Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Consultoría:
Elaboración del
Anteproyecto de Ley
del Hábeas Data en
Honduras
Acrónimos................................................................................................................................................................................. 2
Resumen Ejecutivo ............................................................................................................................................................... 3
I. Introducción .................................................................................................................................................................. 7
II. Metodología ................................................................................................................................................................... 8
III. El Derecho Fundamental a la Protección de Datos Personales ..................................................... 9
1. Los Principios Armonizados de Protección de Datos Personales ..............................................11
2. Del Derecho a la Intimidad al Derecho a la Protección de Datos Personales .......................12
3. Hábeas Data y el Derecho de Protección de Datos Personales ....................................................14
4. La Importancia de una Ley de Protección de Datos Personales en Honduras ....................16
4.1. El Estado como garante de Derechos y Libertades ..................................................................16
4.2. Protección de datos mejora la competitividad y brinda seguridad a consumidores
e inversionistas ..........................................................................................................................................................17
IV. Desarrollo Internacional del Derecho a la Protección de Datos Personales.........................18
1. El Derecho Internacional de los Derechos Humanos ........................................................................19
2. Europa: El Epicentro del Derecho a la Protección de Datos Personales .................................20
3. El Derecho a la Protección de Datos Personales desde la óptica de la Organización de
los Estados Americanos ..............................................................................................................................................22
V. Análisis de Legislaciones y Prácticas Iberoamericanas ........................................................................23
1. Colombia- Ley General de Protección de Datos Personales ..........................................................25
2. Costa Rica- Ley de Protección de la Persona Frente al Tratamiento de sus Datos
Personales .........................................................................................................................................................................28
3. España- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. .............................................................................................................................................................................32
4. México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares
36
5. Uruguay- Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data........39
VI. Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña ..............40
VII. Conclusiones y Recomendaciones ..............................................................................................................41
Bibliografía .............................................................................................................................................................................43
1
Acrónimos
2
Resumen Ejecutivo
El nombre y los apellidos, la fecha de nacimiento, la edad, el sexo, la dirección postal o de correo
electrónico, el número de teléfono, el número de identidad, la matrícula del carro y muchos otros
datos que se usan a diario constituyen información valiosa que permite identificar a las personas,
ya sea directa o indirectamente. Dónde residen, qué bienes adquieren, dónde los compra, cuál es
su historial clínico, los préstamos que obtiene y su perfil en una red social son información que
dicen todo sobre las personas. En ese sentido, los datos personales en la era de la información son
sumamente importantes, pues describe a las personas, sus preferencias, capacidades y
habilidades.
Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como
privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el
consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez
recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o
uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de
inseguridad ciudadana. Por otro lado, las personas desconocen sus derechos al acceso a sus
propios datos personales, a la rectificación de cualquier dato erróneo o desactualizado, a la
eliminación y menos aún al derecho de oposición que pueden ejercitar al enterrarse que sus datos
personales fueron recolectados sin su consentimiento informado.
3
toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos
personales.
El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el
acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así
como también de la posibilidad de actualizar, rectificar, eliminar u oponerse. De esta manera, la
protección de datos, establece normas sobre las modalidades de tratamiento de datos personales,
se concreta en poderes de intervención: la tutela es dinámica, y sigue a los datos durante su
circulación. Los poderes de control e intervención, además, no pertenecen sólo a las personas
directamente interesadas, sino que son confiados a una autoridad garante e independiente.
Los primeros esbozos y aproximaciones del derecho a la protección de datos personales devienen
del reconocimiento del derecho fundamental a la vida privada y familiar - “derecho a ser dejado
solo”. Con la Carta de los Derechos Fundamentales de la Unión Europea del 2000, se da un
importante viraje al concebir la protección de datos personales como un derecho fundamental,
autónomo e independiente del derecho a la vida privada y familiar.
Dicha autonomía tiene diversas consecuencias, por ejemplo, una infracción del derecho de pro-
tección de datos puede afectar otros derechos y libertades diferentes a la privacidad como, entre
otros, el buen nombre, el debido proceso, el honor, el trabajo. Asimismo, la protección de datos
personales se amplía a cualquier naturaleza de información sobre la persona (privada, sensible,
semiprivada y pública), lo cual implica que toda clase de dato personal debe ser tratado
debidamente.
ANALISIS COMPARATIVO
La protección de datos personales cuenta con regulaciones específicas en diversas partes del
mundo que han obedecido a diferentes motivaciones acordes con la realidad socio-económica,
política y jurídica de cada país o región. Es posible identificar modelos de regulación basados en
distintos enfoques y perspectivas, ya sea enfatizando el derecho a la protección de datos como
un derecho fundamental o protegiendo los derechos de los consumidores.
De los cincos países analizados (Colombia, Costa Rica, España, México y Uruguay), la Ley Orgánica
de Datos de Carácter Personales de España es la que más vigencia tiene (14 de enero de 2000) y
ha servido de fuente de derecho y de desarrollo institucional para los países latinoamericanos. La
de México, es la que más se asemeja al diseño institucional actual, donde el ente regulador del
acceso a la información ha de jugar un rol protagónico en la protección de datos. Por otro lado, la
legislación costarricense presenta elementos innovadores en torno a la búsqueda de
sostenibilidad financiera del órgano de control, la Agencia de Protección de Datos de los
Habitantes de Costa Rica.
4
Todas las legislaciones analizadas comparten en cierta medida similares objetivos, ámbitos de
aplicación, principios y derechos garantizados, pues responden al espíritu garantista de la tradición
de Europa Continental. La gran diferencia recae en la figura de la autoridad u órgano de control
que difiere en nombre, diseño institucional, localización dentro del aparato administrativo del
Estado y en las competencias o facultades que el legislador le ha otorgado.
Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que
intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada
responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han
encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad
de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten
que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial.
En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja
la garantía de hábeas data.
CONCLUSIONES
La regulación sobre la protección de datos personales que está desarrollándose en América Latina,
responde a varias razones: una, y probablemente la más efectiva, es la que impone la globalización
económica, en virtud de la cual resulta imprescindible buscar un equilibro entre los intereses
económicos -que cada vez más exigen mayores transferencias internacionales de datos, a la par
que un tratamiento adecuado de ellos, pues su protección constituye un derecho fundamental de
la persona- para que el desarrollo del comercio internacional sea compatible con una adecuada
protección de la privacidad en lo que respecta a los datos personales.
5
e) El procedimiento concluye después de las argumentaciones y pruebas que presente el
Responsable del Tratamiento y el IAIP dictará una resolución, bien sea a favor o en contra
del Titular reclamante.
f) Se le concederá a quien resulte responsable de la infracción, un plazo perentorio para
satisfacer la petición del Titular y en su caso, la falta de cumplimiento podría ocasionar la
imposición de multas severas en su contra.
Como reflexión final en general en América Latina, hace falta una nueva cultura y más educación;
en este sentido no sólo es suficiente la aprobación de un marco normativo específico, se
considera necesario incidir en el marco regulatorio de la educación de cada país, e incluir este
derecho en la currícula, en los planes y programas de estudio.
6
I. Introducción
En Honduras, durante los últimos 30 años se ha visto todo un desarrollo institucional y jurídico en
torno a los derechos humanos que ha permitido avanzar en materia constitucional y así regular la
intromisión discrecional del Estado en las libertades civiles y políticas de los ciudadanos. Sin
embargo, aún no existe un control claro y específico respecto a la vida privada de las personas y su
interacción con las tecnologías de la información, y las nuevas formas de relacionamiento que esto
conlleva tanto en el sector público como el privado.
Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como
privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el
consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez
recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o
uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de
inseguridad ciudadana.
En general, los titulares desconocen sus derechos al acceso a sus propios datos personales, a la
rectificación de cualquier dato erróneo o desactualizado, a la eliminación y menos aún al derecho
de oposición que pueden ejercitar al enterrarse que sus datos personales fueron recolectados sin
su consentimiento informado.
