un régimen integral en la materia.
Argentina se ha convertido en uno de los primeros del mundo que ha incluido constitucional, legislativa y reglamentariamente el derecho de toda persona a controlar la información a ella referida contenida en registros públicos y privados. Esto se debe a que la solución de este tema fue proyectada desde la legislación de la UE a partir de la Directiva 95/46 del Parlamento Europeo y del Consejo de 1995 relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de esos datos[10]. Dicha normativa ha introducido un verdadero hito en el abordaje de la protección de los datos personales. En esa dirección, la Comisión Europea emitió el Dictamen 4/2002[11] sobre el nivel de Protección de Datos Personales en Argentina y posteriormente la Comisión Europea emitió una Decisión el 30/06/2003 sobre la adecuación de Argentina en la cuestión, con arreglo a la citada Directiva 95/46/CE. Por medio de dicha Decisión se consideró que Argentina garantizaba un nivel de protección adecuado en lo atinente a los datos personales transferidos desde la UE, es decir que los datos de los ciudadanos europeos tendrían un nivel adecuado de protección de sus datos personales transferidos a nuestro país.
En lo concerniente a Brasil, como adelantamos, el tema de la protección de datos personales ha sido abordado por la Constitución Política de la Republica Federativa del Brasil de 1988[12] en su artículo 5 incisos X, XXXIII y LXXII, circunscribiéndose prácticamente al habeas data.
El artículo 5 sostiene en su inc. X “son inviolables la intimidad, la vida privada, el honor y la imagen de las personas, asegurándose el derecho a indemnización por el daño material o moral derivado de su violación”; en su inc. XXXIII “todos tienen derecho a recibir de los órganos públicos informaciones de su interés particular, o de interés colectivo o general, que serán facilitados en el plazo señalado en la ley, bajo pena de responsabilidad, salvo aquellas cuyo secreto sea imprescindible para la seguridad de la sociedad y del Estado”, y especialmente en su inc. LXXII se concederá “habeas data”: a) para asegurar el conocimiento de informaciones relativas a la persona del impetrante que consten en registros o bancos de datos de entidades gubernamentales o de carácter público; b) para la rectificación de datos, cuando no se prefiera hacerlo por procedimiento secreto, judicial o administrativo (…) son gratuitas las acciones de “habeas corpus” y “habeas data” y, en la forma de la ley, los actos necesarios al ejercicio de la ciudadanía“.
Por otro lado, la Ley Nº 12.527 de 2011[13] ha regulado el acceso a la información y establece principios, garantías, derechos y obligaciones para el uso de la Internet. En el artículo 4, inc. IV, define al concepto de información personal, como aquella relacionada con la persona física identificada o identificable, y en el inc. V, conceptualiza al procesamiento de la información, a la que describe como un conjunto de medidas relativas a la producción, recepción, clasificación, uso, acceso, reproducción, transporte, transmisión, distribución, archivo, almacenamiento, eliminación, evaluación, asignación y control de la información. En relación al tratamiento de la información, el artículo 31 establece que el tratamiento de los datos personales debe realizarse de forma transparente y con respeto a la intimidad, la vida privada, el honor y la imagen de las personas, así como las libertades y garantías individuales. Además,Así también requerirán para su divulgación el consentimiento expreso de la persona a la que se refieren.
Actualmente, en Brasil se encuentra en estudio un anteproyecto de ley sobre protección de datos personales.
Por su parte, Paraguay da cuenta del ámbito de la privacidad en la Constitución de la República de 1992[14], en sus artículos 28, 33 y 135.
Siguiendo al artículo 135 “toda persona puede acceder a la información y a los datos que sobre sí misma, o sobre sus bienes, obren en registros oficiales o privados de carácter público, asi como conocer el uso que se haga de los mismos y de su finalidad. Podrá solicitar ante el magistrado competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectaran ilegítimamente sus derechos“.
