Análisis Comparativo de Legislaciones

Sobre Protección de Datos Personales

y Hábeas Data

Consultoría:
Elaboración del
Anteproyecto de Ley
del Hábeas Data en
Honduras

Dr. Lester Ramírez Irías

21 de enero de 2014
Tegucigalpa, M.D.C
Índice

Acrónimos................................................................................................................................................................................. 2
Resumen Ejecutivo ............................................................................................................................................................... 3
I. Introducción .................................................................................................................................................................. 7
II. Metodología ................................................................................................................................................................... 8
III. El Derecho Fundamental a la Protección de Datos Personales ..................................................... 9
1. Los Principios Armonizados de Protección de Datos Personales ..............................................11
2. Del Derecho a la Intimidad al Derecho a la Protección de Datos Personales .......................12
3. Hábeas Data y el Derecho de Protección de Datos Personales ....................................................14
4. La Importancia de una Ley de Protección de Datos Personales en Honduras ....................16
4.1. El Estado como garante de Derechos y Libertades ..................................................................16
4.2. Protección de datos mejora la competitividad y brinda seguridad a consumidores
e inversionistas ..........................................................................................................................................................17
IV. Desarrollo Internacional del Derecho a la Protección de Datos Personales.........................18
1. El Derecho Internacional de los Derechos Humanos ........................................................................19
2. Europa: El Epicentro del Derecho a la Protección de Datos Personales .................................20
3. El Derecho a la Protección de Datos Personales desde la óptica de la Organización de
los Estados Americanos ..............................................................................................................................................22
V. Análisis de Legislaciones y Prácticas Iberoamericanas ........................................................................23
1. Colombia- Ley General de Protección de Datos Personales ..........................................................25
2. Costa Rica- Ley de Protección de la Persona Frente al Tratamiento de sus Datos
Personales .........................................................................................................................................................................28
3. España- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. .............................................................................................................................................................................32
4. México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares
36
5. Uruguay- Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data........39
VI. Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña ..............40
VII. Conclusiones y Recomendaciones ..............................................................................................................41
Bibliografía .............................................................................................................................................................................43

1
Acrónimos

AGPD Agencia Española de Protección de Datos

CEDH Convención Europea de Derechos Humanos
IAIP Instituto de Acceso a la Información Pública
LTAIP Ley de Transparencia y Acceso a la Información Pública
IFAI Instituto Federal de Acceso a la Información y Protección de Datos Personales
LOPD Ley Orgánica de Protección de Datos de Carácter Personal de España
OCDE Organización para la Cooperación y Desarrollo Económico
OEA Organización de Estados Americanos
ONU Organización de las Naciones Unidas
PRODHAB Agencia de Protección de Datos de los Habitantes de Costa Rica
RIPD Red Iberoamericana de Protección de Datos
TEDH Tribunal Europeo de Derechos Humanos
TICs Tecnologías de la Información y Comunicación
UE Unión Europea

2
Resumen Ejecutivo
El nombre y los apellidos, la fecha de nacimiento, la edad, el sexo, la dirección postal o de correo
electrónico, el número de teléfono, el número de identidad, la matrícula del carro y muchos otros
datos que se usan a diario constituyen información valiosa que permite identificar a las personas,
ya sea directa o indirectamente. Dónde residen, qué bienes adquieren, dónde los compra, cuál es
su historial clínico, los préstamos que obtiene y su perfil en una red social son información que
dicen todo sobre las personas. En ese sentido, los datos personales en la era de la información son
sumamente importantes, pues describe a las personas, sus preferencias, capacidades y
habilidades.

Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como
privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el
consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez
recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o
uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de
inseguridad ciudadana. Por otro lado, las personas desconocen sus derechos al acceso a sus
propios datos personales, a la rectificación de cualquier dato erróneo o desactualizado, a la
eliminación y menos aún al derecho de oposición que pueden ejercitar al enterrarse que sus datos
personales fueron recolectados sin su consentimiento informado.

Si bien, la Ley de Transparencia y Acceso a la Información Pública (LTAIP) y su Reglamento,

establecen las bases administrativas para garantizar y regular la protección de datos personales, el
ordenamiento jurídico y diseño institucional actual no toma en cuenta las bases de datos de
titularidad privada y tampoco le otorga suficientes facultades y capacidades regulatorias al
Instituto de Acceso a la Información Pública (IAIP).

En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de

hábeas data. A diferencia de las leyes de protección de datos, el hábeas data no exige que las
entidades públicas o privadas protejan por su iniciativa los datos personales que procesan, sino
que sólo requiere que la persona agraviada, tras presentar una denuncia ante la justicia, obtenga
acceso y la capacidad de rectificar todo dato personal que pueda atentar contra su derecho a la
privacidad. Una garantía de esta índole opera cuando ya la lesión ha sido ocasionada; cuando la
persona no ha recibido un préstamo bancario, ha perdido alguna oportunidad de empleo o de
interacción social. Asimismo, este mecanismo puede no otorgar un recurso legal a una persona
agraviada si sus datos personales han sido transferidos fuera del país.

El derecho fundamental a la protección de datos “es la capacidad que tiene el ciudadano o la

ciudadana para disponer y decidir sobre todas las informaciones que se refieran a él o a ella.”
Este derecho se traduce en el poder de disposición y control que faculta al titular de sus datos
personales a decidir cuáles de sus datos proporciona a un tercero. Es decir, es el derecho que tiene

3
toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos
personales.

El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el
acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así
como también de la posibilidad de actualizar, rectificar, eliminar u oponerse. De esta manera, la
protección de datos, establece normas sobre las modalidades de tratamiento de datos personales,
se concreta en poderes de intervención: la tutela es dinámica, y sigue a los datos durante su
circulación. Los poderes de control e intervención, además, no pertenecen sólo a las personas
directamente interesadas, sino que son confiados a una autoridad garante e independiente.

ORIGENES Y DESARROLLO DOCTRINAL

Los primeros esbozos y aproximaciones del derecho a la protección de datos personales devienen
del reconocimiento del derecho fundamental a la vida privada y familiar - “derecho a ser dejado
solo”. Con la Carta de los Derechos Fundamentales de la Unión Europea del 2000, se da un
importante viraje al concebir la protección de datos personales como un derecho fundamental,
autónomo e independiente del derecho a la vida privada y familiar.

Dicha autonomía tiene diversas consecuencias, por ejemplo, una infracción del derecho de pro-
tección de datos puede afectar otros derechos y libertades diferentes a la privacidad como, entre
otros, el buen nombre, el debido proceso, el honor, el trabajo. Asimismo, la protección de datos
personales se amplía a cualquier naturaleza de información sobre la persona (privada, sensible,
semiprivada y pública), lo cual implica que toda clase de dato personal debe ser tratado
debidamente.

ANALISIS COMPARATIVO

La protección de datos personales cuenta con regulaciones específicas en diversas partes del
mundo que han obedecido a diferentes motivaciones acordes con la realidad socio-económica,
política y jurídica de cada país o región. Es posible identificar modelos de regulación basados en
distintos enfoques y perspectivas, ya sea enfatizando el derecho a la protección de datos como
un derecho fundamental o protegiendo los derechos de los consumidores.

De los cincos países analizados (Colombia, Costa Rica, España, México y Uruguay), la Ley Orgánica
de Datos de Carácter Personales de España es la que más vigencia tiene (14 de enero de 2000) y
ha servido de fuente de derecho y de desarrollo institucional para los países latinoamericanos. La
de México, es la que más se asemeja al diseño institucional actual, donde el ente regulador del
acceso a la información ha de jugar un rol protagónico en la protección de datos. Por otro lado, la
legislación costarricense presenta elementos innovadores en torno a la búsqueda de
sostenibilidad financiera del órgano de control, la Agencia de Protección de Datos de los
Habitantes de Costa Rica.

4
Todas las legislaciones analizadas comparten en cierta medida similares objetivos, ámbitos de
aplicación, principios y derechos garantizados, pues responden al espíritu garantista de la tradición
de Europa Continental. La gran diferencia recae en la figura de la autoridad u órgano de control
que difiere en nombre, diseño institucional, localización dentro del aparato administrativo del
Estado y en las competencias o facultades que el legislador le ha otorgado.

Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que
intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada
responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han
encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad
de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten
que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial.
En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja
la garantía de hábeas data.

CONCLUSIONES

La regulación sobre la protección de datos personales que está desarrollándose en América Latina,
responde a varias razones: una, y probablemente la más efectiva, es la que impone la globalización
económica, en virtud de la cual resulta imprescindible buscar un equilibro entre los intereses
económicos -que cada vez más exigen mayores transferencias internacionales de datos, a la par
que un tratamiento adecuado de ellos, pues su protección constituye un derecho fundamental de
la persona- para que el desarrollo del comercio internacional sea compatible con una adecuada
protección de la privacidad en lo que respecta a los datos personales.

El resultado de este ejercicio comparativo fue poder identificar el procedimiento de protección de

datos que mejor se aplica al contexto jurídico e institucional de Honduras, descrito brevemente
así:
a) El Titular que desee ejercitar cualquiera de los derechos que la Ley le confiere (Habeas
Data), podrá iniciar el ejercicio correspondiente directamente con el Responsable del
Tratamiento (entidad pública o privada) que tenga o almacene supuestamente sus datos.
b) Si el Responsable del Tratamiento ignora o niega al Titular su petición, el Titular podrá
acudir al IAIP.
c) Ante el IAIP el procedimiento se inicia con una solicitud de protección de datos personales
la cual se tramitará en términos de Ley y será resuelta según se acrediten o no, los
extremos solicitados. Esto es, el Titular deberá acreditar que sus derechos AREO (acceso,
rectificación, eliminación u oposición) no le fueron respetados y esto puede ser desde una
negativa formal, hasta ignorar totalmente la solicitud correspondiente.
d) El IAIP tiene que otorgar al Responsable del Tratamiento, los derechos de la garantía de
audiencia previa y de legalidad, esto es, de que pueda defenderse y ofrecer las pruebas de
descargo correspondientes.

5
 e) El procedimiento concluye después de las argumentaciones y pruebas que presente el
Responsable del Tratamiento y el IAIP dictará una resolución, bien sea a favor o en contra
del Titular reclamante.
f) Se le concederá a quien resulte responsable de la infracción, un plazo perentorio para
satisfacer la petición del Titular y en su caso, la falta de cumplimiento podría ocasionar la
imposición de multas severas en su contra.

Como reflexión final en general en América Latina, hace falta una nueva cultura y más educación;
en este sentido no sólo es suficiente la aprobación de un marco normativo específico, se
considera necesario incidir en el marco regulatorio de la educación de cada país, e incluir este
derecho en la currícula, en los planes y programas de estudio.

6
 I. Introducción
En Honduras, durante los últimos 30 años se ha visto todo un desarrollo institucional y jurídico en
torno a los derechos humanos que ha permitido avanzar en materia constitucional y así regular la
intromisión discrecional del Estado en las libertades civiles y políticas de los ciudadanos. Sin
embargo, aún no existe un control claro y específico respecto a la vida privada de las personas y su
interacción con las tecnologías de la información, y las nuevas formas de relacionamiento que esto
conlleva tanto en el sector público como el privado.

En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de

hábeas data –fenómeno que no es compartido en el contexto europeo o anglosajón. En el caso
hondureño, la Constitución Política de 1982 en su artículo 182 reconoce la garantía de Hábeas
Data, como el derecho que tiene toda persona de acceder a la información sobre sí misma o sus
bienes en forma expedita y no onerosa, ya esté contenida en base de datos, registros públicos o
privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla.

El recurso de hábeas data, al ser un instrumento o un mecanismo de garantía procesal a favor de

personas que han sufrido un menoscabo en su ámbito de intimidad, se considera un derecho
procesal reactivo frente a una lesión ya ocasionada. Una garantía de esta índole opera cuando ya
la lesión ha sido ocasionada; cuando la persona no ha recibido un préstamo bancario, ha perdido
alguna oportunidad de empleo o de interacción social. Es decir, tal como se encuentra
actualmente la garantía constitucional, el elemento preventivo no se ha considerado.

Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como
privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el
consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez
recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o
uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de
inseguridad ciudadana.

En general, los titulares desconocen sus derechos al acceso a sus propios datos personales, a la
rectificación de cualquier dato erróneo o desactualizado, a la eliminación y menos aún al derecho
de oposición que pueden ejercitar al enterrarse que sus datos personales fueron recolectados sin
su consentimiento informado.