7
Ante una garantía constitucional de hábeas data que actúa de manera reactiva –una vez que la
violación se ha consumido- y el vacío legislativo e institucional en términos de prevención de
posibles violaciones contra la intimidad de las personas a través de sus datos personales. Ante los
riesgos, ya no latentes, pero reales en términos de recolección, uso y transferencia de datos sin
consentimiento y sin adecuadas garantías de seguridad del sector público y privado. Sumado al
desconocimiento generalizado que existe por la población de sus derechos y de las obligaciones
que deben cumplir las entidades que realizan un tratamiento de datos personales; hoy por hoy,
una ley de protección de datos y hábeas data es una necesidad para Honduras, si realmente
pretende ser un Estado de Derecho y un país competitivo en términos económicos.
El presente trabajo tiene cuatro grandes objetivos. El primero, busca introducir el tema de la
protección de datos personales en el rol que tiene el Estado como garante de derechos
fundamentales -“la persona humana es el fin supremo de la sociedad y del Estado”. Para tal fin, se
presentaran algunos riesgos de la falta de protección de datos personales por el Estado y los
abusos que se pueden cometer por el mismo sector público como empresas mercantiles.
Como tercer objetivo, se brindará un análisis comparativo de cinco países iberoamericanos que
tienen legislación sobre protección de datos personales o hábeas data, a saber: Colombia, Costa
Rica, España, México y Uruguay. Se enfatizará en la estructura de las leyes, los derechos y
obligaciones, el ente regulador y algunas buenas prácticas que han de ser consideradas para el
contexto hondureño.
II. Metodología
Al ser un estudio aproximativo, pues en Honduras no se había realizado una investigación
relacionada con el estado de la protección de datos, el trabajo se basó en dos actividades
primordiales: 1) Revisión documental (fuentes secundarias), y 2) Entrevistas a profundidad
(fuentes primarias). El cuadro abajo presentado, enlista las fuentes y personas entrevistas.
8
Tabla 1 Fuentes Consultadas- Análisis Comparativo de Legislaciones Sobre Protección de Datos Personales
y Hábeas Data
9
Según la Agencia Española de Protección de Datos (2011), el derecho fundamental a la protección
de datos “es la capacidad que tiene el ciudadano o la ciudadana para disponer y decidir sobre
todas las informaciones que se refieran a él o a ella.” Este derecho se traduce en el poder de
disposición y control que faculta al titular de sus datos personales a decidir cuáles de sus datos
proporciona a un tercero. Es decir, es el derecho que tiene toda persona a conocer y decidir,
quién, cómo y de qué manera recaba y utiliza sus datos personales. Este nuevo derecho implica la
libertad que tiene toda persona para elegir qué desea comunicar, cuándo y a quién, manteniendo
el control personal sobre la propia información.1
El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el
acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así
como también de la posibilidad de actualizar, rectificar, eliminar u oponerse.2
De esta manera, la protección de datos, establece normas sobre las modalidades de tratamiento
de datos personales, se concreta en poderes de intervención: la tutela es dinámica, y sigue a los
datos durante su circulación (Rodatá, S., 2005). Los poderes de control e intervención, además, no
pertenecen sólo a las personas directamente interesadas, sino que son confiados a una autoridad
garante e independiente.
1
Para mayor información sobre el carácter fundamental y autónomo, ver sentencia 292/2000 del Tribunal
Constitucional Español, disponible en el sitio oficial de Internet del Tribunal Constitucional de España en el
vínculo: http://www.tribunalconstitucional.es/es/jurisprudencia/Paginas/Sentencia.aspx?cod=7467
2
En el contexto normativo mexicano, estas cuatro acciones o dimensiones del derecho fundamental a la
protección de datos personales, se les conoce como Derechos ARCO (acceso, rectificación, cancelación y
oposición). En el caso, hondureño, la garantía constitucional del hábeas data utiliza el término “eliminación”
en vez de cancelación de datos personales, por ende cualquier instrumento jurídico que se desarrolle tendrá
que estar en armonía con la disposición constitucional.
10
1. Los Principios Armonizados de Protección de Datos
Personales
De acuerdo con los “Estándares Internacionales sobre Protección de Datos Personales y Privacidad.
Resolución de Madrid de 2009”,3 los principios que configuran el derecho a la protección de datos
personales son los siguientes:
3
La Resolución de Madrid de 2009 es el intento más reciente que se ha hecho para desarrollar estándares
internacionales para la protección de la privacidad, en relación con el tratamiento de datos de carácter
personal. Estos estándares fueron acogidos en la 31 Conferencia Internacional de Autoridades de Protección
de Datos y Privacidad. Para mayor información, véase: http://www.privacyconference2009.org/home/index-
ides-idweb.html
4
En términos jurídicos la persona responsable del tratamiento se le conocer como “Responsable del
Tratamiento”. Se considera Responsable del Tratamiento la persona natural o jurídica, pública o privada,
que por sí misma o en conjunto con otros, decida sobre la base de datos y/o el tratamiento de los datos.
11
f) Principio del consentimiento: dado que el derecho a la protección de datos consiste en el
poder de decisión y control que goza la persona sobre el tratamiento de sus datos de
carácter personal, el consentimiento se sitúa como la manifestación de este poder
decisorio y pos consecuencia como causa principal legitimadora del tratamiento de los
datos personales. Este consentimiento debe caracterizarse por ser previo, libre,
inequívoco, informado y por último, puede ser revocado por el titular o su representante
en cualquier momento, no pudiendo exigirse para esa revocación más requisitos que los
que fueron necesarios para la previa prestación del consentimiento.
g) Principio de responsabilidad: la persona responsable deberá adoptar las medidas
necesarias para cumplir con los principios y obligaciones establecidos en la legislación
nacional aplicable.
Como todo derecho tiene límites, en este caso, se define la seguridad del Estado, la prevención y
persecución de los delitos serían objetivos que no podrían limitarse con el argumento de proteger
los datos personales. No obstante, tales excepciones deberán ser contrastadas por principios tales
como el de justicia, razonabilidad y transparencia administrativa, a los que habría que agregar el
de proporcionalidad.
Antes del año 2000, el derecho de protección de datos personales desarrollado, especialmente
aquel proveniente de Europa, se centró en establecer los requisitos que deben observarse en el
tratamiento de los datos personales desde el prisma del derecho de la intimidad.5 Con la Carta de
los Derechos Fundamentales de la Unión Europea del 2000, se da un importante viraje al concebir
la protección de datos personales como un derecho fundamental, autónomo e independiente del
derecho a la vida privada y familiar.
Para poder comprender las diferencias que existen entre el derecho de protección de datos y el
derecho a la intimidad, en palabras de Eduardo Gallardo (2009), el derecho de la protección de
datos personales “confiere a su titular poderes de disposición y control sobre los propios datos
5
Ejemplo de esto queda evidenciado en lo que establece el Consejo de Europa en 1981 a través del artículo
1 del Convenio 108 donde menciona que la finalidad del convenio esa garantizar a las personas naturales “el
respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con
respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona
(protección de datos).
12
personales”, mientras que el derecho a la intimidad “atribuye al individuo la facultad de reserva
sobre los ámbitos, datos o informaciones íntimas, que es así mismo una forma de ejercitar la
capacidad de disposición sobre la propia información”.6
En todo caso, la autonomía del derecho de protección de datos personales tiene diversas con-
secuencias entre las cuales se destacan las siguientes:
1. Aunque el derecho a la intimidad y el derecho a la protección de datos personales pueden
verse involucrados en una misma situación, no toda lesión del derecho a la intimidad
implica una afectación al derecho de protección de los datos personales, ni viceversa. En
algunas circunstancias, por ejemplo, una infracción del derecho de protección de datos
también puede afectar otros derechos y libertades de la persona diferentes a la privacidad
como, entre otros, el buen nombre, el debido proceso, el honor, el trabajo.