También se ha dado lugar una profusa tarea legislativa mediante diversas leyes como la Ley N°631/95 denominada Ley Orgánica de la Defensoría del Pueblo y la Ley Nº 1682/2001[15]. Esta última reglamenta la información de carácter privado y prohíbe en su artículo 4 dar a publicidad o difundir datos sensibles de personas que sean explícitamente individualizadas o individualizables. Además, considera datos sensibles los referentes a pertenencias raciales o étnicas; preferencias políticas; estado individual de salud; convicciones religiosas; filosóficas o morales; intimidad sexual y, en general, los que fomenten prejuicios y discriminaciones, o afecten la dignidad, la privacidad, la intimidad doméstica y la imagen privada de personas o familias. La norma en cuestión refiere en su artículo 8 que toda persona podrá acceder a la información y a los datos que sobre sí misma, sobre su cónyuge, sobre personas que acredite se hallen bajo su tutela o curatela, o sobre sus bienes, obren en registros oficiales o privados de carácter público o en entidades dedicadas a suministrar información sobre solvencia económica y situación patrimonial, así como conocer el uso de los mismos o su finalidad.
Por su parte, la Ley Nº 1969/2002 modifica, amplía y deroga varios artículos de la Ley Nº 1682, estableciendo en su artículo 1 el objeto de regular la recolección, almacenamiento, distribución, publicación, modificación, destrucción, duración y, en general, el tratamiento de datos personales contenidos en archivos, registros, bancos de datos o cualquier otro medio técnico de tratamiento de datos públicos o privados destinados a dar informes, con el fin de garantizar el pleno ejercicio de los derechos de sus titulares.
En el caso de Uruguay, la protección de datos personales se encuentra implícitamente reconocida entre los derechos inherentes a la personalidad humana establecidos en el artículo 72 de la Constitución Nacional[16].
En este marco, en 2008 el país promulgó la Ley N°18.331 de Protección de Datos Personales y Acción de Habeas Data[17], donde reconoció a la protección de los datos personales como un Derecho Fundamental comprendido en el Art. 72 de la Constitución. La norma es de aplicación a personas físicas y jurídicas en cuento corresponda a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento. En su artículo 4, la ley define dato personal, consentimiento, titular de los datos y destinatarios, entre otros conceptos. Indica, además, los principios generales a los que deberán ajustarse los responsables de los datos como legalidad, veracidad y consentimiento informado. Asimismo, establece los derechos de los titulares de datos y la obligatoriedad de la inscripción en un registro creando como órgano de control la llamada Unidad Reguladora y de Control de Datos Personales. Por el Decreto N° 664/08[18] Uruguay creó el Registro de Bases de Datos Personales, adscrito a la misma.
La Ley 19.030[19] aprobó el Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y el Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos transfronterizos de Datos[20]. Mediante el mismo, Uruguay se sometió a las disposiciones de dicho acuerdo en el caso de transmisiones a través de las fronteras nacionales entre sus firmantes, por cualquier medio que fuere, de datos de carácter personal objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento. En función de la firma del mencionado instrumento internacional, Uruguay garantiza un idéntico nivel de protección de los datos personales transferidos entre los firmantes. Uruguay ha sido reconocido por la Decisión 2012/484/UE de la Comisión Europea de 21 de agosto de 2012 como país con nivel adecuado de protección, quedando, en este sentido, en condiciones similares a las de Argentina mencionadas anteriormente.
Por su parte, Venezuela y Bolivia no poseen legislación específica pero ofrecen un abordaje sobre la privacidad en los artículos 28 de la Constitución de la República de Venezuela[21] y en los artículos 20 y 127 a 131 de la Constitución de la República de Bolivia[22]. En cuanto a la normativa específica, el primer país posee normas sobre acceso a la información en poder del sector público, y el segundo la Ley Nº 1818 del Defensor del Pueblo.
En el caso de los Estados Asociados al MERCOSUR sobresale Chile, país en el que se trata la cuestión en términos generales en el artículo 19 de la Constitución de la República de 1980[23]. A su vez, la protección de datos personales se encuentra en el proceso de reforma constitucional iniciada a fines de 2015 –cuya conclusión está prevista para 2018- en dos incisos en los cuales se establece la protección de los datos personales, el derecho a acceder a ellos y a obtener su rectificación, complementación y cancelación. Asimismo, se estipula que el tratamiento, circulación y traspaso de esos datos deberá realizarse en la forma y condiciones fijadas por la ley. Además, Chile cuenta con una ley de protección de datos personales, la Ley N°19.628[24]. A su vez, encontramos leyes especiales como la Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado.