Si bien, la Ley de Transparencia y Acceso a la Información Pública (LTAIP) y su Reglamento,

establecen las bases administrativas para garantizar y regular la protección de datos personales, el
ordenamiento actual no toma en cuenta las bases de datos de titularidad privada y tampoco le
otorga suficientes facultades y capacidades regulatorias al Instituto de Acceso a la Información
Pública (IAIP).

7
Ante una garantía constitucional de hábeas data que actúa de manera reactiva –una vez que la
violación se ha consumido- y el vacío legislativo e institucional en términos de prevención de
posibles violaciones contra la intimidad de las personas a través de sus datos personales. Ante los
riesgos, ya no latentes, pero reales en términos de recolección, uso y transferencia de datos sin
consentimiento y sin adecuadas garantías de seguridad del sector público y privado. Sumado al
desconocimiento generalizado que existe por la población de sus derechos y de las obligaciones
que deben cumplir las entidades que realizan un tratamiento de datos personales; hoy por hoy,
una ley de protección de datos y hábeas data es una necesidad para Honduras, si realmente
pretende ser un Estado de Derecho y un país competitivo en términos económicos.

El presente trabajo tiene cuatro grandes objetivos. El primero, busca introducir el tema de la
protección de datos personales en el rol que tiene el Estado como garante de derechos
fundamentales -“la persona humana es el fin supremo de la sociedad y del Estado”. Para tal fin, se
presentaran algunos riesgos de la falta de protección de datos personales por el Estado y los
abusos que se pueden cometer por el mismo sector público como empresas mercantiles.

Después de desarrollar y analizar los elementos teóricos conceptuales, el segundo objetivo,

buscará hacer una revisión de la evolución del derecho. Para tal fin, se documentará los orígenes
normativos, los enfoques jurídicos de Europa Continental y países anglosajones, y los intentos de
desarrollar estándares internacionales –en ausencia de una ley modelo.

Como tercer objetivo, se brindará un análisis comparativo de cinco países iberoamericanos que
tienen legislación sobre protección de datos personales o hábeas data, a saber: Colombia, Costa
Rica, España, México y Uruguay. Se enfatizará en la estructura de las leyes, los derechos y
obligaciones, el ente regulador y algunas buenas prácticas que han de ser consideradas para el
contexto hondureño.

El cuatro objetivo, ará un recuento de la temática desarrollada y presentará una serie de

conclusiones y recomendaciones aplicables al contexto institucional y normativo de Honduras,
prestando especial atención a las oportunidades que existen para el IAIP en convertirse en la
Autoridad de Protección de Datos; responsable de promover y garantizar el derecho fundamental
de protección de datos personales y ejercer la vigilancia de la legislación que se ha de desarrollar
en un futuro cercano.

II. Metodología
Al ser un estudio aproximativo, pues en Honduras no se había realizado una investigación
relacionada con el estado de la protección de datos, el trabajo se basó en dos actividades
primordiales: 1) Revisión documental (fuentes secundarias), y 2) Entrevistas a profundidad
(fuentes primarias). El cuadro abajo presentado, enlista las fuentes y personas entrevistas.

8
Tabla 1 Fuentes Consultadas- Análisis Comparativo de Legislaciones Sobre Protección de Datos Personales
y Hábeas Data

Revisión documental :  Trabajos académicos.

véase Sección  Informes de organismos gubernamentales que promueven o regulan la
“Bibliografía“) protección de datos a nivel iberoamericano
 Análisis jurídicos desarrollados por instancias que estudian el fenómeno y
realizan incidencia regional en la temática (por ejemplo, la Red
Iberoamericana de Protección de Datos).
 Revisión de legislación y los avances en materia del derecho
supranacional europeo.
 acceso a información documental que el IAIP compartió relacionada al
impacto que tendría la reforma constitucional del Hábeas Data en la
LTAIP
 Proyecto de Decreto de la Ley de Protección de Datos Personales en
Posesión de los Particulares que el Diputado Augusto Cruz Asensio
presento a consideración del Congreso Nacional en octubre de 2011
Entrevistas a  Jorge Madariaga, Decano de la Facultad de Derecho de la Universidad
profundidad: Nacional Autónoma (UNAH) y referente nacional en derecho y su
participación vinculación con las nuevas tecnologías de la información.
multidisciplinaria y  Víctor Molina, Secretario de la Facultad de Derecho de la UNAH con
multisectorial estudios de postgrados sobre el tema de protección de datos.
 Tania Sagastume, Superintendente de Valores en la Comisión Nacional de
Bancos y Seguros (CNBS) y tiene bajo se ámbito de competencias la
regulación de las centrales de riesgos y el manejo de la Central de
Información Crediticia.
 Leo Valladares, participe activo en la formulación de la LTAIP y
coordinador del Centro de Estudios e Investigaciones del IAIP
 Entrevistó a informáticos del Banco Ficohsa y Bac Honduras que manejan
bases de datos.

Sin embargo, el estudio no solamente utilizó las técnicas de investigación aplicables a

investigaciones jurídicas como el análisis comparativo o el análisis de contenido, sino que se
complementó con técnicas como el análisis institucional y de contexto (PNUD, 2012). Esto vino a
complementar los elementos formalistas del estudio jurídico con elementos de teoría de las
organizaciones y el neo-institucionalismo, que toman en cuenta las reglas informales que inciden
en el comportamiento de las personas y de las organizaciones.

III. El Derecho a la Protección de Datos Personales

Derivado de la potencial agresividad que representa el uso de las nuevas tecnologías de la
información hacia los derechos de las personas -específicamente en relación con el uso de su
información personal-, surge “el derecho a la protección de datos personales”; considerado un
derecho de la cuarta generación o derechos de la sociedad del conocimiento.

9
Según la Agencia Española de Protección de Datos (2011), el derecho fundamental a la protección
de datos “es la capacidad que tiene el ciudadano o la ciudadana para disponer y decidir sobre
todas las informaciones que se refieran a él o a ella.” Este derecho se traduce en el poder de
disposición y control que faculta al titular de sus datos personales a decidir cuáles de sus datos
proporciona a un tercero. Es decir, es el derecho que tiene toda persona a conocer y decidir,
quién, cómo y de qué manera recaba y utiliza sus datos personales. Este nuevo derecho implica la
libertad que tiene toda persona para elegir qué desea comunicar, cuándo y a quién, manteniendo
el control personal sobre la propia información.1

El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el
acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así
como también de la posibilidad de actualizar, rectificar, eliminar u oponerse.2

 Derecho de acceso: La persona posee un poder de disposición o decisión acerca de la

información que le concierne. Este poder de decisión conlleva necesariamente el derecho
a conocer si dicha información está siendo objeto de tratamiento, así como el alcance de
dicho tratamiento. El derecho de acceso tiene una doble acepción: por una parte implica
el conocimiento por el titular de la efectiva existencia de un tratamiento de sus datos; por
otra, supone un derecho a conocer, si el tratamiento se está llevando a cabo, las
circunstancias esenciales relacionadas con aquél.
 Derechos de rectificación: prerrogativa del titular a que se modifiquen los datos que
resulten ser inexactos o incompletos.
 Derecho de eliminación: derecho del titular que da lugar a que se supriman o eliminen los
datos que resulten ser inadecuados o excesivos.
 Derecho de oposición: prerrogativa que consiste en solicitar el cese del uso de datos
personales para determinada finalidad, como podría ser la publicidad o prospección
comercial. En otras palabras, es la facultad que tiene el titular de los datos personales en
mantener en reserva su información personal.

De esta manera, la protección de datos, establece normas sobre las modalidades de tratamiento
de datos personales, se concreta en poderes de intervención: la tutela es dinámica, y sigue a los
datos durante su circulación (Rodatá, S., 2005). Los poderes de control e intervención, además, no
pertenecen sólo a las personas directamente interesadas, sino que son confiados a una autoridad
garante e independiente.

1
Para mayor información sobre el carácter fundamental y autónomo, ver sentencia 292/2000 del Tribunal
Constitucional Español, disponible en el sitio oficial de Internet del Tribunal Constitucional de España en el
vínculo: http://www.tribunalconstitucional.es/es/jurisprudencia/Paginas/Sentencia.aspx?cod=7467
2
En el contexto normativo mexicano, estas cuatro acciones o dimensiones del derecho fundamental a la
protección de datos personales, se les conoce como Derechos ARCO (acceso, rectificación, cancelación y
oposición). En el caso, hondureño, la garantía constitucional del hábeas data utiliza el término “eliminación”
en vez de cancelación de datos personales, por ende cualquier instrumento jurídico que se desarrolle tendrá
que estar en armonía con la disposición constitucional.

10
 1. Los Principios Armonizados de Protección de Datos
Personales

De acuerdo con los “Estándares Internacionales sobre Protección de Datos Personales y Privacidad.
Resolución de Madrid de 2009”,3 los principios que configuran el derecho a la protección de datos
personales son los siguientes:

a) Principio de lealtad y legalidad: los tratamientos de datos personales se deberán realizar

de manera leal, respetando la legislación nacional aplicable y los derechos y libertades de
las personas.
b) Principio de finalidad: el tratamiento de datos personales deberá limitarse al
cumplimiento de las finalidades determinadas, explícitas y legítimas de la persona
responsable. La persona responsable se abstendrá de llevar a cabo tratamientos no
compatibles con las finalidades para las que hubiese recabado la información personal, a
menos que cuente con el consentimiento inequívoco del titular.4
c) Principio de proporcionalidad: el tratamiento de datos personales deberá circunscribirse
a aquéllos que resulten adecuados, relevantes y no excesivos en relación con las
finalidades previstas.
d) Principio de calidad: el responsable del tratamiento deberá asegurar en todo momento
que los datos de carácter personal sean exactos, así como que se mantengan tan
completos y actualizados como sea necesario para el cumplimiento de las finalidades para
las que sean tratados. La persona responsable deberá limitar el periodo de conservación
de la información personal tratada al mínimo necesario. De este modo, cuando los datos
de carácter personal hayan dejado de ser necesarios para el cumplimiento de las
finalidades que legitimaron su tratamiento deberán ser cancelados o convertidos en
anónimos.
e) Principio de transparencia: toda persona responsable deberá contar con políticas
transparentes en lo que a los tratamientos de datos personales que realice se refiere. La
persona responsable deberá facilitar a los interesados, al menos, información acerca de su
identidad, de la finalidad para la que pretende realizar el tratamiento, de los destinatarios
a los que prevé ceder los datos de carácter personal y del modo en que los interesados
podrán ejercer los derechos de acceso, rectificación, cancelación u oposición.

3
La Resolución de Madrid de 2009 es el intento más reciente que se ha hecho para desarrollar estándares
internacionales para la protección de la privacidad, en relación con el tratamiento de datos de carácter
personal. Estos estándares fueron acogidos en la 31 Conferencia Internacional de Autoridades de Protección
de Datos y Privacidad. Para mayor información, véase: http://www.privacyconference2009.org/home/index-
ides-idweb.html
4
En términos jurídicos la persona responsable del tratamiento se le conocer como “Responsable del
Tratamiento”. Se considera Responsable del Tratamiento la persona natural o jurídica, pública o privada,
que por sí misma o en conjunto con otros, decida sobre la base de datos y/o el tratamiento de los datos.

11
 f) Principio del consentimiento: dado que el derecho a la protección de datos consiste en el
poder de decisión y control que goza la persona sobre el tratamiento de sus datos de
carácter personal, el consentimiento se sitúa como la manifestación de este poder
decisorio y pos consecuencia como causa principal legitimadora del tratamiento de los
datos personales. Este consentimiento debe caracterizarse por ser previo, libre,
inequívoco, informado y por último, puede ser revocado por el titular o su representante
en cualquier momento, no pudiendo exigirse para esa revocación más requisitos que los
que fueron necesarios para la previa prestación del consentimiento.
g) Principio de responsabilidad: la persona responsable deberá adoptar las medidas
necesarias para cumplir con los principios y obligaciones establecidos en la legislación
nacional aplicable.

Como todo derecho tiene límites, en este caso, se define la seguridad del Estado, la prevención y
persecución de los delitos serían objetivos que no podrían limitarse con el argumento de proteger
los datos personales. No obstante, tales excepciones deberán ser contrastadas por principios tales
como el de justicia, razonabilidad y transparencia administrativa, a los que habría que agregar el
de proporcionalidad.

2. Del Derecho a la Intimidad al Derecho a la Protección de

Datos Personales

Con el derecho fundamental a la protección de datos, se ha llegado al límite de una larga

evolución del concepto de privacidad, desde su definición original como “derecho a ser dejado
solo” hasta el poder de controlar las informaciones que conciernen a cada uno y decidir las
modalidades de construcción de su propia esfera privada (Rodatá, S., 2005).