PRIMERA GENERACIÓN
1970-2000
SEGUNDA GENERACIÓN
-Ligado fuertemente al Derecho a la Intimidad; el
poder se limita a la exclusión de interferencias ajenas 2000 - presente
-Influenciado por el derecho a la vida privada y - Derecho a la Intimidad no es la máxima; Derecho a la
familiar protección de datos como derecho “autónomo”
-Referentes: Resolución 45/95 -ONU; Directiva
95/46/CE- Consejo de Europa, OECD -No necesariamente al violentar el derecho a la
protección de datos personales, se transgrede el
derecho a la intimidad, y viceversa. Por ejemplo: el
buen nombre, el debido proceso, el honor, el trabajo
6
Se puede conceptuar el derecho a la intimidad como "la respuesta jurídica al interés de cada persona de
lograr un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, ni injerencia de los demás, aquello
que constituye su vida privada, es decir la exigencia existencial de vivir libre de un indebido control, vigilancia
o espionaje".
13
3. Hábeas Data y el Derecho de Protección de Datos Personales
El hábeas data es un mecanismo que otorga a la persona la facultad de detener el abuso de sus
datos personales, sólo en el caso que se comprometa o infrinja su privacidad.7 Por otro lado, el
hábeas data no exige que las entidades públicas y privadas protejan por su iniciativa los datos
personales que procesan, sino que sólo requiere que la persona agraviada, tras presentar una
denuncia ante la justicia, obtenga acceso y la capacidad de rectificar todo dato personal que pueda
atentar contra su derecho a la privacidad.
Asimismo, este mecanismo puede no otorgar un recurso legal a una persona agraviada si sus datos
personales han sido transferidos fuera del país. En consecuencia, la protección o garantía del
hábeas data, para organismos como la OEA (2011), es más limitada que el enfoque garantista
europeo.
Se debe tener muy en mente que el hábeas data no es, entonces, sino una garantía o
mecanismo jurídico procesal que permite la defensa, la realización de derechos funda-
mentales, en este caso, el derecho a la intimidad, a la autodeterminación informativa contra
el uso indebido por parte de terceras personas. 8
Esta garantía es conocida por la Sala de lo Constitucional de la Corte Suprema de Justicia, según los
términos y procedimientos establecidos en la Ley Sobre Justicia Constitucional (Decreto Legislativo
No. 244-2003), estableciendo en su artículo 40 que el “recurso de Hábeas Data será interpuesto
ante la Sala de lo Constitucional de la Corte Suprema de Justicia cuando se haya agotado el trámite
administrativo correspondiente.”
Las interrogantes que surgen a partir de dicha disposición, es sí existe actualmente un trámite
administrativo específico y ante qué instancia se debe iniciar dicha tramite: ¿ante la persona
natural o jurídica responsable del tratamiento de los datos personales? o es, ¿ante la instancia
estatal que ha de atender las solicitudes de protección de datos personales?
7
Literalmente, hábeas data significa: “debes tener los datos”.
8
En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de hábeas
data. Según un estudio realizado por la OEA (2007), el principio surgió en respuesta al impacto negativo que
emanó del uso de las computadoras sobre los derechos a la privacidad. La Constitución Brasileña de 1988
fue la primera a utilizar la expresión hábeas data. Para mayor información, véase: Comité Jurídico
Interamericano de la OEA (2007) “Derecho de la Información: Acceso y Protección de la Información y Datos
Personales en Formato Electrónico.” 70º Período Ordinario de Sesiones. San Salvador, El Salvador.
9
Reformado mediante Decreto Legislativo 237-2012, publicado en el Diario Oficial La Gaceta el 23 de enero
de 2013.
14
Una regulación normativa del derecho a la autodeterminación informativa, en términos
constitucionales, no puede quedar constreñida a garantizar el acceso a la jurisdicción, aun si
resulta indispensable para atender a los estándares internacionales en la materia, así como
ofrecer medios para garantizar que el procesamiento de datos personales sigue una serie de
lineamientos de calidad y de control contra los abusos y el ejercicio abusivo de prerrogativas
de vigilancia y perfilado de las personas en la sociedad moderna (OEA, 2007).
Es por lo anterior que las denominadas “leyes de protección de datos personales de tercera
generación” se orientan en el modelo institucional, donde, por medio de un órgano creado al
efecto, se vela constantemente por tomar directrices y políticas que garanticen las
condiciones de este tipo de tratamiento de datos en forma coherente con las expectativas de
protección en el actual ambiente de desarrollo de la sociedad.
Ilustración 2 Las diferencias entre el Hábeas Data y el Derecho de Protección de Datos Personales
15
4. La Importancia de una Ley de Protección de Datos
Personales en Honduras
Hoy día, prácticamente para cualquier actividad se requiere brindar información personal. Se
facilitan datos personales cuando se abre una cuenta bancaria o al realizar un trámite
administrativo ante una dependencia gubernamental, cuando se gestiona un crédito comercial,
cuando se participa en un censo poblacional o cuando se navega por Internet. Con esta
información se logra desarrollar la vida cotidiana; se adquieren bienes y servicios, se obtienen
créditos, se reciben servicios de salud y de educación.
Hoy, la empresa privada así como órganos y entes públicos han instalado una estructura
informática capaz de procesar y tener acceso a información confidencial de vital importancia para
la intimidad personal y familiar, sin que exista un mecanismo claro que los proteja contra una
posible manipulación de los datos personales que lesionen sus derechos.
De tal manera, que el acceso ilegítimo a los datos personales afecta el derecho a la intimidad de
todos y todas. Personas no autorizadas pueden utilizar o apropiarse de datos de sensibles,
imágenes, y hasta de cuentas bancarias, ocasionando graves daños que abarcan múltiples facetas
de la vida, tales como la reputación, la honra, la integridad física y financiera.
Así, para prevenir y abatir, en la medida de lo posible, los riesgos asociados al desarrollo de las
tecnologías de la información y a fin de salvaguardar y respetar las libertades y derechos de los
usuarios, los actores involucrados -estados, gobiernos, instituciones educativas, académicos,
industria, sociedad civil organizada y sociedad en general- deberán adoptar y consensar medidas
preventivas y proactivas en materia de prevención, educación, legislación y ética profesional.
Lo anterior, suena sencillo pero es un desafío complejo que involucra el consenso de todos los
actores involucrados, a fin de hacer efectivas todas las acciones tendentes a proteger la
información personal tratada por medio de las cada vez más apabullantes tecnologías de la
información.
En el ejercicio de sus funciones las autoridades gubernamentales recaban una gran cantidad de
datos personales de sus gobernados, información patrimonial, del estado de salud, incluso de su
16
vida familiar, entre otras. Además, el uso de tecnologías es más frecuente al momento de recabar
y tratar los datos personales para la realización de trámites.
Más que cumplir con los instrumentos internacionales que el Estado de Honduras se ha adherido
en materia de derecho a la intimidad y las disposiciones de la misma Constitución de 1982 en
materia de honor, a la intimidad personal, familiar y a la propia imagen, los gobiernos están
obligados a proteger el vasto cúmulo de información personal que tiene sobre sus gobernados, así
como limitar la recolección de los datos personales a los supuestos previstos en la legislación
vigente.
Considerando los retos que implica el avance tecnológico, como las redes sociales –especialmente,
en el caso de los menores de edad y en la protección de sus datos personales–, las estrategias
establecidas en las políticas públicas no deben limitarse a fortalecer el ámbito legal, se requiere el
trabajo conjunto de las instituciones académicas y educativas, organizaciones no
gubernamentales, órganos garantes, padres de familia y autoridades.
Inicialmente las leyes y regulaciones sobre privacidad estaban únicamente referidas al sector
público, debido a que eran los gobiernos quienes mantenían la información personal sobre los
individuos. Sin embargo, la utilización de informaciones personales es ahora no sólo un fenómeno
entre el Estado y el ciudadano, sino que es cada vez más un tema que involucra al sector privado y
a las empresas comerciales que recogen y utilizan la información de los individuos con fines
comerciales, y por la naturaleza de estas operaciones esa información también pasa las fronteras
de los Estados y se convierte en un fenómeno internacional.10
Tal como puede ocurrir en el sector público, los datos personales mantenidos en el sector privado
pueden quedar sujetos a una recolección, uso o divulgación no autorizada, ya sea deliberada o
accidentalmente, razón por la cual deben tomarse medidas para minimizar esta actividad.
10
Es justamente porqué la información personal puede ser de gran utilidad para el mercadeo y áreas de
venta, que las empresas constantemente buscan, almacenan y transfieren información sobre las personas,
ya sea a través de los métodos tradicionales o a través del Internet.