En Perú, además de incluir la protección de datos personales en su Constitución[25] (artículos 2, 11, 161 y 162), también encontramos de la Ley de Transparencia y Acceso a la Información Pública, la Ley de Protección de Datos Personales, la Ley 29.733[26]. Por otra parte, la Ley Nº 27309[27] de 2000, incorpora los delitos informáticos al Código Penal.
Colombia aborda el tema de la privacidad en el artículo 15 de su Constitución[28] y en diversas leyes especiales entre las cuales destacamos la Ley estatutaria N° 1581[29] de 2012. Por dicha norma se dictan disposiciones generales para la protección de datos personales y con el objeto de desarrollar el Derecho Constitucional de todas las personas a conocer, actualizar y rectificar las informaciones recogidas sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales de la Constitución Nacional, estableciendo definiciones, principios, derechos y obligaciones en relación a la protección de datos personales. La Ley Estatutaria N° 1266[30] de 2008 reglamenta el Habeas Data. Además, por el Decreto N°886/14 ha creado el Registro Nacional de Datos.
En lo atinente a Ecuador, la cuestión se encuentra tratada en la Constitución de la República (artículos 11 y 19)[31] y en la Ley Orgánica de Transparencia y Acceso a la Información.
En el caso de Guyana, el tema es abordado en el artículo 146 de la Constitution of the Cooperative Republic of Guyana[32] y en la Ley denominada Access to Information Bill de 2011.
En el caso de Surinam, la normativa existente solo se limita a la Constitution of Suriname y sus reformas de 1992 (artículo 17).
En cuanto a la constitución de autoridades de control, estas se han conformado en Argentina (Dirección Nacional de Protección de Datos Personales -DNPDP-), Chile (Servicio de Registro Civil e identificación, Modernización y Gobierno Digital), Colombia (Superintendencia de Industria y Comercio), Perú (Autoridad Nacional de Protección de Datos) y Uruguay (Unidad Reguladora y de Control de Datos Personales (URCDP)). Adicionalmente, Argentina y Uruguay, poseen Registros Nacionales de Bases de Datos.
La protección de datos a nivel regional y continental [arriba]
Como pudimos ver, la existencia de legislación específica sobre protección de datos personales solo se exterioriza en algunos de los miembros plenos y asociados del MERCOSUR. Si bien los principios, derechos y obligaciones establecidos por las normativas tienden a la convergencia, ello no es suficiente para poder mitigar el riesgo derivado de diferentes niveles de protección en los Estados miembros y de restricciones en los flujos transfronterizos de datos personales entre Estados con distintas normas.
Concretamente, nos encontramos ante la problemática anterior en las situaciones en las cuales los datos personales son transferidos través de las fronteras nacionales, lo que ocurre cada vez con mayor velocidad. En virtud de lo anterior, la cooperación se convierte en un mecanismo clave para garantizar la unidad de aplicación del Derecho. Así, resulta necesaria la conformación de un verdadero ámbito normativo del MERCOSUR en lo relativo a la Protección de los Datos Personales.
En esa dirección, el Consejo del Mercado Común (CMC), por la Decisión DC 17/2014 CMC[33], ha resuelto la creación de la Reunión de Autoridades sobre Privacidad y Seguridad de la Información e Infraestructura Tecnológica del MERCOSUR (RAPRISIT) como un órgano auxiliar del CMC, con la función de proponer políticas e iniciativas comunes en esta área. La RAPRISIT podrá crear en su ámbito instancias de expertos para la discusión de aspectos técnicos relacionados con su mandato. Los Estados Asociados podrán participar en la RAPRISIT, de acuerdo a la normativa aplicable, en los términos de las Decisiones CMC N° 18/04 y 11/13[34], sus normas modificatorias y/o complementarias. Hasta el momento dicho órgano ha tenido dos reuniones, en Brasilia en abril de 2015 y en Asunción en octubre del mismo año.
La Presidencia del MERCOSUR y los presidentes de los Estados parte reconocieron en ocasión de la XLIX Reunión Ordinaria del CMC en Diciembre de 2015 la importancia de la II RAPRISIT para la proposición de políticas e iniciativas comunes en el área de seguridad cibernética, la privacidad, la protección de los datos personales, la confianza en el uso de Internet, la prevención y el combate al cibercrimen. Estas iniciativas se darían mediante estrategias y políticas de promoción de la coordinación local y regional respetando las particularidades de los Estados Partes.