Antes del año 2000, el derecho de protección de datos personales desarrollado, especialmente
aquel proveniente de Europa, se centró en establecer los requisitos que deben observarse en el
tratamiento de los datos personales desde el prisma del derecho de la intimidad.5 Con la Carta de
los Derechos Fundamentales de la Unión Europea del 2000, se da un importante viraje al concebir
la protección de datos personales como un derecho fundamental, autónomo e independiente del
derecho a la vida privada y familiar.

Para poder comprender las diferencias que existen entre el derecho de protección de datos y el
derecho a la intimidad, en palabras de Eduardo Gallardo (2009), el derecho de la protección de
datos personales “confiere a su titular poderes de disposición y control sobre los propios datos

5
Ejemplo de esto queda evidenciado en lo que establece el Consejo de Europa en 1981 a través del artículo
1 del Convenio 108 donde menciona que la finalidad del convenio esa garantizar a las personas naturales “el
respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con
respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona
(protección de datos).

12
personales”, mientras que el derecho a la intimidad “atribuye al individuo la facultad de reserva
sobre los ámbitos, datos o informaciones íntimas, que es así mismo una forma de ejercitar la
capacidad de disposición sobre la propia información”.6

En todo caso, la autonomía del derecho de protección de datos personales tiene diversas con-
secuencias entre las cuales se destacan las siguientes:
1. Aunque el derecho a la intimidad y el derecho a la protección de datos personales pueden
verse involucrados en una misma situación, no toda lesión del derecho a la intimidad
implica una afectación al derecho de protección de los datos personales, ni viceversa. En
algunas circunstancias, por ejemplo, una infracción del derecho de protección de datos
también puede afectar otros derechos y libertades de la persona diferentes a la privacidad
como, entre otros, el buen nombre, el debido proceso, el honor, el trabajo.

2. La protección de datos personales se amplía a cualquier naturaleza de información sobre

la persona (privada, sensible, semiprivada y pública), lo cual implica que toda clase de dato
personal debe ser tratado debidamente.

Ilustración 1 Continuum del Derecho de Protección de Datos

PRIMERA GENERACIÓN
1970-2000
-Ligado fuertemente al Derecho a la Intimidad; el
poder se limita a la exclusión de interferencias ajenas
-Influenciado por el derecho a la vida privada y
familiar
-Referentes: Resolución 45/95 -ONU; Directiva
95/46/CE- Consejo de Europa, OECD
SEGUNDA GENERACIÓN
2000 - presente
- Derecho a la Intimidad no es la máxima; Derecho a la
protección de datos como derecho “autónomo”
-No necesariamente al violentar el derecho a la
protección de datos personales, se transgrede el
derecho a la intimidad, y viceversa. Por ejemplo: el
buen nombre, el debido proceso, el honor, el trabajo

-Carta de Derechos Fundamentales de la Unión

Europea (Art. 8)

Fuente: Elaboración propia

6
Se puede conceptuar el derecho a la intimidad como "la respuesta jurídica al interés de cada persona de
lograr un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, ni injerencia de los demás, aquello
que constituye su vida privada, es decir la exigencia existencial de vivir libre de un indebido control, vigilancia
o espionaje".

13
 3. Hábeas Data y el Derecho de Protección de Datos Personales

El hábeas data es un mecanismo que otorga a la persona la facultad de detener el abuso de sus
datos personales, sólo en el caso que se comprometa o infrinja su privacidad.7 Por otro lado, el
hábeas data no exige que las entidades públicas y privadas protejan por su iniciativa los datos
personales que procesan, sino que sólo requiere que la persona agraviada, tras presentar una
denuncia ante la justicia, obtenga acceso y la capacidad de rectificar todo dato personal que pueda
atentar contra su derecho a la privacidad.

Asimismo, este mecanismo puede no otorgar un recurso legal a una persona agraviada si sus datos
personales han sido transferidos fuera del país. En consecuencia, la protección o garantía del
hábeas data, para organismos como la OEA (2011), es más limitada que el enfoque garantista
europeo.

Se debe tener muy en mente que el hábeas data no es, entonces, sino una garantía o
mecanismo jurídico procesal que permite la defensa, la realización de derechos funda-
mentales, en este caso, el derecho a la intimidad, a la autodeterminación informativa contra
el uso indebido por parte de terceras personas. 8

En el caso hondureño, la Constitución Política de 1982 en su artículo 182 reconoce la garantía de

Hábeas Data, como el derecho que tiene toda persona de acceder a la información sobre sí misma
o sus bienes en forma expedita y no onerosa, ya esté contenida en base de datos, registros
públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla.9

Esta garantía es conocida por la Sala de lo Constitucional de la Corte Suprema de Justicia, según los
términos y procedimientos establecidos en la Ley Sobre Justicia Constitucional (Decreto Legislativo
No. 244-2003), estableciendo en su artículo 40 que el “recurso de Hábeas Data será interpuesto
ante la Sala de lo Constitucional de la Corte Suprema de Justicia cuando se haya agotado el trámite
administrativo correspondiente.”

Las interrogantes que surgen a partir de dicha disposición, es sí existe actualmente un trámite
administrativo específico y ante qué instancia se debe iniciar dicha tramite: ¿ante la persona
natural o jurídica responsable del tratamiento de los datos personales? o es, ¿ante la instancia
estatal que ha de atender las solicitudes de protección de datos personales?

7
Literalmente, hábeas data significa: “debes tener los datos”.
8
En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de hábeas
data. Según un estudio realizado por la OEA (2007), el principio surgió en respuesta al impacto negativo que
emanó del uso de las computadoras sobre los derechos a la privacidad. La Constitución Brasileña de 1988
fue la primera a utilizar la expresión hábeas data. Para mayor información, véase: Comité Jurídico
Interamericano de la OEA (2007) “Derecho de la Información: Acceso y Protección de la Información y Datos
Personales en Formato Electrónico.” 70º Período Ordinario de Sesiones. San Salvador, El Salvador.
9
Reformado mediante Decreto Legislativo 237-2012, publicado en el Diario Oficial La Gaceta el 23 de enero
de 2013.

14
Una regulación normativa del derecho a la autodeterminación informativa, en términos
constitucionales, no puede quedar constreñida a garantizar el acceso a la jurisdicción, aun si
resulta indispensable para atender a los estándares internacionales en la materia, así como
ofrecer medios para garantizar que el procesamiento de datos personales sigue una serie de
lineamientos de calidad y de control contra los abusos y el ejercicio abusivo de prerrogativas
de vigilancia y perfilado de las personas en la sociedad moderna (OEA, 2007).

Es por lo anterior que las denominadas “leyes de protección de datos personales de tercera
generación” se orientan en el modelo institucional, donde, por medio de un órgano creado al
efecto, se vela constantemente por tomar directrices y políticas que garanticen las
condiciones de este tipo de tratamiento de datos en forma coherente con las expectativas de
protección en el actual ambiente de desarrollo de la sociedad.

Ilustración 2 Las diferencias entre el Hábeas Data y el Derecho de Protección de Datos Personales

HABEAS DATA DERECHO DE PROTECCIÓN DE

Garantía constitucional que goza
toda persona Para obtener acceso a
la información; impedir su
transmisión o divulgación; rectificar
datos inexactos o erróneos;
actualizar información, exigir
confidencialidad y la eliminación de
información falsa; respecto de
cualquier archivo o registro, privado
o público, que conste en medios
convencionales, electrónicos o
informáticos, que produzcan daño al
honor, a la intimidad personal,
familiar y a la propia imagen.
DATOS PERSONALES
•Es el derecho que toda persona
tiene a controlar sus datos
personales que se encuentran
registrados en bases de datos de
entidades públicas o privadas,
personas naturales o jurídicas.
•Derecho fundamental que se “el
poder de controlar las
informaciones que conciernen a
cada uno y decidir las modalidades
de construcción de su propia esfera
privada.” Rodotà, S. (2003)

Fuente: Elaboración propia

15
 4. La Importancia de una Ley de Protección de Datos
Personales en Honduras

Hoy día, prácticamente para cualquier actividad se requiere brindar información personal. Se
facilitan datos personales cuando se abre una cuenta bancaria o al realizar un trámite
administrativo ante una dependencia gubernamental, cuando se gestiona un crédito comercial,
cuando se participa en un censo poblacional o cuando se navega por Internet. Con esta
información se logra desarrollar la vida cotidiana; se adquieren bienes y servicios, se obtienen
créditos, se reciben servicios de salud y de educación.

Hoy, la empresa privada así como órganos y entes públicos han instalado una estructura
informática capaz de procesar y tener acceso a información confidencial de vital importancia para
la intimidad personal y familiar, sin que exista un mecanismo claro que los proteja contra una
posible manipulación de los datos personales que lesionen sus derechos.

De tal manera, que el acceso ilegítimo a los datos personales afecta el derecho a la intimidad de
todos y todas. Personas no autorizadas pueden utilizar o apropiarse de datos de sensibles,
imágenes, y hasta de cuentas bancarias, ocasionando graves daños que abarcan múltiples facetas
de la vida, tales como la reputación, la honra, la integridad física y financiera.

Así, para prevenir y abatir, en la medida de lo posible, los riesgos asociados al desarrollo de las
tecnologías de la información y a fin de salvaguardar y respetar las libertades y derechos de los
usuarios, los actores involucrados -estados, gobiernos, instituciones educativas, académicos,
industria, sociedad civil organizada y sociedad en general- deberán adoptar y consensar medidas
preventivas y proactivas en materia de prevención, educación, legislación y ética profesional.
Lo anterior, suena sencillo pero es un desafío complejo que involucra el consenso de todos los
actores involucrados, a fin de hacer efectivas todas las acciones tendentes a proteger la
información personal tratada por medio de las cada vez más apabullantes tecnologías de la
información.

En ese sentido, la presente sección viene a describir la importancia de una legislación de

protección de datos desde dos ópticas, que en más de una ocasión tendrán intereses divergentes
en torno al manejo de datos personales; por lo tanto, han de requerir de una normativa que
brinde garantías, seguridad y promueva el flujo de información bajo esquemas de integridad,
rendición de cuentas y transparencia.

4.1. El Estado como garante de Derechos y Libertades

En el ejercicio de sus funciones las autoridades gubernamentales recaban una gran cantidad de
datos personales de sus gobernados, información patrimonial, del estado de salud, incluso de su

16
vida familiar, entre otras. Además, el uso de tecnologías es más frecuente al momento de recabar
y tratar los datos personales para la realización de trámites.

Un tratamiento inadecuado de la información personal podría traducirse en usos que afecten la

vida de las personas, exponiéndolos al riesgo de ser objetos de discriminación o hacerlos blanco de
delitos graves como el secuestro o el robo de identidad. La persona debe poder decidir cuándo y
dentro de cuáles límites sus asuntos de carácter personal pueden ser dispuestos públicamente, y
esta posibilidad debe estar garantizada por las normas que el Estado crea y tiene la obligación de
vigilar su cumplimiento.

Más que cumplir con los instrumentos internacionales que el Estado de Honduras se ha adherido
en materia de derecho a la intimidad y las disposiciones de la misma Constitución de 1982 en
materia de honor, a la intimidad personal, familiar y a la propia imagen, los gobiernos están
obligados a proteger el vasto cúmulo de información personal que tiene sobre sus gobernados, así
como limitar la recolección de los datos personales a los supuestos previstos en la legislación
vigente.

Considerando los retos que implica el avance tecnológico, como las redes sociales –especialmente,
en el caso de los menores de edad y en la protección de sus datos personales–, las estrategias
establecidas en las políticas públicas no deben limitarse a fortalecer el ámbito legal, se requiere el
trabajo conjunto de las instituciones académicas y educativas, organizaciones no
gubernamentales, órganos garantes, padres de familia y autoridades.

4.2. Protección de datos mejora la competitividad y brinda

seguridad a consumidores e inversionistas

Inicialmente las leyes y regulaciones sobre privacidad estaban únicamente referidas al sector
público, debido a que eran los gobiernos quienes mantenían la información personal sobre los
individuos. Sin embargo, la utilización de informaciones personales es ahora no sólo un fenómeno
entre el Estado y el ciudadano, sino que es cada vez más un tema que involucra al sector privado y
a las empresas comerciales que recogen y utilizan la información de los individuos con fines
comerciales, y por la naturaleza de estas operaciones esa información también pasa las fronteras
de los Estados y se convierte en un fenómeno internacional.10

Tal como puede ocurrir en el sector público, los datos personales mantenidos en el sector privado
pueden quedar sujetos a una recolección, uso o divulgación no autorizada, ya sea deliberada o
accidentalmente, razón por la cual deben tomarse medidas para minimizar esta actividad.