17
No obstante, la regulación de la protección de y acceso a datos personales debe permanecer
sensibilizada a las necesidades de los sujetos a quienes se refieren estos datos, incluyendo entre
ellos a los usuarios y consumidores, así como también las empresas comerciales y otras
organizaciones involucradas. Estas necesidades no son necesariamente contradictorias. Por
ejemplo, una de las características esenciales es la confianza que se debe sentir en la protección
de la privacidad en línea, para asegurar el crecimiento del comercio electrónico.
Los consumidores están preocupados sobre el derecho a la privacidad en un ambiente cada vez
más interconectado electrónicamente, y las empresas comerciales desean asegurar su fiabilidad a
los consumidores y evitar las interrupciones durante el flujo de datos transfronterizos. En otras
palabras, la protección de datos es una cuestión de encontrar el equilibrio perfecto entre los
derechos de los individuos a que sus datos personales permanezcan privados, y resguardar el libre
flujo de información. Sin embargo, tal como ocurre con otros temas, los estados pueden no
concordar donde yace el equilibrio adecuado, o si la protección de datos corresponde a una
cuestión de derechos humanos o se inclina más hacia una cuestión económica.
Sin embargo, las empresas hondureñas no pueden permanecer ajenas a la nueva realidad
corporativa global, por ello aspectos como la protección de datos, el gobierno corporativo y los
principios de accountability -no únicamente en términos de responsabilidad social empresarial-
dejaran de aparecer en horizontes lejanos y descontextualizados y se convertirán cada día más en
parte de su realidad de negocio
En el mundo existen dos vertientes principales entorno a la protección de los datos personales, a
saber:
1. Modelo de Europa Continental. Motivado en los derechos humanos –visión garantista-, busca
proteger la información y la propiedad de la misma, mediante regulaciones estatales. La visión
europea del derecho a la privacidad cubre todos los aspectos de la vida del individuo, lo que
implica el procesamiento de datos personales por organizaciones gubernamentales y privadas.
18
2. Modelo de los Estados Unidos de América. Se motiva en limitar la comercialización
indiscriminada de los datos de las personas mediante la autoregulación de las entidades
privadas. La legislación específica sobre la protección de los datos personales se limita a los
datos tratados o custodiados por el gobierno federal. En los casos en que quieran cumplir con
directrices predeterminadas sobre el manejo de datos personales, los particulares pueden
ampararse en una disposición de la Comisión Federal de Comercio (FCC, en sus siglas en inglés)
por la que certifica que la entidad en cuestión establece un nivel adecuado de protección de
los datos personales.11
Tabla 2 Particularidades del Modelo Europeo y Modelo Estadounidense en torno a la protección de datos
•Se origina con los tratados internacionales en •Un derecho que se origina de la interpretación
materia de derechos humanos. de la Constitución a través de la jurisprudencia
•Derecho a privacidad cubre todo aspecto de la de las cortes.
vida de la persona. •Protección se limita a los datos procesados o
•Aplicable al tratamiento de datos para el en custodia del gobierno federal. No es
sector público y sector privado. apliable a entidades privadas.
•Establece el nivel estándar de la protección de •Auto-regulación por parte de los sectores
datos para los miembros de la UE. economicos.
•Permite transferencia de datos personales •El interés de la persona a la privacidad se debe
cuando el país receptor "garantice un nivel de balancear con el interés público.
protección adecuado de los datos"
Fuente: Elaboración propia en base a análisis realizado por John M. Wilson, Oficial Jurídico Principal, OEA (2011)
En términos parecidos, también se debe tener presente, el artículo 17 del Pacto Internacional de
Derechos Civiles y Políticos, el artículo 5 de la Declaración Americana de los Derechos y Deberes
11
Fuera de unas pocas leyes que tratan de la información personal financiera y médica, Estados Unidos no
cuenta con una legislación que rija el procesamiento de datos personales por entidades privadas. Para
mayor información véase: OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de
Datos (La Protección de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514
19
del Hombre de 1948 y el artículo 11 del Pacto de San José de Costa Rica; todas estas normas
internacionales en materia de derechos humanos consagran la protección de la honra, reputación,
y la vida privada y familiar, prohibiendo injerencias arbitrarias que bien pueden derivar del uso de
la informática.
Influenciada por la Declaración Universal de los Derechos Humanos, el Consejo de Europa adoptó
el 4 de noviembre de 1950 en Roma, el Convenio para la Protección de los Derechos Humanos y
las Libertades Fundamentales (más conocido como la Convención Europea de Derechos
Humanos-CEDH).
Paralelo al desarrollo del derecho comunitario, en los años setenta, países europeos comenzarían
a adoptar normas para protección del derecho a la intimidad en sus legislaciones, incluida la
protección contra abusos en la recolección y tratamiento de datos personales.13 Por otro lado,
países como Portugal, España y Austria, también incluirían la protección de los datos en sus
constituciones políticas de finales de la década
Ante una normativa diversa que existía en cada uno de los países de la Unión Europea y con el fin
de lograr una libre circulación de datos personales entre los Estados miembros para no
12
Por ejemplo, en el caso Gaskin de 7 de Julio de 1989, concerniente al acceso de los datos sobre la estancia
de un individuo durante su infancia en un orfanato, el Tribunal consideró necesario analizar el tipo de datos
respecto de los que se planteaba la controversia, dado que, de la naturaleza y de las características de los
mismos dependería, a su juicio, el grado de protección que se reconociera. De esta manera, se comenzaría a
referirse a determinados datos personales como “datos sensibles”, como aquellos que afectan directamente
al desarrollo de la personalidad, la cual forma parte de la vida privada de la persona (ideología política, datos
médicos, religión, orientación sexual, etc.).
13
En 1970 el estado de Hessen (Alemania) aprobó la primera ley sobre la protección de datos personales en
el mundo, seguidamente, Suecia (1973), Alemania (Ley Federal, 1977) y Francia (1978).
20
obstaculizar el mercado interior, el 28 de enero de 1981: Alemania, Francia, Dinamarca, Austria y
Luxemburgo suscribirían el Convenio 108 sobre Protección de los Datos Personales con Respecto
al Tratamiento Automatizado de Datos de Carácter Personal, el cual se considera el primer
convenio internacional de protección de datos y viene a definir por primera vez primera vez el
término “datos personales” como “toda información relacionada con una persona identificada o
identificable”, que ha de servir de definición para las legislaciones nacionales que han de venir.14
14
El Convenio 108 por primera vez define los datos personales como “toda información relacionada con una
persona identificada o identificable”, que ha de servir de definición para las legislaciones nacionales que han
de venir.
15
Véase: Decisión de Ejecución de la Comisión de conformidad con la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental
del Uruguay en lo que respecta al tratamiento automatizado de datos personales del 21 de Agosto de 2012,
enhttp://privacyconference2012.org/wps/wcm/connect/4f619a804c810ce58f1fcf5ecf671ba0/Adecuacin_U
E.pdf?MOD=AJPERES
21
Madrid, que recoge la aprobación de Propuesta Conjunta para la Redacción de Estándares
Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal. Al
margen de su intención armonizadora en la emisión de instrumentos normativos nacionales como
internacionales, es de resaltar la colaboración y adhesión consensuada de más de 50 países, que
agrega un valor importante, puesto que se enfatiza la vocación universal de los principios y
garantías que configuran el Derecho a la Protección de Datos Personales, y reafirma la factibilidad
de avanzar hacia un documento internacionalmente vinculante.
A pesar que los Estados Miembros de la Organización de Estados Americanos (OEA) han
reconocido en su ordenamiento continental el derecho a la privacidad16, a diferencia de lo que se
ha venido desarrollando en Europa, la OEA aún carece de un tratado internacional que regule el
derecho a la protección de datos personales –dado los contrastes que hay en tradiciones jurídicas,
intereses políticos, desarrollo institucional y económico.17
16
La Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica), del 22 de noviembre
de 1969, señala en su artículo 11, inciso 2, que “Nadie puede ser objeto de injerencias arbitrarias o abusivas
en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su
honra o reputación.”