La única norma regional vigente en la materia es la Decisión CMC/DEC Nº 19/05 relativa a los procedimientos y la seguridad en el intercambio y consulta de datos obrantes en los sistemas informáticos aduaneros[35]. En función de ella, los Estados Partes implementarán un enlace informático a través del cual podrán intercambiar informaciones o efectuar consultas, previamente consensuadas, de las bases de datos obrantes en las respectivas administraciones aduaneras, a los fines de prevenir, investigar y combatir presuntas violaciones a las normas aduaneras y optimizar los procedimientos de cooperación y control del comercio internacional (artículo 1). La norma en cuestión considera datos personales a todos los relativos a las personas físicas y jurídicas, prohibiendo proporcionarlos cuando sean relativos al origen racial, opiniones políticas, convicciones religiosas, salud o vida sexual (artículo 4).
Más allá de lo antes mencionado sobre la actividad y la normativa en el MERCOSUR, destacamos la importancia de la Organización de Estados Americanos (OEA) en lo relativo a la protección de datos personales en las Américas. Sin dudas, dicha organización incide y determina la normativa nacional y regional.
En el marco de la OEA se encuentra en proceso de preparación, discusión y aprobación una Ley Modelo Interamericana sobre Protección de Datos Personales[36], destinada a establecer parámetros generales con el objetivo de ser eventualmente incorporada completa o parcialmente en la legislación interna de cada Estado miembro. En junio de 1996, la Asamblea General de la OEA emitió una Resolución solicitando al Comité Jurídico Interamericano (CJI) que al considerar el tema relativo al derecho de la información, otorgue particular relevancia a los aspectos concernientes al acceso del mismo y la protección de los datos de carácter personal para apoyar a los Estados Miembros en la adopción de medidas tendientes a la armonización de las legislaciones, al fomento de la cooperación regional y a la búsqueda de elementos sustanciales para un futuro instrumento regional sobre la materia. Asimismo, la solicitud se dirigió al Departamento de Derecho Internacional para que preparara un estudio preliminar sobre la protección de datos con la finalidad de ofrecer una perspectiva general de los temas más relevantes a considerar en la elaboración de los principios y recomendaciones sobre la protección de datos. Este estudio fue presentado formalmente en la Comisión de Asuntos Jurídicos y Políticos (CAJP) del Consejo Permanente de la OEA en octubre de 2011. En este contexto, en 2014, la Asamblea General de la OEA le encomendó al CJI que, antes del cuadragésimo quinto período ordinario de sesiones de la Asamblea General, “formule propuestas a la CAJP sobre las distintas formas de regular la protección de datos personales, incluyendo un proyecto de Ley Modelo sobre Protección de Datos Personales, tomando en cuenta los estándares internacionales alcanzados en la materia”[37]. En 2015 el Relator concluyó que la orientación más productiva para este proyecto en ese momento sería elaborar una propuesta de Guía Legislativa para los Estados Miembros, basada en los 12 Principios adoptados anteriormente por el CJI, con algunas modificaciones menores, teniendo en cuenta los diversos conjuntos de directrices preparados en la Unión Europea, la Organización para la Cooperación y el Desarrollo Económicos (OCDE), la Cooperación Económica Asia-Pacífico (APEC)[38].
La información es un componente central de un amplio espectro de actividades tales como la toma de decisiones e incluso en lo atinente al secreto industrial, por lo que en muchos casos es considerada el activo más importante.
No obstante, la inexistencia de reglas claras de protección de datos personales, la ausencia de autoridades de control y de normativa adecuada, así como la falta de Registro de datos, representan problemas vinculados entre sí. Los costos de una reclamación judicial vinculada a la materia pueden ser muy altos y a veces solo limitados a las llamadas acciones de habeas data.
Como se desprende de los casos detallados en este artículo, la cuestión de la protección de los datos personales es objeto de un tratamiento dispar en el ámbito del MERCOSUR. Así, algunos países como Argentina y Uruguay se encuentran a la vanguardia en lo relativo a la legislación sobre el tema, incluso la protección otorgada a los datos personales en ambos países ha sido reconocida como adecuada por la UE, al permitírseles la transferencia internacional de datos personales con la UE dada su homologación a la normativa europea. También encontramos notables los desarrollos legislativos de la cuestión en Chile, Perú y Colombia. En el caso de Brasil, la cuestión aún se encuentra en una primera etapa.