10
Es justamente porqué la información personal puede ser de gran utilidad para el mercadeo y áreas de
venta, que las empresas constantemente buscan, almacenan y transfieren información sobre las personas,
ya sea a través de los métodos tradicionales o a través del Internet.

17
No obstante, la regulación de la protección de y acceso a datos personales debe permanecer
sensibilizada a las necesidades de los sujetos a quienes se refieren estos datos, incluyendo entre
ellos a los usuarios y consumidores, así como también las empresas comerciales y otras
organizaciones involucradas. Estas necesidades no son necesariamente contradictorias. Por
ejemplo, una de las características esenciales es la confianza que se debe sentir en la protección
de la privacidad en línea, para asegurar el crecimiento del comercio electrónico.

Los consumidores están preocupados sobre el derecho a la privacidad en un ambiente cada vez
más interconectado electrónicamente, y las empresas comerciales desean asegurar su fiabilidad a
los consumidores y evitar las interrupciones durante el flujo de datos transfronterizos. En otras
palabras, la protección de datos es una cuestión de encontrar el equilibrio perfecto entre los
derechos de los individuos a que sus datos personales permanezcan privados, y resguardar el libre
flujo de información. Sin embargo, tal como ocurre con otros temas, los estados pueden no
concordar donde yace el equilibrio adecuado, o si la protección de datos corresponde a una
cuestión de derechos humanos o se inclina más hacia una cuestión económica.

Sin embargo, las empresas hondureñas no pueden permanecer ajenas a la nueva realidad
corporativa global, por ello aspectos como la protección de datos, el gobierno corporativo y los
principios de accountability -no únicamente en términos de responsabilidad social empresarial-
dejaran de aparecer en horizontes lejanos y descontextualizados y se convertirán cada día más en
parte de su realidad de negocio

IV. Desarrollo Internacional del Derecho Fundamental a la

Protección de Datos Personales
En su evolución, el Derecho Fundamental a la Protección de Datos Personales ha venido cobrando
reconocimiento y relevancia internacional a medida que han avanzado las tecnologías de la
información y comunicación (TIC), así como la evolución de la sociedad en sociedades digitales,
donde existe un intercambio de información, ya sea público o de particulares a nivel global y por lo
tanto, subsiste un tratamiento de datos personales tanto de órganos de gobierno como de
particulares.

En el mundo existen dos vertientes principales entorno a la protección de los datos personales, a
saber:
1. Modelo de Europa Continental. Motivado en los derechos humanos –visión garantista-, busca
proteger la información y la propiedad de la misma, mediante regulaciones estatales. La visión
europea del derecho a la privacidad cubre todos los aspectos de la vida del individuo, lo que
implica el procesamiento de datos personales por organizaciones gubernamentales y privadas.

18
2. Modelo de los Estados Unidos de América. Se motiva en limitar la comercialización
indiscriminada de los datos de las personas mediante la autoregulación de las entidades
privadas. La legislación específica sobre la protección de los datos personales se limita a los
datos tratados o custodiados por el gobierno federal. En los casos en que quieran cumplir con
directrices predeterminadas sobre el manejo de datos personales, los particulares pueden
ampararse en una disposición de la Comisión Federal de Comercio (FCC, en sus siglas en inglés)
por la que certifica que la entidad en cuestión establece un nivel adecuado de protección de
los datos personales.11

Tabla 2 Particularidades del Modelo Europeo y Modelo Estadounidense en torno a la protección de datos

Modelo Europa Continental Modelo de los Estados Unidos

•Se origina con los tratados internacionales en
materia de derechos humanos.
•Derecho a privacidad cubre todo aspecto de la
vida de la persona.
•Aplicable al tratamiento de datos para el
sector público y sector privado.
•Establece el nivel estándar de la protección de
datos para los miembros de la UE.
•Permite transferencia de datos personales
cuando el país receptor "garantice un nivel de
protección adecuado de los datos"
•Un derecho que se origina de la interpretación
de la Constitución a través de la jurisprudencia
de las cortes.
•Protección se limita a los datos procesados o
en custodia del gobierno federal. No es
apliable a entidades privadas.
•Auto-regulación por parte de los sectores
economicos.
•El interés de la persona a la privacidad se debe
balancear con el interés público.

Fuente: Elaboración propia en base a análisis realizado por John M. Wilson, Oficial Jurídico Principal, OEA (2011)

1. El Derecho Internacional de los Derechos Humanos

Un primer acercamiento en el plano internacional en torno al surgimiento del derecho a la

protección de datos personales, aunque no relacionado con el uso de las tecnologías, se puede
encontrar en el artículo 12 de la Declaración Universal de Derechos Humanos de 1948, el cual
estipula que “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su
domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene
derecho a la protección de la ley contra tales injerencias o ataques.”

En términos parecidos, también se debe tener presente, el artículo 17 del Pacto Internacional de
Derechos Civiles y Políticos, el artículo 5 de la Declaración Americana de los Derechos y Deberes

11
Fuera de unas pocas leyes que tratan de la información personal financiera y médica, Estados Unidos no
cuenta con una legislación que rija el procesamiento de datos personales por entidades privadas. Para
mayor información véase: OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de
Datos (La Protección de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514

19
del Hombre de 1948 y el artículo 11 del Pacto de San José de Costa Rica; todas estas normas
internacionales en materia de derechos humanos consagran la protección de la honra, reputación,
y la vida privada y familiar, prohibiendo injerencias arbitrarias que bien pueden derivar del uso de
la informática.

La Resolución 45/95 de la Asamblea General de la ONU (14 de diciembre de 1990) - Principios

Rectores para la Reglamentación de los Ficheros Computarizados de Datos Personales, sienta las
bases mínimas sobre las que cada legislación nacional debe partir a la hora de reglamentar sobre
la protección de los datos personales, específicamente los sistemas de datos personales en
posesión de instituciones gubernamentales.

2. Europa: El Epicentro del Derecho a la Protección de Datos

Personales

Influenciada por la Declaración Universal de los Derechos Humanos, el Consejo de Europa adoptó
el 4 de noviembre de 1950 en Roma, el Convenio para la Protección de los Derechos Humanos y
las Libertades Fundamentales (más conocido como la Convención Europea de Derechos
Humanos-CEDH).

La CEDH no protege de forma autónoma la protección de datos; no obstante, proporciona una

protección en el marco del artículo 8 donde se enuncia el “derecho a la vida privada y familiar, de
su domicilio y correspondencia”, lo que llevaría al Tribunal Europeo de Derechos Humanos (TEDH),
a expresar la existencia de un derecho a la protección de datos personales a través de la
jurisprudencia que se iría desarrollando (García, A., 2012).12

Paralelo al desarrollo del derecho comunitario, en los años setenta, países europeos comenzarían
a adoptar normas para protección del derecho a la intimidad en sus legislaciones, incluida la
protección contra abusos en la recolección y tratamiento de datos personales.13 Por otro lado,
países como Portugal, España y Austria, también incluirían la protección de los datos en sus
constituciones políticas de finales de la década

Ante una normativa diversa que existía en cada uno de los países de la Unión Europea y con el fin
de lograr una libre circulación de datos personales entre los Estados miembros para no

12
Por ejemplo, en el caso Gaskin de 7 de Julio de 1989, concerniente al acceso de los datos sobre la estancia
de un individuo durante su infancia en un orfanato, el Tribunal consideró necesario analizar el tipo de datos
respecto de los que se planteaba la controversia, dado que, de la naturaleza y de las características de los
mismos dependería, a su juicio, el grado de protección que se reconociera. De esta manera, se comenzaría a
referirse a determinados datos personales como “datos sensibles”, como aquellos que afectan directamente
al desarrollo de la personalidad, la cual forma parte de la vida privada de la persona (ideología política, datos
médicos, religión, orientación sexual, etc.).
13
En 1970 el estado de Hessen (Alemania) aprobó la primera ley sobre la protección de datos personales en
el mundo, seguidamente, Suecia (1973), Alemania (Ley Federal, 1977) y Francia (1978).

20
obstaculizar el mercado interior, el 28 de enero de 1981: Alemania, Francia, Dinamarca, Austria y
Luxemburgo suscribirían el Convenio 108 sobre Protección de los Datos Personales con Respecto
al Tratamiento Automatizado de Datos de Carácter Personal, el cual se considera el primer
convenio internacional de protección de datos y viene a definir por primera vez primera vez el
término “datos personales” como “toda información relacionada con una persona identificada o
identificable”, que ha de servir de definición para las legislaciones nacionales que han de venir.14

Al ser un Convenio y no un Protocolo al CEDH, se dejó la posibilidad de que se adhirieran países no

miembros del Consejo de Europa, como por ejemplo países no europeos de la Organización para la
Cooperación y Desarrollo Económico (OCDE) o estados latinoamericanos que buscan la
transferencia de datos personales en armonía con la normativa comunitaria europea, como es el
caso de Uruguay que se convirtió en el primer país de la región que se adhirió al Convenio 108.15

En 1995, aparecería la primera norma comunitaria en materia de datos personales, la Directiva

95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

La Directiva 95/46/CE pasa a admitir la transferencia de datos personales a países de fuera de la

Unión Europea sólo cuando el país afectado “garantice un nivel de protección adecuado de los
datos” o si demuestra que los datos quedarán debidamente protegidos una vez que hayan sido
transferidos. Por ello, no basta la sola legislación que plasme estos principios, sino que se
establezcan los medios idóneos para su puesta en vigencia (por ejemplo, crear una autoridad
reguladora nacional, implementar un catálogo de infracciones y sanciones,
procedimientos administrativas y/o judiciales, medidas de seguridad, promoción de los derechos
de los titulares de datos y de las obligaciones respecto de los bancos de datos, y sistemas de
responsabilidad y reparación.

Como anteriormente se mencionó, la Carta de Derechos Fundamentales de la Unión Europea de

2000 viene a romper el molde con respecto a la interpretación del derecho fundamental de
protección de datos personales. Es de esta manera que en su artículo 8, reconoce el derecho a la
protección de datos como un derecho fundamental y autónomo, distinto al derecho al a intimidad
y la privacidad de las personas.

En otro escenario, derivado de los trabajos de la 31 Conferencia Internacional de Autoridades de

Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009, se emitió la Declaración de

14
El Convenio 108 por primera vez define los datos personales como “toda información relacionada con una
persona identificada o identificable”, que ha de servir de definición para las legislaciones nacionales que han
de venir.
15
Véase: Decisión de Ejecución de la Comisión de conformidad con la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental
del Uruguay en lo que respecta al tratamiento automatizado de datos personales del 21 de Agosto de 2012,
enhttp://privacyconference2012.org/wps/wcm/connect/4f619a804c810ce58f1fcf5ecf671ba0/Adecuacin_U
E.pdf?MOD=AJPERES

21
Madrid, que recoge la aprobación de Propuesta Conjunta para la Redacción de Estándares
Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal. Al
margen de su intención armonizadora en la emisión de instrumentos normativos nacionales como
internacionales, es de resaltar la colaboración y adhesión consensuada de más de 50 países, que
agrega un valor importante, puesto que se enfatiza la vocación universal de los principios y
garantías que configuran el Derecho a la Protección de Datos Personales, y reafirma la factibilidad
de avanzar hacia un documento internacionalmente vinculante.

3. La Experiencia de los Estados Latinoamericanos

A pesar que los Estados Miembros de la Organización de Estados Americanos (OEA) han
reconocido en su ordenamiento continental el derecho a la privacidad16, a diferencia de lo que se
ha venido desarrollando en Europa, la OEA aún carece de un tratado internacional que regule el
derecho a la protección de datos personales –dado los contrastes que hay en tradiciones jurídicas,
intereses políticos, desarrollo institucional y económico.17

La OEA ha venido trabajando en el “Proyecto de Convención Americana sobre Autodeterminación

Informativa” desde 1997 –mismo año que inició el concluido proyecto de la Ley Modelo
Interamericana sobre Acceso a la Información Pública de 2010-, que viene a plantear una
regulación para la protección y movimiento internacional de datos, abordando temas como el
derecho a la información en la recolección de los datos, el consentimiento del titular, la calidad,
categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas
data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.18

Como alternativa a la limitada producción normativa de la OEA, la Red Iberoamericana de

Protección de Datos (RIPD) se ha venido configurando desde el 2003 como el principal promotor
del derecho a la protección en los estados de tradición latina, al servir de foro integrador de
diversos actores, tanto del sector público como privado, en la materia.19 A través del espacio de la

16
La Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica), del 22 de noviembre
de 1969, señala en su artículo 11, inciso 2, que “Nadie puede ser objeto de injerencias arbitrarias o abusivas
en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su
honra o reputación.”
17
Actualmente el único documento referencial en la materia son los “Principios y Recomendaciones
Preliminares sobre la Protección de Datos (La Protección De Datos Personales)” elaborado por el
Departamento de Derecho Internacional de la OEA.
18
Este proyecto data de 1997 y se consolidó el 19 de noviembre de 2010, cuando fue expuesto ante la OEA y
aprobado por este mismo órgano. En el 2011, se promulgó dicho documento a los países interesados bajo el
código CP/CAJP-2921/10 rev.1.
19
La RIPD, surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos
(EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes
de 14 países iberoamericanos. Esta iniciativa contó desde sus inicios con un apoyo político reflejado en la
Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos
celebrada en Santa Cruz de la Sierra, Bolivia, 14 y 15 de noviembre de 2003.