17
Actualmente el único documento referencial en la materia son los “Principios y Recomendaciones
Preliminares sobre la Protección de Datos (La Protección De Datos Personales)” elaborado por el
Departamento de Derecho Internacional de la OEA.
18
Este proyecto data de 1997 y se consolidó el 19 de noviembre de 2010, cuando fue expuesto ante la OEA y
aprobado por este mismo órgano. En el 2011, se promulgó dicho documento a los países interesados bajo el
código CP/CAJP-2921/10 rev.1.
19
La RIPD, surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos
(EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes
de 14 países iberoamericanos. Esta iniciativa contó desde sus inicios con un apoyo político reflejado en la
Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos
celebrada en Santa Cruz de la Sierra, Bolivia, 14 y 15 de noviembre de 2003.
22
RIPD, se ha brindado asistencia técnica en los procesos de promulgación de legislaciones
nacionales como la de Argentina, Uruguay, Perú, Costa Rica, Nicaragua, y Colombia.
A pesar de las legislaciones ocho leyes nacionales con que cuenta la región latinoamericana (véase
Tabla 3, abajo), los procesos de formulación legislativa han tenido su propia dinámica que
responden en gran medida a tres factores del contexto país:
1. Estabilidad política;
2. La inclusión del tema en la agenda pública como un problema social, y
3. El nivel de conocimiento de los actores formales e informales (presidente, ministros,
legisladores, gremios, etc.) sobre la materia, los riesgos y la importancia de regular el
tratamiento de datos personales por terceros.
Año País
1999 Chile- Ley No. 19.628, Protección de la Vida Privada y Protección de Datos de Carácter
Personal.
2010 México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares
2011 Costa Rica- Ley No. 8968 Protección de la Persona frente al tratamiento de sus datos
personales.
2012 Colombia- Ley Estatutaria Nº 1581 Ley General de Protección de Datos Personales
20
Para conocer los insumos obtenidos del presenta análisis, véase el documento “Ante-proyecto de Ley de
Protección de Datos Personales y Hábeas Data” que ha preparado el consultor.
23
1. Ley General de Protección de Datos Personales de Colombia;
2. Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa
Rica;
3. Ley Orgánica de Protección de Datos de España;
4. Ley Federal de Protección de Datos Personales en Posesión de los Particulares de
México, y
5. e) Ley de Protección de Datos Personales y Acción de Habeas Data de Uruguay.
Sumado al hecho que las cinco legislaciones provienen de países hispanohablantes –con
tradiciones jurídicas similares-, también responden al enfoque continental europeo de interpretar
el derecho de protección de datos personales como un derecho humano que debe ser reconocido
tanto por el Estado, como por las personas naturales o jurídicas que son responsables del
tratamiento o encargados del tratamiento de datos personales.
De las cincos legislaciones, la Ley Orgánica de Datos de Carácter Personales de España es la que
más vigencia tiene (14 de enero de 2000) y ha servido de fuente de derecho y de desarrollo
institucional para los países latinoamericanos, especialmente en lo que concierne a la regulación.
Como se podrá apreciar más adelante, las cinco legislaciones estudiadas comparten en cierta
medida similares objetivos, ámbitos de aplicación, principios y derechos garantizados; mientras
que la gran diferencia recae en la figura de la autoridad u órgano de control que difiere en
nombre, diseño institucional, estructura interna, localización dentro del aparato administrativo del
Estado y en las competencias o facultades que el legislador le ha otorgado. En gran medida las
diferencias, se deben a la conformación de cada Estado y la interpretación que se le da a la función
de regulador de datos personales, en los casos como España y México, responden a un modelo
federal; mientras que en Colombia, Costa Rica y Uruguay se encuentran dentro de la órbita del
poder ejecutivo, sin embargo, sus responsabilidades regulatorias y de sanción son similares.
Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que
intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada
responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han
encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad
de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten
que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial.
En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja
la garantía de hábeas data.
24
1. Colombia- Hábeas Data Financiero y Ley General de
Protección de Datos Personales
Mediante la Ley Estatutaria Nº 1266, conocida como Ley de Habeas Data Financiero, Colombia
desarrolla un ordenamiento especial para hacer efectivo el derecho de hábeas data en las bases
de datos con información financiera, crediticia, comercial, de servicios y la proveniente de terceros
países.21 Como buena práctica, esta legislación dispone que los usuarios deberán valorar la
información en las bases de datos en forma concurrente con otros factores o elementos de juicio
que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse
exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los
operadores para adoptar decisiones frente a solicitudes de crédito.
Por su parte, la Ley Estatutaria Nº 1581 o Ley General de Protección de Datos Personales,
consagra la mayoría de los principios de administración de datos personales previstos en la Ley
1266 del 2008, pero le adiciona tres más: legalidad, libertad y transparencia.
La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos
personales contenidos en sus sistemas de información y replantear sus políticas de manejo de
información y fortalecimiento de sus herramientas. Como entidades responsables del tratamiento
deben definir los fines y medios esenciales para el tratamiento de los datos de los usuarios y/o
titulares, incluidos quienes fungen como fuente y usuario.
Por otro lado, los titulares tienen derecho a encontrar de manera ágil y sencilla los datos
suministrados por ellos. Cualquier persona puede consultar de manera gratuita sus datos
personales, al menos una vez al mes. En caso de no recordar haberse inscrito en una base de
datos, la persona puede solicitar una prueba de la autorización inicial por la que fue inscrito y
también puede retirar sus datos. El titular de los datos tiene derecho a que se le describa para qué
y cómo será utilizada su información y también tiene derecho a la actualización, rectificación y
supresión cuando lo considere oportuno. Las entidades que manejan bases de datos deben
designar una persona para que asuma la función de protección de datos personales.
Por su parte, el Reglamento (Decreto 1377 del 27 de junio de 2013), norma aspectos relacionados
con la autorización del titular de la información para el tratamiento de sus datos personales, las
políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los
titulares de la información.
21
La Ley Estatutaria Nº 1266, aclara que los datos cuyo contenido haga referencia al tiempo de mora, tipo
de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de
obligaciones, se regirán por un término máximo de permanencia de cuatro años, contados a partir de la
fecha en que sean pagadas las cuotas vencidas, o sea pagada la obligación vencida. Vencido este tiempo, la
información deberá ser retirada de las bases de datos por el operador (central de riesgos), de forma que los
usuarios –que analizan riesgos y otorgan créditos- no puedan acceder o consultar dicha información.
25
En resumen, el sistema legal colombiano contempla entonces: acciones de tutela, acciones
administrativas, un régimen general y un régimen sectorial de protección, y un órgano de control.
A. Órgano de Control
La autoridad encargada de vigilar el cumplimiento de ambas leyes es la Delegatura para la
Protección de Datos Personales de la Superintendencia de Industria y Comercio. De acuerdo a
Pablo Felipe Robledo, Superintendente de Industria y Comercio de Colombia, desde el 2009 hasta
mayo de 2013, se han realizado más de 1.200 investigaciones e impuesto más de 370 sanciones.
Los hechos que han motivado las sanciones corresponden principalmente a la mala calidad de la
información que manejan los operadores de las bases de datos, deficiencias de las empresas en la
atención de las solicitudes por los titulares y los reclamos presentados, problemas en el acceso a la
información por parte de los titulares de los datos, recolección de información sin consentimiento
y la falta de cumplimiento de las instrucciones giradas por la Superintendencia de Industria y
Comercio.22
B. Buenas prácticas
Adecuación: Las entidades han de solicitar la autorización de los ciudadanos mediante los
canales que usan habitualmente para comunicarse con ellos, como por ejemplo correos
electrónicos, llamadas telefónicas, correos certificados y también se les permitió fijar avisos
publicitarios en medios masivos.
Si el titular de los datos no contesta las notificaciones dentro de 30 días hábiles no quiere decir
que pierda el control sobre su información, esto solo supone que las entidades y empresas
pueden seguir utilizando los datos hasta tanto el ciudadano manifieste lo contrario. Eso sí, las
empresas y entidades solo pueden utilizar la información para los fines para los que
inicialmente la recogió.