La protección de la privacidad de los titulares de datos personales requiere mecanismos como una legislación clara que establezca definiciones, principios, derechos y obligaciones, así como Autoridades de Control, dedicadas a proteger los datos personales. Como podemos apreciar, la situación regional dista de ser armónica en cuanto a la posibilidad de alcanzar un nivel adecuado de protección de estos derechos en el marco del bloque regional.
Por su parte, el MERCOSUR ha abordado la cuestión en el Grupo de Trabajo 13 en donde ha sido creado el RAPRISIT como un órgano auxiliar del CMC con la función de proponer políticas e iniciativas comunes en esta área.
De lo anterior se desprende que sería recomendable el abordaje conjunto de la problemática especialmente mediante la armonización de las legislaciones existentes y, asimismo, mediante el desarrollo de normativa específica sobre la materia, lo que permitía, entre otras cosas, establecer los derechos y las obligaciones de los involucrados en el tratamiento, como en el almacenamiento y transmisión de los datos personales.
[1] El habeas data consiste una acción destinada a tomar conocimiento de los datos referidos a una persona, su finalidad y uso, consten en bases de datos públicos o privados; y -en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización- a exigir su rectificación, inclusión, supresión o lo que entienda corresponder. [2] COMISIÓN EUROPEA, Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), Bruselas, 25.1.2012 COM(2012) 11 final.
[3] OYARZABAL, Mario, El Derecho a la Intimidad y el tratamiento de los datos personales en el Derecho Internacional Privado Argentino, “Revista Lecciones y Ensayos”, N° 83, Universidad de Buenos Aires, 2007, pág. 51.
[4] ORGANIZACIÓN DE ESTADOS AMERICANOS, Departamento de Derecho Internacional, disponible en http://www.oa .org/es/sla/d di/protecc ion_datos_pers onales.asp, consultado el 16-03-16.
[5] Idem
[6] FALCON, ROBERTO, Armonización de normas em el MERCOSUR, en “Revista de Negócios Internacionais”, Facultade de Gestão e Negócios da UNIMEP –Universidad Metodista de Piracicaba-, Brasil, Ano 3, Nº 5, novembro 2005. Páginas 42-47. Disponible en http://www.u nimep .br/rni/d oc_ano3_n5 /RNI_n5_a rt05.pdf.
[7] Venezuela suscribió un Protocolo de Adhesión al MERCOSUR en 2006, luego ante la oposición del senado de Paraguay, ingresa de hecho en 2012 ante la suspensión de aquel estado, más luego la incorporación plena se produce al año siguiente ante la definitiva ratificación del ingreso por Paraguay.
[8] Bolivia suscribe el Protocolo de Adhesión al MERCOSUR en julio de 2015, encontrándose su incorporación sujeta a la aprobación parlamentaria de los otros miembros.
[9] El estatus de Estado Asociado se establece por acuerdos bilaterales, denominados Acuerdos de Complementación Económica, suscriptos entre el MERCOSUR y cada país que decida adquirir ese rango. En ellos se establece un cronograma para la creación de una zona de libre comercio y la gradual reducción de las tarifas arancelarias entre el MERCOSUR y los países firmantes.
[10] Disponible en http://e ur-lex.euro pa.eu/legal-content /ES/ALL/? uri=celex% 3A31995L0046, consultado el 30/07/2016.
[11] Disponible en http://eu r-lex.europa.e u/legal-c ontent/ES/T XT/?uri= CELEX% 3A32003D0490, consultado el 30/07/2016.
[12] Disponible en http://www .senado. gov.br/ati vidade/const/ con1988/co n1988_08.12 .2004/art_5_.asp, consultado el 30/07/2016.
[13] http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2011/Lei/L12527.htm
[14] http://www.oas.org/juridico/spanish/par_res3.htm
[15] Disponible en http://www .redipd.es/le gislacion/co mmon/legisla cion/paraguay /Ley_1682_d e_2001.p df, consultada el 26/03/16. Esta ley complementa la Ley Nº 18.220 que, conforma el Sistema Nacional de Archivos, y la Ley N° 17.823 del Código de la Niñez y la Adolescencia.