22
RIPD, se ha brindado asistencia técnica en los procesos de promulgación de legislaciones
nacionales como la de Argentina, Uruguay, Perú, Costa Rica, Nicaragua, y Colombia.

A pesar de las legislaciones ocho leyes nacionales con que cuenta la región latinoamericana (véase
Tabla 3, abajo), los procesos de formulación legislativa han tenido su propia dinámica que
responden en gran medida a tres factores del contexto país:
1. Estabilidad política;
2. La inclusión del tema en la agenda pública como un problema social, y
3. El nivel de conocimiento de los actores formales e informales (presidente, ministros,
legisladores, gremios, etc.) sobre la materia, los riesgos y la importancia de regular el
tratamiento de datos personales por terceros.

Tabla 3 Leyes de Protección de Datos Personales en América Latina a octubre de 2013

Año País

1999 Chile- Ley No. 19.628, Protección de la Vida Privada y Protección de Datos de Carácter
Personal.

2000 Argentina- Ley 25.326, Protección de Datos (Habeas Data)

2008 Uruguay- Ley de Protección de Datos Personales y Acción de Habeas Data

2010 México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares

2011 Perú- Ley No. 29733 Ley de Protección de Datos Personales

2011 Costa Rica- Ley No. 8968 Protección de la Persona frente al tratamiento de sus datos
personales.

2012 Nicaragua- Ley No. 787, Ley de Protección de Datos Personales.

2012 Colombia- Ley Estatutaria Nº 1581 Ley General de Protección de Datos Personales

Fuente: Elaboración propia en base a datos de la Red Iberoamericana de Protección de Datos

V. Análisis de Legislaciones y Prácticas Iberoamericanas

Habiendo hecho una revisión de la doctrina, los enfoques del derecho y su evolución, la presente
sección se analizará cinco legislaciones referenciales que han de contribuir a sentar las bases para
una ley de protección de datos personales y hábeas data en Honduras20, a saber:

20
Para conocer los insumos obtenidos del presenta análisis, véase el documento “Ante-proyecto de Ley de
Protección de Datos Personales y Hábeas Data” que ha preparado el consultor.

23
 1. Ley General de Protección de Datos Personales de Colombia;
2. Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa
Rica;
3. Ley Orgánica de Protección de Datos de España;
4. Ley Federal de Protección de Datos Personales en Posesión de los Particulares de
México, y
5. e) Ley de Protección de Datos Personales y Acción de Habeas Data de Uruguay.

Sumado al hecho que las cinco legislaciones provienen de países hispanohablantes –con
tradiciones jurídicas similares-, también responden al enfoque continental europeo de interpretar
el derecho de protección de datos personales como un derecho humano que debe ser reconocido
tanto por el Estado, como por las personas naturales o jurídicas que son responsables del
tratamiento o encargados del tratamiento de datos personales.

De las cincos legislaciones, la Ley Orgánica de Datos de Carácter Personales de España es la que
más vigencia tiene (14 de enero de 2000) y ha servido de fuente de derecho y de desarrollo
institucional para los países latinoamericanos, especialmente en lo que concierne a la regulación.

Como se podrá apreciar más adelante, las cinco legislaciones estudiadas comparten en cierta
medida similares objetivos, ámbitos de aplicación, principios y derechos garantizados; mientras
que la gran diferencia recae en la figura de la autoridad u órgano de control que difiere en
nombre, diseño institucional, estructura interna, localización dentro del aparato administrativo del
Estado y en las competencias o facultades que el legislador le ha otorgado. En gran medida las
diferencias, se deben a la conformación de cada Estado y la interpretación que se le da a la función
de regulador de datos personales, en los casos como España y México, responden a un modelo
federal; mientras que en Colombia, Costa Rica y Uruguay se encuentran dentro de la órbita del
poder ejecutivo, sin embargo, sus responsabilidades regulatorias y de sanción son similares.

Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que
intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada
responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han
encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad
de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten
que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial.
En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja
la garantía de hábeas data.

24
 1. Colombia- Hábeas Data Financiero y Ley General de
Protección de Datos Personales

Mediante la Ley Estatutaria Nº 1266, conocida como Ley de Habeas Data Financiero, Colombia
desarrolla un ordenamiento especial para hacer efectivo el derecho de hábeas data en las bases
de datos con información financiera, crediticia, comercial, de servicios y la proveniente de terceros
países.21 Como buena práctica, esta legislación dispone que los usuarios deberán valorar la
información en las bases de datos en forma concurrente con otros factores o elementos de juicio
que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse
exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los
operadores para adoptar decisiones frente a solicitudes de crédito.

Por su parte, la Ley Estatutaria Nº 1581 o Ley General de Protección de Datos Personales,
consagra la mayoría de los principios de administración de datos personales previstos en la Ley
1266 del 2008, pero le adiciona tres más: legalidad, libertad y transparencia.

La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos
personales contenidos en sus sistemas de información y replantear sus políticas de manejo de
información y fortalecimiento de sus herramientas. Como entidades responsables del tratamiento
deben definir los fines y medios esenciales para el tratamiento de los datos de los usuarios y/o
titulares, incluidos quienes fungen como fuente y usuario.

Por otro lado, los titulares tienen derecho a encontrar de manera ágil y sencilla los datos
suministrados por ellos. Cualquier persona puede consultar de manera gratuita sus datos
personales, al menos una vez al mes. En caso de no recordar haberse inscrito en una base de
datos, la persona puede solicitar una prueba de la autorización inicial por la que fue inscrito y
también puede retirar sus datos. El titular de los datos tiene derecho a que se le describa para qué
y cómo será utilizada su información y también tiene derecho a la actualización, rectificación y
supresión cuando lo considere oportuno. Las entidades que manejan bases de datos deben
designar una persona para que asuma la función de protección de datos personales.

Por su parte, el Reglamento (Decreto 1377 del 27 de junio de 2013), norma aspectos relacionados
con la autorización del titular de la información para el tratamiento de sus datos personales, las
políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los
titulares de la información.

21
La Ley Estatutaria Nº 1266, aclara que los datos cuyo contenido haga referencia al tiempo de mora, tipo
de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de
obligaciones, se regirán por un término máximo de permanencia de cuatro años, contados a partir de la
fecha en que sean pagadas las cuotas vencidas, o sea pagada la obligación vencida. Vencido este tiempo, la
información deberá ser retirada de las bases de datos por el operador (central de riesgos), de forma que los
usuarios –que analizan riesgos y otorgan créditos- no puedan acceder o consultar dicha información.

25
En resumen, el sistema legal colombiano contempla entonces: acciones de tutela, acciones
administrativas, un régimen general y un régimen sectorial de protección, y un órgano de control.

A. Órgano de Control
La autoridad encargada de vigilar el cumplimiento de ambas leyes es la Delegatura para la
Protección de Datos Personales de la Superintendencia de Industria y Comercio. De acuerdo a
Pablo Felipe Robledo, Superintendente de Industria y Comercio de Colombia, desde el 2009 hasta
mayo de 2013, se han realizado más de 1.200 investigaciones e impuesto más de 370 sanciones.
Los hechos que han motivado las sanciones corresponden principalmente a la mala calidad de la
información que manejan los operadores de las bases de datos, deficiencias de las empresas en la
atención de las solicitudes por los titulares y los reclamos presentados, problemas en el acceso a la
información por parte de los titulares de los datos, recolección de información sin consentimiento
y la falta de cumplimiento de las instrucciones giradas por la Superintendencia de Industria y
Comercio.22

B. Buenas prácticas
 Adecuación: Las entidades han de solicitar la autorización de los ciudadanos mediante los
canales que usan habitualmente para comunicarse con ellos, como por ejemplo correos
electrónicos, llamadas telefónicas, correos certificados y también se les permitió fijar avisos
publicitarios en medios masivos.

Si el titular de los datos no contesta las notificaciones dentro de 30 días hábiles no quiere decir
que pierda el control sobre su información, esto solo supone que las entidades y empresas
pueden seguir utilizando los datos hasta tanto el ciudadano manifieste lo contrario. Eso sí, las
empresas y entidades solo pueden utilizar la información para los fines para los que
inicialmente la recogió.

 Aviso de privacidad: En los casos en los que no sea posible poner a disposición del Titular las
políticas de Tratamiento de la Información, los Responsables deberán informar por medio de
un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a
las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de
los datos personales.

 Protección de los derechos de los niños: Establece la protección datos relacionados con los
derechos de los niños y adolescentes -esta categorización especial no está presente en las
otras legislaciones estudiadas.

 Normas Corporativas Vinculantes: mecanismo de certificación de buenas prácticas y procesos

de autorregulación empresarial para un desarrollo más efectivo de la protección de datos.

22
Fuente: Entrevista en Revista Digital Ámbito Jurídico (http://www.ambitojuridico.com) del 14 de Mayo de
2013, en nota “Nueva Ley General de Protección de Datos Personales”.

26
 Accesibilidad y gratuidad de los datos personales: Registro Nacional de Bases de Datos, es de
libre consulta para los ciudadanos; no se paga, ni hay cuota para acceso a información.

C. Entrada en Vigencia
Se estableció un régimen de transición de seis meses para que las personas reguladas se
adecuaran a las disposiciones de la Ley).

D. Retos para la privacidad

Los retos identificados se refieren a: los mecanismos de priorización para ser más selectivos e
investigar aquellas áreas que sean de mayor interés (Sistema Integral de Supervisión Inteligente) y
relativo a las Normas Corporativas Vinculantes23.

Tabla 4 Cuadro Resumen Ley General de Protección de Datos Personales de Colombia

Legislación y Datos Generales

Nombre: Ley Estatutaria Nº 1266, de 31 de diciembre de 2008 . Ley de Hábeas Data Financiero.24

Ley Estatutaria Nº 1581, de 17 de octubre de 2012, por la cual se dictan disposiciones

generales para la protección de datos personales (Entrada de vigencia plena: 19 de abril
de 2013) Total de artículos: 30

Reglamento Ley General de Protección de Datos Personales de Colombia- Decreto 1377 -

27.06.2013 Total de artículos: 28

Objeto Artículo 1- Desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de
datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se
refiere el artículo 15 de la Constitución Política; así como el derecho a la información
consagrado en el artículo 20 de la misma.
Alcance/Ámbito Artículo 2-
de Aplicación  Datos personales registrados en cualquier base de datos que los haga susceptibles
de tratamiento por entidades de naturaleza pública o privada.
 Se aplicará al tratamiento de datos personales efectuado en territorio colombiano o
cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido
en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y
tratados internacionales.
 No será de aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente
personal o doméstico.

23
Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en
http://privacyconference2012.org/
24
Regula el manejo de la información de carácter financiero, crediticio, comercial, de servicios y la
proveniente de terceros países, contenida en bases de datos administradas por “agencias de información
comercial” -en el caso hondureño, sería el Reglamento para la Autorización y Funcionamiento de las
Centrales de Riesgo Privadas que emitió la CNBS el 11 de junio de 2013.