Aviso de privacidad: En los casos en los que no sea posible poner a disposición del Titular las
políticas de Tratamiento de la Información, los Responsables deberán informar por medio de
un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a
las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de
los datos personales.
Protección de los derechos de los niños: Establece la protección datos relacionados con los
derechos de los niños y adolescentes -esta categorización especial no está presente en las
otras legislaciones estudiadas.
22
Fuente: Entrevista en Revista Digital Ámbito Jurídico (http://www.ambitojuridico.com) del 14 de Mayo de
2013, en nota “Nueva Ley General de Protección de Datos Personales”.
26
Accesibilidad y gratuidad de los datos personales: Registro Nacional de Bases de Datos, es de
libre consulta para los ciudadanos; no se paga, ni hay cuota para acceso a información.
C. Entrada en Vigencia
Se estableció un régimen de transición de seis meses para que las personas reguladas se
adecuaran a las disposiciones de la Ley).
Objeto Artículo 1- Desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de
datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se
refiere el artículo 15 de la Constitución Política; así como el derecho a la información
consagrado en el artículo 20 de la misma.
Alcance/Ámbito Artículo 2-
de Aplicación Datos personales registrados en cualquier base de datos que los haga susceptibles
de tratamiento por entidades de naturaleza pública o privada.
Se aplicará al tratamiento de datos personales efectuado en territorio colombiano o
cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido
en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y
tratados internacionales.
No será de aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente
personal o doméstico.
23
Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en
http://privacyconference2012.org/
24
Regula el manejo de la información de carácter financiero, crediticio, comercial, de servicios y la
proveniente de terceros países, contenida en bases de datos administradas por “agencias de información
comercial” -en el caso hondureño, sería el Reglamento para la Autorización y Funcionamiento de las
Centrales de Riesgo Privadas que emitió la CNBS el 11 de junio de 2013.
27
b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa
nacional, así como la prevención, detección, monitoreo y control, del lavado de
activos y el financiamiento del terrorismo.
c) A las Bases de datos que tengan como fin y contengan información de
inteligencia y contrainteligencia.
d) A las bases de datos y archivos de información periodística y otros contenidos
editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Estructura: Título I - Objeto, Ámbito de Aplicación y Definiciones
Título II - Principios Rectores
Título III- Categorías Especiales de Datos
Título IV- Derechos y Condiciones de Legalidad para el Tratamiento de Datos
Título V- Procedimientos
Título VI Deberes de los Responsables del Tratamiento y Encargados del Tratamiento
Título VII- De Los Mecanismos de Vigilancia Y Sanción:
Capítulo 1- De la Autoridad de Protección de Datos
Capítulo 2- Procedimiento y Sanciones
Capítulo 3- Del Registro Nacional De Bases De Datos
Título VIII- Transferencia de Datos a Terceros Países
Título IX- Otras Disposiciones
Ente Regulador: Delegatura para la Protección de Datos Personales- Superintendencia de Industria y
Comercio
Enlaces de Superintendencia de Industria y Comercio- http://www.sic.gov.co/es/proteccion-de-
Interés datos-personales
Centro de Estudios de Derecho, Justicia y Sociedad- http://www.dejusticia.org/
Observatorio Ciro Angarita Barón - Sobre la protección de datos en Colombia
http://habeasdatacolombia.uniandes.edu.co/
Costa Rica es el primer país de Centro América con un ordenamiento jurídico dedicado a garantizar
el respeto al derecho a la autodeterminación informativa; es decir, el derecho a la intimidad
personal en el marco de las tecnologías de información.25 Los objetivos de la autodeterminación
informativa pueden resumirse en dos: 1) Convertirse en salvaguarda de la persona frente al
creciente uso de las tecnologías para el tratamiento de datos personales y, 2) Crear posibilidades
reales y efectivas de evitar la construcción de personalidades de cristal, transparentes a cualquier
25
La figura jurídica del derecho a la autodeterminación informativa surge a partir de la sentencia sobre la
Ley de Censos de 1982 del Tribunal Constitucional Federal Alemán. En este fallo se sostiene la importancia
de la protección del individuo frente a la recolección, almacenamiento, utilización y difusión ilimitada de sus
datos personales.
28
uso y abuso, sin el conocimiento ni la voluntad del afectado o sin atender a algún interés general
preponderante.26
Entre las atribuciones más importantes de esta Agencia, está el imponer las sanciones establecidas
en el artículo 28 de la Ley a las personas que infrinjan las normas para la protección de los datos
personales, y dar traslado al Ministerio Público de las que puedan configurar delito. Una falta
gravísima puede acarrear la suspensión para el funcionamiento del fichero de uno a seis meses.
B. Buenas prácticas
Promueve la autoregulación y gestión de la calidad: Como elemento innovador de la
legislación costarricense es la promoción de la autorregulación por parte de los mismos
responsables de las bases de datos a través de protocolos de actuación, los cuales deben ser
inscritos, así como sus posteriores modificaciones, ante la PRODHAB. De esta manera, los
responsables establecen y normalizan sus políticas, mecanismos de manejo y de seguridad de
los datos, los cuales han de servir de instrumento de gestión interno y control de calidad,
como a la vez, le servirá al regulador al momento de verificar el cumplimiento de la Ley y
demás lineamientos técnicos que emita.
26
La legislación costarricense establece para todas aquellas organismos públicos o privados que recopilen
datos personales, la obligación de informar a las personas titulares de dicho datos (fines, destinatarios,
tratamiento de la información, las consecuencias de no suministrarla, etc.), la obligación de obtener el
consentimiento expreso de la persona titular de los datos o de su representante, y los principios de calidad
de la información para su recolección, almacenamiento o utilización. Véase, artículos 4 al 6- Ley de
Protección de la Persona Frente al Tratamiento de sus Datos Personales.
27
Prodhab tiene la atribución de ordenar de oficio o a petición de parte la supresión, rectificación, adición o
restricción en la circulación de las informaciones contenidas en los archivos o bases de datos cuando estas
contravengan las normas de la ley. Así mismo, debe resolver los reclamos por las infracciones a las normas
sobre protección de los datos personales, dictar las directrices necesarias, que deberán ser publicadas en el
Diario Oficial La Gaceta de Costa Rica.
29
Sostenibilidad del Ente Regulador: Responsables del tratamiento pagan un canon anual por
un monto de US$200; mientras que por cada venta de los datos personales de personas
individualizables, se paga un canon que oscilará entre los US$0,25 y US$1. En el caso de
contratos globales por número de consultas o de servicios en línea por número de aplicaciones
se establecerá reglamentariamente un canon que no podrá ser superior al 10% del precio
contractual.
Tipología de datos: a) Datos sensibles, aquellos que revelen el origen racial o étnico, opiniones
políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la
vida y la orientación sexual, entre otros. b) Datos personales de acceso restringido, los que aun
formando parte de registros de acceso al público, no son de acceso irrestricto por ser de
interés solo para su titular o para fines de la Administración Pública; c) Datos personales de
acceso irrestricto, lo contenidos en bases de datos públicas de acceso general. Se excluyen la
dirección exacta de la residencia, la fotografía, los números de teléfono privados; y d) Datos
referentes al comportamiento crediticio, los regulados por las normas del Sistema Financiero
Nacional, que permitan garantizar un grado de riesgo aceptable por parte de las entidades
financieras.
C. Entrada en Vigencia
A partir de la publicación de la Ley, y desde ese momento se establece un plazo máximo de 6
meses para la conformación e integración de la PRODHAB. Los sujetos obligados tuvieron un año
contado a partir de la creación de la PRODHAB para adecuarse a la nueva legislación. Se dispuso
que el Reglamento se emitiera 6 meses después de la conformación de la PRODHAB.
30
Entre los principales retos, dado lo novel que es la legislación, es la promoción del derecho en la
ciudadanía, su relevancia y sus mecanismos de defensa; crear una cultura de conciencia entre los
administradores de bases de datos y los titulares de los datos; generar alianzas estratégicas con el
sector público y privado, y materializar una protección efectiva de modo que la misma no sea
meramente formal28.