[16] Disponible en https://parlamento.gub.uy/documentosyleyes/constitucion, consultado el 30/07/2016.
[17] Disponible en https://www.d atospersonales .gub.uy/wp s/wcm/co nnect/urcd p/f085d1b8-0 a24-4070-9 dad-adc87 b7595f 2/Des cargar+Ley+ N%C2 %B0+18 .331.pdf?M OD=AJPERES& CONVERT_T O=url&CACHE ID=f085d1 b8-0a24-4070-9da d-adc 87b759 5f2, consultado el 26/03/16.
[18] Disponible en https://datos pers onal es.gub.uy /wps/wcm/ connect/urcdp/f35 26412-a4d 0-4dea-958 8-a84a 2954d91 e/Descarga r+De creto +664-008.pdf ?MOD=A JPERES&C ONVERT_TO=url& CACHEID=f 3526412-a4d0-4 dea-9588-a84a29 54d91e.
[19] Disponible en https://p arlamen to.gub.uy /docum entosyleyes/leyes?Ly_Nro=190 30&Search text=&Ly_fechaD ePromulgacio n%5Bmin% 5D%5Bdate %5D=12 -01-2016&Ly_ fechaDePromulg acion%5Bmax %5D%5B date%5D =30-07-016, consultado el 30/07/2016.
[20] Disponible en https://www.datosp ersonales .gub.uy/wp s/wcm/con nect/urcdp/ 8858d8 67-5ffd-41 4d-af51-7c97f8893 927/Descargar+L ey+N%C2 %B0+19030 pdf?MOD=A JPERES&CONVE RT_TO=url&CA CHEID=8858d 867-5ffd-414d-af51-7c97f8893927, consultado el 26/03/16.
[21] Disponible en http://w ww.oas .org/dil/esp/C onstitucion_Vene zuela.pdf, consultado el 30/07/2016.
[22] Disponibleenhttp://www.comu nicacion.gob.bo/site s/default/files/docs/Nueva_Const itucion_Politica_del_Estado_Boliviano_0.pd f, consulta do el 30/07/2016.
[23] Disponible en https://www.camara.cl/camara /media/ docs/constitu cion_politic a.pdf, consultado el 30/07/2016.
[24] Disponible en https://www.google. com.ar/ q=ley+1962 8+chile, consultado el 30/07/2016.
[25] Disponible en http://www.deperu.c om/abc/ onstituciones/235/cons titucion- politica-del- peru-1993-actual, consultado el 30/07/2016.
[26] Disponible en http://www.minjus .gob.pe/wp-c ontent/uplo ads/2013/04/L EY-29733.pdf, consultado el 30/07/2016.
[27] Disponible en http://www.oas.org/juri dico/span ish/cyb_pe _ley_27309.p df, consultado el 30/07/2016.
[28] Disponible en http://pdba.george town.edu/Co nstitutions/ Colombi a/col91.html, consultada el 30/07/2016.
[29] Disponible en http://www.alcaldiabo gota.gov.c o/sisjur/ ormas/Norm a1.jsp?i=49981, consultada el 30/07/2016.
[30] Disponible en http://www.alcaldiabogota. gov.co/ isjur/normas/ Norma1.jsp?i=49981, consultada el 30/07/2016.
[31] Disponible en http://www.asambleanaciona l.gov.ec/do cumentos/con stitucion_ de_bolsillo.pdf, consultada el 30/07/2016.
[32] Disponible en http://pdba.george town.edu/C onstitutions/ Guyana/guyan a96.html, consultada el 30(07/2016.
[33] Disponible en http://ww w.mercosur.in t/innovaportal /v/526/2/innova.fro nt/decisiones, consultado el 30/07/2016.
[34] Ídem.
[35] Ibídem.
[36] ORGANIZACIÓN DE ESTADOS AMERICANOS, Op. Cit.
[37] AG/RES. 2842 (XLIV-O/14)
[38] Informe sobre Privacidad y Protección de Datos Personales (CJI/doc. 474/15 rev.2) adoptado por el CJI durante su octogésimo sexto periodo de sesiones, celebrado los días 23-27 de marzo de en Rio de Janeiro, Brasil.