27
 b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa
nacional, así como la prevención, detección, monitoreo y control, del lavado de
activos y el financiamiento del terrorismo.
c) A las Bases de datos que tengan como fin y contengan información de
inteligencia y contrainteligencia.
d) A las bases de datos y archivos de información periodística y otros contenidos
editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Estructura: Título I - Objeto, Ámbito de Aplicación y Definiciones
Título II - Principios Rectores
Título III- Categorías Especiales de Datos
Título IV- Derechos y Condiciones de Legalidad para el Tratamiento de Datos
Título V- Procedimientos
Título VI Deberes de los Responsables del Tratamiento y Encargados del Tratamiento
Título VII- De Los Mecanismos de Vigilancia Y Sanción:
Capítulo 1- De la Autoridad de Protección de Datos
Capítulo 2- Procedimiento y Sanciones
Capítulo 3- Del Registro Nacional De Bases De Datos
Título VIII- Transferencia de Datos a Terceros Países
Título IX- Otras Disposiciones
Ente Regulador: Delegatura para la Protección de Datos Personales- Superintendencia de Industria y
Comercio
Enlaces de  Superintendencia de Industria y Comercio- http://www.sic.gov.co/es/proteccion-de-
Interés datos-personales
 Centro de Estudios de Derecho, Justicia y Sociedad- http://www.dejusticia.org/
 Observatorio Ciro Angarita Barón - Sobre la protección de datos en Colombia
http://habeasdatacolombia.uniandes.edu.co/

Fuente: Elaboración propia

2. Costa Rica- Ley de Protección de la Persona Frente al

Tratamiento de sus Datos Personales

Costa Rica es el primer país de Centro América con un ordenamiento jurídico dedicado a garantizar
el respeto al derecho a la autodeterminación informativa; es decir, el derecho a la intimidad
personal en el marco de las tecnologías de información.25 Los objetivos de la autodeterminación
informativa pueden resumirse en dos: 1) Convertirse en salvaguarda de la persona frente al
creciente uso de las tecnologías para el tratamiento de datos personales y, 2) Crear posibilidades
reales y efectivas de evitar la construcción de personalidades de cristal, transparentes a cualquier

25
La figura jurídica del derecho a la autodeterminación informativa surge a partir de la sentencia sobre la
Ley de Censos de 1982 del Tribunal Constitucional Federal Alemán. En este fallo se sostiene la importancia
de la protección del individuo frente a la recolección, almacenamiento, utilización y difusión ilimitada de sus
datos personales.

28
uso y abuso, sin el conocimiento ni la voluntad del afectado o sin atender a algún interés general
preponderante.26

En marzo de 2013, entró en vigencia el Reglamento a la Ley de Protección de la Persona Frente al

Tratamiento de sus Datos Personales, el cual vino a especificar que el régimen de protección de los
datos de carácter personal, no aplicará a las bases de datos mantenidas por personas naturales o
jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre
y cuando éstas no sean de cualquier manera comercializadas. En ese sentido, la legislación solo
regula las bases de datos que se comercializan y no aquellas que se encuentran en el ámbito
privado con otros fines.
A. Órgano de Control
En cuanto al alcance del ente regulador, la Agencia de Protección de Datos de los Habitantes
(PRODHAB) accede a las bases de datos automatizadas o manuales, de organismos públicos o
privados, conforme las acciones presentadas por personas que se consideran afectadas o cuando
la misma PRODHAB se tenga evidencia de un mal manejo de datos personales en sistemas de
información.27

Entre las atribuciones más importantes de esta Agencia, está el imponer las sanciones establecidas
en el artículo 28 de la Ley a las personas que infrinjan las normas para la protección de los datos
personales, y dar traslado al Ministerio Público de las que puedan configurar delito. Una falta
gravísima puede acarrear la suspensión para el funcionamiento del fichero de uno a seis meses.

B. Buenas prácticas
 Promueve la autoregulación y gestión de la calidad: Como elemento innovador de la
legislación costarricense es la promoción de la autorregulación por parte de los mismos
responsables de las bases de datos a través de protocolos de actuación, los cuales deben ser
inscritos, así como sus posteriores modificaciones, ante la PRODHAB. De esta manera, los
responsables establecen y normalizan sus políticas, mecanismos de manejo y de seguridad de
los datos, los cuales han de servir de instrumento de gestión interno y control de calidad,
como a la vez, le servirá al regulador al momento de verificar el cumplimiento de la Ley y
demás lineamientos técnicos que emita.

26
La legislación costarricense establece para todas aquellas organismos públicos o privados que recopilen
datos personales, la obligación de informar a las personas titulares de dicho datos (fines, destinatarios,
tratamiento de la información, las consecuencias de no suministrarla, etc.), la obligación de obtener el
consentimiento expreso de la persona titular de los datos o de su representante, y los principios de calidad
de la información para su recolección, almacenamiento o utilización. Véase, artículos 4 al 6- Ley de
Protección de la Persona Frente al Tratamiento de sus Datos Personales.
27
Prodhab tiene la atribución de ordenar de oficio o a petición de parte la supresión, rectificación, adición o
restricción en la circulación de las informaciones contenidas en los archivos o bases de datos cuando estas
contravengan las normas de la ley. Así mismo, debe resolver los reclamos por las infracciones a las normas
sobre protección de los datos personales, dictar las directrices necesarias, que deberán ser publicadas en el
Diario Oficial La Gaceta de Costa Rica.

29
 Sostenibilidad del Ente Regulador: Responsables del tratamiento pagan un canon anual por
un monto de US$200; mientras que por cada venta de los datos personales de personas
individualizables, se paga un canon que oscilará entre los US$0,25 y US$1. En el caso de
contratos globales por número de consultas o de servicios en línea por número de aplicaciones
se establecerá reglamentariamente un canon que no podrá ser superior al 10% del precio
contractual.

 Tipología de datos: a) Datos sensibles, aquellos que revelen el origen racial o étnico, opiniones
políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la
vida y la orientación sexual, entre otros. b) Datos personales de acceso restringido, los que aun
formando parte de registros de acceso al público, no son de acceso irrestricto por ser de
interés solo para su titular o para fines de la Administración Pública; c) Datos personales de
acceso irrestricto, lo contenidos en bases de datos públicas de acceso general. Se excluyen la
dirección exacta de la residencia, la fotografía, los números de teléfono privados; y d) Datos
referentes al comportamiento crediticio, los regulados por las normas del Sistema Financiero
Nacional, que permitan garantizar un grado de riesgo aceptable por parte de las entidades
financieras.

 Estrategia de Comunicación: La Ley dispone que PRODHAB ha de elaborar y ejecutar una

estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos
derivados del manejo.

C. Entrada en Vigencia
A partir de la publicación de la Ley, y desde ese momento se establece un plazo máximo de 6
meses para la conformación e integración de la PRODHAB. Los sujetos obligados tuvieron un año
contado a partir de la creación de la PRODHAB para adecuarse a la nueva legislación. Se dispuso
que el Reglamento se emitiera 6 meses después de la conformación de la PRODHAB.

D. Retos para la privacidad

Por otro lado, una disposición controversial es la figura del “superusuario” que introduce el
Reglamento, el cual no se menciona en la Ley de Protección de la Persona Frente al Tratamiento
de sus Datos Personales. De acuerdo al artículo 45 del Reglamento, la PRODHAB tendrá acceso
irrestricto a todas las bases de datos registradas a través de su condición de superusuario. Con una
clave de acceso remoto que el responsable del tratamiento otorgue al ente gubernamental, la
PRODHAB podrá acceder en cualquier momento, sin notificación alguna. Indudablemente una
disposición tan facultativa, genera un enorme riesgo de seguridad, pues dada las incipientes
capacidades y los limitados controles del regulador, se pueden dar situaciones donde se acceda a
bases de datos con la intención de extraer información sensible de las personas o de empresas
privadas.

30
Entre los principales retos, dado lo novel que es la legislación, es la promoción del derecho en la
ciudadanía, su relevancia y sus mecanismos de defensa; crear una cultura de conciencia entre los
administradores de bases de datos y los titulares de los datos; generar alianzas estratégicas con el
sector público y privado, y materializar una protección efectiva de modo que la misma no sea
meramente formal28.

Tabla 5 Cuadro Resumen Legislación de Costa Rica

Legislación y Datos Generales

Nombre: Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales -Ley No.
8968. (Entrada de vigencia: 05 de setiembre de 2011)- Total de artículos: 34

Reglamentación: Reglamento a la Ley de Protección de la Persona Frente al Tratamiento

de sus Datos Personales. (En vigencia a partir del 05 de marzo de 2013)- Total de
artículos: 90
Objeto Artículo 1.- Objetivo y fin: Garantizar a cualquier persona, independientemente de su
nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación
informativa en relación con su vida o actividad privada y demás derechos de la
personalidad. Defender la libertad e igualdad con respecto al tratamiento automatizado
o manual de los datos correspondientes a la persona o bienes.
Alcance/Ámbito Artículo 2.-Datos personales que figuren en bases de datos automatizadas o manuales,
de Aplicación de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.

El régimen de protección de los datos de carácter personal que se establece en esta ley
no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con
fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean
vendidas o de cualquier otra manera comercializadas
Estructura: Capítulo I -Disposiciones Generales
Capítulo II-Principios y Derechos Básicos para la Protección de Datos Personales
Capítulo III- Transferencia de Datos Personales
Capítulo IV Agencia de Protección de Datos de Los Habitantes (PROHDAB)
Capítulo V Procedimientos
Capítulo VI Cánones
Transitorios
Ente Regulador: Agencia de Protección de Datos de los Habitantes (PRODHAB)- Ministerio de Justicia y
Paz.
Enlaces de  Ministerio de Justicia y Paz- http://www.mjp.go.cr/
Interés  Registro Nacional de Costa Rica- http://www.rnpdigital.com/index.htm
 Sistema Costarricense de Información Jurídica- http://www.pgr.go.cr/Scij/

28
Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en
http://privacyconference2012.org/

31
 3. España- Ley Orgánica de Protección de Datos de Carácter
Personal

Con la entrada en vigor de la Ley Orgánica 15/1999, denominada Ley Orgánica de Protección de
Datos (LOPD), el 14 de enero de 2000, España adopta en su legislación nacional los requisitos
exigidos por la Directiva 95/46/CE de la UE29. En el proceso, se convierte en el referente jurídico e
institucional que ha de ser fuente para América Latina.30

La LOPD, regula el tratamiento de los denominados “Datos de Carácter Personal”, estableciendo

las condiciones en que se debe tratar, recoger y ceder estos tipos de datos. 31 Entre otros asuntos,
informa de los derechos del titular de los datos; define y califica los distintos tipos de datos, la
calidad de los mismos; dicta las normas sobre creación de los ficheros (bases de datos
automatizados o manuales)32 y el carácter obligatorio de declararlos ante la Agencia de Protección
de Datos que corresponda.

Cabe mencionar que sobre el responsable del tratamiento recaen los principales deberes
establecidos por la LOPD. Entre otros debe: a) Inscribir los ficheros ante el Registro General de
Protección de Datos; b) Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y
legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados; c)
Garantizar el cumplimiento de los deberes de secreto y seguridad; d) Informar a los titulares de los
datos personales en la recogida de éstos. Obtener el consentimiento para el tratamiento de los
datos personales; y e) Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento,
acceso, rectificación y cancelación.

La legislación española, incluye principios tales como el de calidad, que obliga a que los datos que
sean tratados han de ser ciertos, verdaderos y no excesivos. Igualmente exige que sean actua-
lizados. De la misma forma, se incluye el principio de pertinencia, el cual obliga a valorar los datos
acorde con el ámbito y la finalidad para los que se obtuvieron. El tratamiento de datos personales
se hace depender del consentimiento inequívoco de la persona titular.

29
Por su parte, el Reglamento de la Ley de Protección de Datos (R.D. 1720/2007), se viene implementando
desde el 19 de abril de 2008.
30
Es oportuno mencionar que España ya había desarrollado en 1992 la Ley Orgánica de Regulación del
Tratamiento Automatizado de Datos (L.O.R.T.A.D.) y en 1993, se crea la Agencia Española de Protección de
Datos (A.E.P.D.). Con la adecuación a la Directiva 95/46/CE, vendría la Ley Orgánica de Protección de Datos
(LOPD)
31
Datos de Carácter Personal son aquellos datos que hacen referencia a una persona física identificada o
identificable tales como su nombres y apellidos, documento de nacional de identificación, dirección, imagen,
voz, huella, etc. (Artículo 3. Definiciones; literal “a”)
32
El término “fichero”, según el literal “c” del artículo 3 de la LOPD, se refiere a “todo conjunto organizado
de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.”

32
EL 19 enero de 2008 entró en vigencia el Reglamento de la LOPD –ocho años después de la
entrada en vigencia de la Ley. El Reglamento dicta el cómo se debe proteger los datos de carácter
personal.

A. Órgano de Control
La Agencia Española de Protección de Datos (AEPD) es el ente que vela por el cumplimiento de la
normativa sobre protección de datos personales, actuando para ello con plena independencia de
las Administraciones Públicas.