El régimen de protección de los datos de carácter personal que se establece en esta ley
no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con
fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean
vendidas o de cualquier otra manera comercializadas
Estructura: Capítulo I -Disposiciones Generales
Capítulo II-Principios y Derechos Básicos para la Protección de Datos Personales
Capítulo III- Transferencia de Datos Personales
Capítulo IV Agencia de Protección de Datos de Los Habitantes (PROHDAB)
Capítulo V Procedimientos
Capítulo VI Cánones
Transitorios
Ente Regulador: Agencia de Protección de Datos de los Habitantes (PRODHAB)- Ministerio de Justicia y
Paz.
Enlaces de Ministerio de Justicia y Paz- http://www.mjp.go.cr/
Interés Registro Nacional de Costa Rica- http://www.rnpdigital.com/index.htm
Sistema Costarricense de Información Jurídica- http://www.pgr.go.cr/Scij/
28
Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en
http://privacyconference2012.org/
31
3. España- Ley Orgánica de Protección de Datos de Carácter
Personal
Con la entrada en vigor de la Ley Orgánica 15/1999, denominada Ley Orgánica de Protección de
Datos (LOPD), el 14 de enero de 2000, España adopta en su legislación nacional los requisitos
exigidos por la Directiva 95/46/CE de la UE29. En el proceso, se convierte en el referente jurídico e
institucional que ha de ser fuente para América Latina.30
Cabe mencionar que sobre el responsable del tratamiento recaen los principales deberes
establecidos por la LOPD. Entre otros debe: a) Inscribir los ficheros ante el Registro General de
Protección de Datos; b) Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y
legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados; c)
Garantizar el cumplimiento de los deberes de secreto y seguridad; d) Informar a los titulares de los
datos personales en la recogida de éstos. Obtener el consentimiento para el tratamiento de los
datos personales; y e) Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento,
acceso, rectificación y cancelación.
La legislación española, incluye principios tales como el de calidad, que obliga a que los datos que
sean tratados han de ser ciertos, verdaderos y no excesivos. Igualmente exige que sean actua-
lizados. De la misma forma, se incluye el principio de pertinencia, el cual obliga a valorar los datos
acorde con el ámbito y la finalidad para los que se obtuvieron. El tratamiento de datos personales
se hace depender del consentimiento inequívoco de la persona titular.
29
Por su parte, el Reglamento de la Ley de Protección de Datos (R.D. 1720/2007), se viene implementando
desde el 19 de abril de 2008.
30
Es oportuno mencionar que España ya había desarrollado en 1992 la Ley Orgánica de Regulación del
Tratamiento Automatizado de Datos (L.O.R.T.A.D.) y en 1993, se crea la Agencia Española de Protección de
Datos (A.E.P.D.). Con la adecuación a la Directiva 95/46/CE, vendría la Ley Orgánica de Protección de Datos
(LOPD)
31
Datos de Carácter Personal son aquellos datos que hacen referencia a una persona física identificada o
identificable tales como su nombres y apellidos, documento de nacional de identificación, dirección, imagen,
voz, huella, etc. (Artículo 3. Definiciones; literal “a”)
32
El término “fichero”, según el literal “c” del artículo 3 de la LOPD, se refiere a “todo conjunto organizado
de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.”
32
EL 19 enero de 2008 entró en vigencia el Reglamento de la LOPD –ocho años después de la
entrada en vigencia de la Ley. El Reglamento dicta el cómo se debe proteger los datos de carácter
personal.
A. Órgano de Control
La Agencia Española de Protección de Datos (AEPD) es el ente que vela por el cumplimiento de la
normativa sobre protección de datos personales, actuando para ello con plena independencia de
las Administraciones Públicas.
Básicamente la AEPD realiza cuatro grandes funciones: 1) Informar sobre el contenido, los
principios y las garantías del derecho fundamental a la protección de datos; 2) Asiste al ciudadano
a ejercitar sus derechos y a los responsables y encargados de tratamientos a cumplir las
obligaciones que establece la LOPD; 3) Tutela al ciudadano en el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos por
los responsables de los ficheros; y 4) Garantiza el derecho a la protección de datos investigando
aquellas actuaciones de los responsables o encargados de ficheros que puedan ser contrarias a los
principios y garantías contenidos en la LOPD. Impone, en su caso, la correspondiente sanción.
En su Memoria 2012 (AGPD, 2013), la AEPD, documenta las tendencias que se dan en España con
respecto al uso de los derechos ARCO (acceso, rectificación, cancelación y oposición), donde las
principales inquietudes de los ciudadanos son conocer qué datos suyos son objeto de
tratamiento y, en mayor medida, conseguir su cancelación. Por sectores de actividad, las
solicitudes de cancelación afectan, principalmente, a los ficheros de solvencia patrimonial y
crédito (312) y a los de las empresas de telecomunicaciones (158). Respecto del derecho de acceso
destacan las relacionadas con los historiales clínicos (126).
B. Buenas prácticas
Cooperación Internacional: La AEPD participa activamente en varios espacios internacionales,
tanto a nivel europeo como iberoamericano33. Esto la ha convertido en un referente en
33
Entre algunos de estos espacios se encuentra el Consejo de Europa, Europol, Eurojust, Grupo de
Telecomunicaciones Berlín, Conferencia Internacional de Autoridades de Protección de Datos y
Privacidad, Conferencia de Autoridades Europeas de Protección de Datos y la Red Iberoamericana de
Protección de Datos.
33
materia de desarrollo institucional y jurídico34, además que ha liderado iniciativas
internacionales de armonización como la Propuesta Conjunta para la Redacción de Estándares
Internacionales para la protección de la Privacidad35.
34
Para conocer las publicaciones y normatividad que ha desarrollado la AGPD, véase:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php
35
Derivado de los trabajos de la 31 Conferencia Internacional de Autoridades de Protección de Datos y
Privacidad celebrada el 5 de noviembre de 2009, se emitió la Declaración de Madrid, que recoge la
aprobación de Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la
Privacidad y de los Datos de Carácter Personal.
34
C. Retos para la privacidad
Dado el acceso digital por la población, los retos en España están más relacionados a los ciber
riesgos como es el seguimiento de los hábitos de navegación a través de las cookies y el
consentimiento informado que debe haber de los usuarios para su instalación; las quiebras de
seguridad y la obligación de notificarlas; los desafíos para la protección de datos que implica el
cloud computing, con un potencialmente elevado número de actores involucrados y la implicación
frecuente de transferencias internacionales; o los riesgos del reconocimiento facial en los servicios
online con la correspondiente legitimación, son algunos de ellos.
Alcance/Ámbito Aplicación a los datos de carácter personal registrados en soporte físico, que los haga
de Aplicación susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores público y privado.
35
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la
legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los
informes personales de calificación a que se refiere la legislación del régimen
del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de
videocámaras por las Fuerza y Cuerpos de Seguridad, de conformidad con la
legislación sobre la materia.
Estructura: Titulo I. Disposiciones Generales
Título II. Principios de la protección de datos
Título III. Derechos de las personas
Título IV. Disposiciones sectoriales
- CAPITULO I. Ficheros de titularidad pública
- CAPITULO II. Ficheros de titularidad privada
Título V. Movimiento internacional de datos
Título VI. Agencia de protección de datos
Título VII. Infracciones y sanciones
Disposiciones Adicionales
Disposiciones Transitorias
En México, la normativa sobre protección de datos personales parte en el año 2002 con la Ley
Federal de Transparencia y Acceso a la Información Pública. En esta legislación se establecieron
principios en materia de protección de datos aplicables a las bases de datos de las
Administraciones Públicas a nivel federal (artículos 3 y 20 al 26), concebidos como excepción al
acceso a la información pública –esta particularidad es replicada por su homóloga hondureña.
En el 2010, se aprobó la Ley Federal de Protección de los Datos Personales en Posesión de los
Particulares (LFPDPPP) que viene a asegurar la protección y privacidad de los datos personales, así
como regular el acceso, rectificación, cancelación y oposición del manejo de los mismos (Derechos
36
ARCO). Con posterioridad se aprobó el Reglamento de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, de 21 de diciembre de 2011.