Básicamente la AEPD realiza cuatro grandes funciones: 1) Informar sobre el contenido, los
principios y las garantías del derecho fundamental a la protección de datos; 2) Asiste al ciudadano
a ejercitar sus derechos y a los responsables y encargados de tratamientos a cumplir las
obligaciones que establece la LOPD; 3) Tutela al ciudadano en el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos por
los responsables de los ficheros; y 4) Garantiza el derecho a la protección de datos investigando
aquellas actuaciones de los responsables o encargados de ficheros que puedan ser contrarias a los
principios y garantías contenidos en la LOPD. Impone, en su caso, la correspondiente sanción.

En su Memoria 2012 (AGPD, 2013), la AEPD, documenta las tendencias que se dan en España con
respecto al uso de los derechos ARCO (acceso, rectificación, cancelación y oposición), donde las
principales inquietudes de los ciudadanos son conocer qué datos suyos son objeto de
tratamiento y, en mayor medida, conseguir su cancelación. Por sectores de actividad, las
solicitudes de cancelación afectan, principalmente, a los ficheros de solvencia patrimonial y
crédito (312) y a los de las empresas de telecomunicaciones (158). Respecto del derecho de acceso
destacan las relacionadas con los historiales clínicos (126).

En lo referente a la potestad sancionadora, en 2012 se dictaron un total de 896 resoluciones

declarativas de infracción, de las cuales 863 tuvieron como destinatarios a responsables privados
y 33 a Administraciones Públicas. De las 863 resoluciones declarativas de infracción que recayeron
sobre el sector privado, 557 resoluciones culminaron con sanción económica, y 306 concluyeron
en apercibimiento (amonestación)

B. Buenas prácticas
 Cooperación Internacional: La AEPD participa activamente en varios espacios internacionales,
tanto a nivel europeo como iberoamericano33. Esto la ha convertido en un referente en

33
Entre algunos de estos espacios se encuentra el Consejo de Europa, Europol, Eurojust, Grupo de
Telecomunicaciones Berlín, Conferencia Internacional de Autoridades de Protección de Datos y
Privacidad, Conferencia de Autoridades Europeas de Protección de Datos y la Red Iberoamericana de
Protección de Datos.

33
 materia de desarrollo institucional y jurídico34, además que ha liderado iniciativas
internacionales de armonización como la Propuesta Conjunta para la Redacción de Estándares
Internacionales para la protección de la Privacidad35.

 Promoción del Sistema de Gestión de la Seguridad de la Información (SGSI) en las

organizaciones reguladas, basado en los estándares ISO/IEC 27001. Un SGSI es para una
organización el diseño, implantación, mantenimiento de un conjunto de procesos para
gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información minimizando a la
vez los riesgos de seguridad de la información.

 Premios Protección de Datos Personales:

- Premio Protección de Datos Personales de Comunicación: Reconoce los trabajos de
medios y profesionales de la comunicación que promocionan el derecho fundamental
y hayan contribuido a fomentar la concienciación tanto de los ciudadanos como de las
entidades que manejan información personal.
- Premio Protección de Datos Personales de Investigación: Premia trabajos de
investigación, que versen sobre protección de datos personales desde un plano
jurídico, económico, social o técnico, ya sea con un enfoque estrictamente teórico o a
partir de experiencias concretas.

 Proceso de adecuación y cumplimiento de la LOPD por el sector privado:

- Auditoría inicial (diagnóstico): Se determinara el nivel de los datos a proteger, el tipo
de soporte, se crea una lista de medidas preliminares, normativas, técnicas y
organizativas, y se prioriza según los criterios de sanciones, inversión a realizar,
recursos, tiempo
- Adecuación: Implementar las medidas normativas, técnicas y organizativas,
incorporando las medidas de mantenimiento y aportando la documentación asociada
al proyecto.
- Auditoría externa: Para comprobar que realmente funcionan las medidas que hemos
adoptado.
- Mejora continua y mantenimiento: Una vez la empresa se haya adaptado, se realizan
revisiones y mejoras continuas para los cambios y nuevas situaciones que se producen
en el entorno de la empresa.

34
Para conocer las publicaciones y normatividad que ha desarrollado la AGPD, véase:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php
35
Derivado de los trabajos de la 31 Conferencia Internacional de Autoridades de Protección de Datos y
Privacidad celebrada el 5 de noviembre de 2009, se emitió la Declaración de Madrid, que recoge la
aprobación de Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la
Privacidad y de los Datos de Carácter Personal.

34
 C. Retos para la privacidad
Dado el acceso digital por la población, los retos en España están más relacionados a los ciber
riesgos como es el seguimiento de los hábitos de navegación a través de las cookies y el
consentimiento informado que debe haber de los usuarios para su instalación; las quiebras de
seguridad y la obligación de notificarlas; los desafíos para la protección de datos que implica el
cloud computing, con un potencialmente elevado número de actores involucrados y la implicación
frecuente de transferencias internacionales; o los riesgos del reconocimiento facial en los servicios
online con la correspondiente legitimación, son algunos de ellos.

Tabla 6 Cuadro Resumen Ley Orgánica de Protección de Datos (LOPD)

Legislación y Datos Generales

Nombre: Ley: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal. Total de artículos: 49

Reglamento: Real Decreto 1720/2007, de 21 de diciembre de 2013. Total de artículos:

158
Objeto Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y especialmente
de su honor e intimidad personal y familiar.

Alcance/Ámbito Aplicación a los datos de carácter personal registrados en soporte físico, que los haga
de Aplicación susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores público y privado.

 Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter

personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las
actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le
sea de aplicación la legislación española en aplicación de normas de Derecho
internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la
Unión Europea y utilice en el tratamiento de datos medios situados en territorio
español, salvo que tales medios se utilicen únicamente con fines de tránsito.

 El régimen de protección de los datos de carácter personal no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias
clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada. No obstante, en estos supuestos el
responsable del fichero comunicará previamente la existencia del mismo, sus
características generales y su finalidad a la Agencia de Protección de Datos.

 Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su

caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:

35
 a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la
legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los
informes personales de calificación a que se refiere la legislación del régimen
del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de
videocámaras por las Fuerza y Cuerpos de Seguridad, de conformidad con la
legislación sobre la materia.
Estructura: Titulo I. Disposiciones Generales
Título II. Principios de la protección de datos
Título III. Derechos de las personas
Título IV. Disposiciones sectoriales
- CAPITULO I. Ficheros de titularidad pública
- CAPITULO II. Ficheros de titularidad privada
Título V. Movimiento internacional de datos
Título VI. Agencia de protección de datos
Título VII. Infracciones y sanciones
Disposiciones Adicionales
Disposiciones Transitorias

Ente Regulador: Agencia de Protección de Datos (independiente a las Administraciones Públicas

españolas).
Enlaces de  Agencia de Protección de Datos (independiente a las Administraciones Públicas
Interés españolas). https://www.agpd.es/portalwebAGPD/index-ides-idphp.php.
 Universidad Rey Juan Carlos- Protección de Datos
http://www.protecciondedatos.urjc.es/proteccion_de_datos/PD/index/index.php
 Cuida tus Datos- http://www.cuidatusdatos.com/lopd/

4. México- Ley Federal de Protección de Datos Personales en

Posesión de los Particulares

En México, la normativa sobre protección de datos personales parte en el año 2002 con la Ley
Federal de Transparencia y Acceso a la Información Pública. En esta legislación se establecieron
principios en materia de protección de datos aplicables a las bases de datos de las
Administraciones Públicas a nivel federal (artículos 3 y 20 al 26), concebidos como excepción al
acceso a la información pública –esta particularidad es replicada por su homóloga hondureña.

En el 2009, con la reforma constitucional al artículo 73 se establecieron los derechos ARCO y el

derecho a la protección de datos se convierte en un derecho autónomo, separado del derecho a la
intimidad.

En el 2010, se aprobó la Ley Federal de Protección de los Datos Personales en Posesión de los
Particulares (LFPDPPP) que viene a asegurar la protección y privacidad de los datos personales, así
como regular el acceso, rectificación, cancelación y oposición del manejo de los mismos (Derechos

36
ARCO). Con posterioridad se aprobó el Reglamento de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, de 21 de diciembre de 2011.

Tabla 7 Cuadro Resumen Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Legislación y Datos Generales

Nombre: Ley: Ley Federal de Protección de los Datos Personales en Posesión de los Particulares
Total de artículos: 69

Reglamento: Reglamento de la Ley Federal de Protección de Datos Personales en

Posesión de los Particulares. Total de artículos: 144

Objeto Artículo 1.- La presente Ley es de orden público y de observancia general en toda la
República y tiene por objeto la protección de los datos personales en posesión de los
particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado,
a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de
las personas.
Alcance/Ámbito Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o
de Aplicación morales de carácter privado que lleven a cabo el tratamiento de datos personales, con
excepción de:
I. Las sociedades de información crediticia en los supuestos de la Ley para Regular
las Sociedades de Información Crediticia y demás disposiciones aplicables, y
II. II. Las personas que lleven a cabo la recolección y almacenamiento de datos
personales, que sea para uso exclusivamente personal, y sin fines de divulgación
o utilización comercial.
Estructura: Capítulo I - Disposiciones Generales
Capítulo II- De los Principios de Protección de Datos Personales
Capítulo III-De los Derechos de los Titulares de Datos Personales
Capítulo IV-Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y
Oposición
Capítulo VI-De las Autoridades
Sección I - Del Instituto
Sección II-De las Autoridades Reguladoras
Capítulo VII- Del Procedimiento de Protección de Derechos
Capítulo VIII-Del Procedimiento de Verificación
Capítulo IX-Del Procedimiento de Imposición de Sanciones
Capítulo X-De las Infracciones y Sanciones
Capítulo XI- De los Delitos en Materia del Tratamiento Indebido de Datos Personales
Transitorios
Ente Regulador: Instituto Federal de Acceso a la Información y Protección de Datos- Entidad Federal
Enlaces de  Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)-
Interés http://inicio.ifai.org.mx/_catalogs/masterpage/ifai.aspx

37
 A. Órgano de Control
Con la LFPDPPP, el Instituto Federal de Acceso a la Información se le agrega el término “Protección
de Datos”, convirtiéndose de esta manera en el Instituto Federal de Acceso a la Información y
Protección de Datos; manteniendo su acrónimo original “IFAI”. El IFAI en la actualidad se le
considera la autoridad garante a nivel federal y se le dota de facultades informativas, normativas,
de verificación, resolutorias y sancionadoras (imposición de multas).

En relación con las competencias del IFAI para con los datos personales en poder de los
particulares, se determinó que éste tiene poderes de información (brindar apoyo técnico a los
responsables), de prevención, de regulación (interpretar la Ley, establecer guías y políticas en el
tema), de investigación y de resolución (atender denuncias, verificar la protección de derechos
ARCO).

B. Buenas prácticas

 Referencia jurídica e institucional: Siendo que la legislación mexicana en materia de

transparencia y acceso a la información –incluyendo la protección de datos personales en
bases de datos públicas- ha sido fuente inspiradora para Honduras, se recomendaría tomar
algunos elementos claves de la LFPDPPP para ser incluida en la ley hondureña.

 Desarrollo normativo: El IFAI, al ser un ente federal conoce de la diversidad de normativa,

interacciones y regulaciones que se realizan a nivel estatal.

 Aviso de privacidad: El desarrollo de la regulación del aviso de privacidad genera confianza en

los usuarios de servicios públicos como los consumidores.

C. Retos para la privacidad

Uno de los más importantes se relaciona con el aspecto cultural y de promoción de la legislación.
El IFAI realizó una encuesta en el 2012, donde se evidenció el poco conocimiento de la Ley. Sólo el
25% de los entrevistados ha escuchado hablar de la Ley Federal de Protección de Datos Personales
en Posesión de los Particulares. Entre los jóvenes el desconocimiento es mayor. El medio más
común por el cual los entrevistados se enteraron de la existencia de la Ley fue la televisión,
seguido de la radio e internet.

Casi el 70 % de los entrevistados, no le incomodaba o le incomoda poco que se divulguen los datos
relativos a sus enfermedades, a los medicamentos que toma, a sus creencias religiosas, a su origen
racial o étnico. No obstante, los datos personales más mencionados y que más preocupa que se
divulguen fueron: el nombre, la dirección y teléfono. Además de esos datos, los ingresos y el
número de cuenta bancaria son los que más preocupación generan de ser divulgados.

38
Finalmente, dentro del sector privado, los bancos se posicionaron como los que mayor cantidad de
datos solicitan; en el gobierno, las instituciones de salud y el Instituto Federal de Electoral ocupan
los primeros lugares en requerimiento de información.

5. Uruguay- Ley 18.331 de Protección de Datos Personales y

Acción de Habeas Data

El régimen de Protección de Datos Personales fue establecido en Uruguay por la Ley Nº 18.331 de
Protección de Datos Personales y Acción de “Habeas Data” de 11 de Agosto de 2008. Dicha
legislación indica en su artículo 1 que "el derecho a la protección de datos personales es inherente
a la persona humana".

La autoridad de control, es la Unidad Reguladora y de Control de Datos Personales (URCDP), la

cual es un órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) de Uruguay.36 Además de
estar dirigida por un Consejo, compuesto por un Director Ejecutivo y dos miembros nombrados
por el Poder Ejecutivo, la URCDP, también contempla el asesoramiento a través de un Consejo
Consultivo integrado por cinco miembros, a saber: a) especialista en derechos humanos,
nombrado por el Poder Legislativo (no puede ser un legislador en actividad); un representante del
Poder Judicial; un representante del Ministerio Público; un representante del área académica

Uruguay ha sido reconocido como país adecuado en materia de datos personales por la Unión
Europea, y también ha sido el primer país en América Latina en ser invitado a adherir al Convenio
108 del Consejo de Europa.

Por otro lado, algunas de las legislaciones latinoamericanas como la uruguaya, contemplan el
mecanismo de habeas data, como una acción judicial. Es esta línea que tomará la legislación
hondureña en la búsqueda de un equilibrio entre lo que ya establece la Constitución Política de
1982 y la propuesta de definir al IAIP como la instancia administrativa que asegurara el respeto del
derecho a la protección de datos personales.

36
La AGESIC es un organismo que depende de la Presidencia del Uruguay y dentro de sus actividades torales
se encuentran la de definir y difundir la normativa informática; desarrollar proyectos en Tecnologías de la
Información y las Comunicaciones; asesorar en materia informática a las instituciones públicas del Estado, y
capacitar y difundir en materia de Gobierno Electrónico, apoyando a la transformación y transparencia del
Estado.

39
VI. Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña
COLOMBIA
 El Responsable del
Tratamiento deberá
conservar prueba de la
solicitud y consentimiento,
entregarle copia al Titular.
 Dedica un Título entero a
los deberes del
Responsable del
Tratamiento y del
Encargado del
Tratamiento
COSTA RICA ESPAÑA
 Implementar y registrar  Derecho frente a la
“Protocoles de Actuación” recolección.
(caso hondureño se  Consejo Consultivo que
llaman: Manual de asesora a la Agencia de
políticas y Protección de Datos.
procedimientos).  Datos relativos a bases de
 Contempla propuesta de datos con fines de
comunicación para la publicidad
promoción del derecho  Datos relativos a la
 Cánones para registro de actividad comercial o
Base de Datos crediticia.
 Desarrollo de
disposiciones sobre
Transferencia de datos
personales
MÉXICO URUGUAY
 Durante recolección los  Legislación y regulación
cuestionarios deben esta adecuada con la de la
incluir un aviso de UE
privacidad con las  Derecho frente a la
advertencias sobre el recolección
tratamiento de datos  Disposiciones sobre las
 Detalla los elementos responsabilidades en el
mínimos que de la Tratamiento Datos
solicitud de acceso relativos a las
 Denegación justificada al telecomunicaciones
acceso, rectificación,  Datos relativos a bases de
eliminación u oposición. datos con fines de
publicidad
 Datos relativos a la
actividad comercial o
crediticia
VII. Conclusiones y Recomendaciones
1. La necesidad de una Ley de Protección de Datos Personales y Hábeas Data
- A pesar que la intimidad está garantizada en la Constitución, esta provisión no se
encuentra desarrollada en una ley especifica que regule la protección de datos personales.
- Honduras es un Estado Miembro de las Naciones Unidas y OEA; Declaración Universal de
Derechos Humanos, Pacto Internacional de Derechos Civiles y Políticos y la Convención
Americana de Derechos Humanos
- LTAIP, si bien no es una ley de protección de datos personales, per se, si regula esta
materia en cuanto que el acceso a la información tiene que garantizar los datos personales
de las personas (art. 24 y 25).

2. Fundamentos constitucionales para una Ley de Protección de Datos Personales y Hábeas

Data
- Artículo 59. La persona humana es el fin supremo de la sociedad y del Estado. Todos
tienen la obligación de respetarla y protegerla.
- Artículo 68. Toda persona tiene derecho a que se respete su integridad física, síquica y
moral.
- Artículo 76. Se garantiza el derecho al honor, a la intimidad personal, familiar y a la propia
imagen.
- Artículo 182; numeral 2: Hábeas Data como Garantía Constitucional

3. Reformas legales a considerar

- Reforma Constitución de la República. Indicar que el Hábeas Data se regulará mediante
una Ley, y que la Sala de lo Constitucional no tendrá que conocer de la garantía del Hábeas
Data, debido a la carga que puede generar a la CSJ, la mora judicial que puede producir y
el costo al Titular. En el caso del sector público, será lo contencioso administrativo. A nivel
del sector privado, el juzgado de lo civil competente.
- Reforma a la Ley sobre la Justicia Constitucional: Implicaría derogar el hábeas data del
ámbito de la justicia constitucional y trasladarlo a un juzgado de menor rango.
- Reforma a LTAIP: Reconocer nuevas atribuciones del IAIP, como autoridad responsable de
la protección de datos a entidades privadas. Implicará modificar el nombre a Instituto de
Acceso a la Información Pública y Protección de Datos Personales (IAIPP).

4. Buena gobernanza en la Protección de Datos

Promoción del
Derecho

Capacidad
Empoderamiento
técnica y
ciudadano
regulatoria

Sector
Público

Personas Sector
/Titulares Privado
Certificación de
Capacitación
Bases de Datos

Atención a los
Titulares
5. Claves de la Protección de Datos

Consentimiento
Principios Derechos

Seguridad Deberes Información Excepciones

6. Elementos torales de una Ley de Protección de Datos y Hábeas Data

a) Objeto: La protección de los datos personales en posesión de los particulares, con la
finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de
garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
b) Los responsables en el tratamiento de datos personales, deben observar, entre algunos
principios, el de legalidad, consentimiento, información, calidad, finalidad, lealtad,
proporcionalidad y responsabilidad.
c) Tratándose de datos personales sensibles (aspectos como origen racial o étnico, estado de
salud presente o futuro, información genética, creencias religiosas, filosóficas y morales,
afiliación sindical, opiniones políticas, preferencia sexual), el responsable deberá obtener
el consentimiento expreso y por escrito del titular para su tratamiento.
d) Establecer como obligación de los responsables en el tratamiento de datos personales, de
informar a los titulares de los datos, la información que se recaba de ellos y con qué fines,
a través del aviso de privacidad37.
e) Disponer que el titular de datos o su representante legal podrán solicitar al responsable de
datos personales, el acceso, rectificación, cancelación u oposición respecto de los datos
personales que le conciernen.
f) Establecer al Instituto de Acceso a la Información Pública, tendrá por objeto difundir el
conocimiento del derecho a la
g) Establecer obligaciones a las empresas que cuenten con bases de datos que recaban
información de datos personales de: Clientes, Proveedores, Empleados, etc. para que
adopten medidas que garanticen que los datos personales estarán adecuadamente
resguardados y que no se le dará uso distinto al autorizado por el dueño.

37
El aviso de privacidad ha de ser un documento físico, electrónico o en cualquier otro formato generado
por el Responsable del Tratamiento y puesto a disposición del titular, previo al tratamiento de sus datos
personales.

42
Bibliografía

AGPD (2011) El derecho fundamental a la protección de datos: Guia para el Ciudadano.

Consultada en https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-
ides-idphp.php (julio de 2013)

AGPD (2013) Memoria AEPD 2012

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/memori
as/memoria2012/MEMORIA_2012_web.PDF

Bauzá Reilly, M. () El actual Derecho a la Protección de Datos en América y Europa

Chirino, A., (2012) La Ley de Protección de Datos de Costa Rica. Luces en las sombras. Revista
Internacional de Protección de Datos Personales. No. 1 Julio - Diciembre de 2012. Facultad de
Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en
http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/3_Alfredo-Chirino_FINAL1.pdf
(julio, 2013)

García, A (2012) La Influencia Europea en Materia de Datos Personales. Una Visión Teórico-
Constitucional y Jurisprudencial. Revista Jurídica. Universidad Latina de América. Consultado en
http://www.unla.mx/iusunla36/opinion/La%20Influencia%20Europea%20en%20Materia%20de%2
0Datos%20Personales.htm (julio de 2013)

González Padilla, R. (2012) Protección de Datos Personales en Posesión de Particulares. Instituto

de Investigaciones Científicas. Universidad Nacional Autónoma de México. Revista de Derecho
Comparado, Año 2012; No. 20. México, D.F. Consultado en
http://biblio.juridicas.unam.mx/revista/pdf/DerechoInformacion/20/art/art1.pdf (julio de 2013)

IFAI (2004) Estudio sobre Sistemas de Datos Personales. Consultado en

http://inicio.ifai.org.mx/DocumentosdeInteres/sist_datos.pdf (agosto de 2013)

IFAI (2012) Encuesta Nacional sobre Protección de Datos Personales a Sujetos Regulados por la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y Población
en General. Secretaría de Protección de Datos Personales. Instituto Federal de Acceso a la
Información Pública y Protección de Datos. Consultada en
http://inicio.ifai.org.mx/EncuestaNacionaldeProtecciondeDatosPersonales2012/01ReportePoblaci
on.pdf (octubre de 2013)

INFODF (2011) Retos de la Protección de Datos Personales en el Sector Público. Consultado en

http://www.infodf.org.mx/web/comsoc/campana/2012/LIbrodatosPweb.pdf (agosto de 2013)

OEA (2007) “Derecho de la Información: Acceso y Protección de la Información y Datos Personales

en Formato Electrónico.” 70º PERÍODO ORDINARIO DE SESIONES OEA San Salvador, El Salvador.

OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de Datos (La Protección
de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514. Recuperado en
http://www.oas.org/dil/esp/proteccion_de_datos_principios_preliminares.htm (julio, 2013)

ONU (1997) Convenio 108 del Consejo de Europa para la Protección de Los Datos Personales con
Respecto al Tratamiento Automatizado de Datos de Carácter Personal, consultado en
http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm. Protocolo Adicional del 08 de
noviembre de 2001, consultado en http://habeasdatacolombia.uniandes.edu.co/wp-
content/uploads/Protocolo-adicional-al-Convenio-108-2001.pdf

43
RIPD (2007) Directrices para la Armonización de la Protección de Datos en la Comunidad
Iberoamericana. Consultado en http://inicio.ifai.org.mx/Estudios/Directrices_de_armonizacion.pdf
(julio de 2013)

Remolina Angarita, N. (2012) Aproximación constitucional de la protección de datos personales en

Latinoamérica. Revista Internacional de Protección de Datos Personales. No. 1 Julio - Diciembre de
2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en
http://habeasdatacolombia.uniandes.edu.co/?page_id=718 (junio de 2013)

Rodatá, S. (2005) Democracia y protección de datos. Consultado en

http://revistasonline.inap.es/index.php?journal=CDP&page=article&op=viewFile&path%5B%5D=6
90&path%5B%5D=745 (junio de 20013)

Rodriguez, A. (2012) El reto de Costa Rica frente a la Institucionalización de la Agencia de

Protección de Datos de los Habitantes (PRODHAB) con fundamento legal en la Ley N° 8968. Revista
Electrónica de la Facultad de Derecho “Derecho En Sociedad”, No.3; Julio de 2012, Universidad
Latinoamericana de Ciencia y Tecnología, San José, Costa Rica. Consultado en
http://www.ulacit.ac.cr/files/revista/articulos/esp/resumen/62_f4.pdf (julio de 2013).

UE (95) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, consultado en
http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm

Upegui Mejía, J., (2007) Diez ideas para un régimen de datos personales en clave latinoamericana.
Universidad Nacional Autónoma de México. Instituto de Investigaciones Jurídicas. Revista de
Derecho Comparado de la Información; Año 2007 Número 10, Julio-Diciembre. México.
Consultado en http://www.juridicas.unam.mx/publica/rev/decoin/cont/10/art/art6.htm (julio de
2013)

Zamudio Salinas, A., (2012) El Marco Normativo Latinoamericano y la Ley de Protección de Datos
Personales del Perú. Revista Internacional de Protección de Datos Personales. No. 1 Julio -
Diciembre de 2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado
en http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/ok3_Ma.-de-Lourdes-
Zamudio_FINAL.pdf (julio de 2013)

44