Tabla 7 Cuadro Resumen Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Objeto Artículo 1.- La presente Ley es de orden público y de observancia general en toda la
República y tiene por objeto la protección de los datos personales en posesión de los
particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado,
a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de
las personas.
Alcance/Ámbito Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o
de Aplicación morales de carácter privado que lleven a cabo el tratamiento de datos personales, con
excepción de:
I. Las sociedades de información crediticia en los supuestos de la Ley para Regular
las Sociedades de Información Crediticia y demás disposiciones aplicables, y
II. II. Las personas que lleven a cabo la recolección y almacenamiento de datos
personales, que sea para uso exclusivamente personal, y sin fines de divulgación
o utilización comercial.
Estructura: Capítulo I - Disposiciones Generales
Capítulo II- De los Principios de Protección de Datos Personales
Capítulo III-De los Derechos de los Titulares de Datos Personales
Capítulo IV-Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y
Oposición
Capítulo VI-De las Autoridades
Sección I - Del Instituto
Sección II-De las Autoridades Reguladoras
Capítulo VII- Del Procedimiento de Protección de Derechos
Capítulo VIII-Del Procedimiento de Verificación
Capítulo IX-Del Procedimiento de Imposición de Sanciones
Capítulo X-De las Infracciones y Sanciones
Capítulo XI- De los Delitos en Materia del Tratamiento Indebido de Datos Personales
Transitorios
Ente Regulador: Instituto Federal de Acceso a la Información y Protección de Datos- Entidad Federal
Enlaces de Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)-
Interés http://inicio.ifai.org.mx/_catalogs/masterpage/ifai.aspx
37
A. Órgano de Control
Con la LFPDPPP, el Instituto Federal de Acceso a la Información se le agrega el término “Protección
de Datos”, convirtiéndose de esta manera en el Instituto Federal de Acceso a la Información y
Protección de Datos; manteniendo su acrónimo original “IFAI”. El IFAI en la actualidad se le
considera la autoridad garante a nivel federal y se le dota de facultades informativas, normativas,
de verificación, resolutorias y sancionadoras (imposición de multas).
En relación con las competencias del IFAI para con los datos personales en poder de los
particulares, se determinó que éste tiene poderes de información (brindar apoyo técnico a los
responsables), de prevención, de regulación (interpretar la Ley, establecer guías y políticas en el
tema), de investigación y de resolución (atender denuncias, verificar la protección de derechos
ARCO).
B. Buenas prácticas
Casi el 70 % de los entrevistados, no le incomodaba o le incomoda poco que se divulguen los datos
relativos a sus enfermedades, a los medicamentos que toma, a sus creencias religiosas, a su origen
racial o étnico. No obstante, los datos personales más mencionados y que más preocupa que se
divulguen fueron: el nombre, la dirección y teléfono. Además de esos datos, los ingresos y el
número de cuenta bancaria son los que más preocupación generan de ser divulgados.
38
Finalmente, dentro del sector privado, los bancos se posicionaron como los que mayor cantidad de
datos solicitan; en el gobierno, las instituciones de salud y el Instituto Federal de Electoral ocupan
los primeros lugares en requerimiento de información.
El régimen de Protección de Datos Personales fue establecido en Uruguay por la Ley Nº 18.331 de
Protección de Datos Personales y Acción de “Habeas Data” de 11 de Agosto de 2008. Dicha
legislación indica en su artículo 1 que "el derecho a la protección de datos personales es inherente
a la persona humana".
Uruguay ha sido reconocido como país adecuado en materia de datos personales por la Unión
Europea, y también ha sido el primer país en América Latina en ser invitado a adherir al Convenio
108 del Consejo de Europa.
Por otro lado, algunas de las legislaciones latinoamericanas como la uruguaya, contemplan el
mecanismo de habeas data, como una acción judicial. Es esta línea que tomará la legislación
hondureña en la búsqueda de un equilibrio entre lo que ya establece la Constitución Política de
1982 y la propuesta de definir al IAIP como la instancia administrativa que asegurara el respeto del
derecho a la protección de datos personales.
36
La AGESIC es un organismo que depende de la Presidencia del Uruguay y dentro de sus actividades torales
se encuentran la de definir y difundir la normativa informática; desarrollar proyectos en Tecnologías de la
Información y las Comunicaciones; asesorar en materia informática a las instituciones públicas del Estado, y
capacitar y difundir en materia de Gobierno Electrónico, apoyando a la transformación y transparencia del
Estado.
39
VI. Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña
El Responsable del Implementar y registrar Derecho frente a la Durante recolección los Legislación y regulación
Tratamiento deberá “Protocoles de Actuación” recolección. cuestionarios deben esta adecuada con la de la
conservar prueba de la (caso hondureño se Consejo Consultivo que incluir un aviso de UE
solicitud y consentimiento, llaman: Manual de asesora a la Agencia de privacidad con las Derecho frente a la
entregarle copia al Titular. políticas y Protección de Datos. advertencias sobre el recolección
Dedica un Título entero a procedimientos). Datos relativos a bases de tratamiento de datos Disposiciones sobre las
los deberes del Contempla propuesta de datos con fines de Detalla los elementos responsabilidades en el
Responsable del comunicación para la publicidad mínimos que de la Tratamiento Datos
Tratamiento y del promoción del derecho Datos relativos a la solicitud de acceso relativos a las
Encargado del Cánones para registro de actividad comercial o Denegación justificada al telecomunicaciones
Tratamiento Base de Datos crediticia. acceso, rectificación, Datos relativos a bases de
Desarrollo de eliminación u oposición. datos con fines de
disposiciones sobre publicidad
Transferencia de datos Datos relativos a la
personales actividad comercial o
crediticia
VII. Conclusiones y Recomendaciones
1. La necesidad de una Ley de Protección de Datos Personales y Hábeas Data
- A pesar que la intimidad está garantizada en la Constitución, esta provisión no se
encuentra desarrollada en una ley especifica que regule la protección de datos personales.
- Honduras es un Estado Miembro de las Naciones Unidas y OEA; Declaración Universal de
Derechos Humanos, Pacto Internacional de Derechos Civiles y Políticos y la Convención
Americana de Derechos Humanos
- LTAIP, si bien no es una ley de protección de datos personales, per se, si regula esta
materia en cuanto que el acceso a la información tiene que garantizar los datos personales
de las personas (art. 24 y 25).
Promoción del
Derecho
Capacidad
Empoderamiento
técnica y
ciudadano
regulatoria
Sector
Público
Personas Sector
/Titulares Privado
Certificación de
Capacitación
Bases de Datos
Atención a los
Titulares
5. Claves de la Protección de Datos
Consentimiento
Principios Derechos
37
El aviso de privacidad ha de ser un documento físico, electrónico o en cualquier otro formato generado
por el Responsable del Tratamiento y puesto a disposición del titular, previo al tratamiento de sus datos
personales.
42
Bibliografía
Chirino, A., (2012) La Ley de Protección de Datos de Costa Rica. Luces en las sombras. Revista
Internacional de Protección de Datos Personales. No. 1 Julio - Diciembre de 2012. Facultad de
Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en
http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/3_Alfredo-Chirino_FINAL1.pdf
(julio, 2013)
García, A (2012) La Influencia Europea en Materia de Datos Personales. Una Visión Teórico-
Constitucional y Jurisprudencial. Revista Jurídica. Universidad Latina de América. Consultado en
http://www.unla.mx/iusunla36/opinion/La%20Influencia%20Europea%20en%20Materia%20de%2
0Datos%20Personales.htm (julio de 2013)
IFAI (2012) Encuesta Nacional sobre Protección de Datos Personales a Sujetos Regulados por la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y Población
en General. Secretaría de Protección de Datos Personales. Instituto Federal de Acceso a la
Información Pública y Protección de Datos. Consultada en
http://inicio.ifai.org.mx/EncuestaNacionaldeProtecciondeDatosPersonales2012/01ReportePoblaci
on.pdf (octubre de 2013)
OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de Datos (La Protección
de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514. Recuperado en
http://www.oas.org/dil/esp/proteccion_de_datos_principios_preliminares.htm (julio, 2013)
ONU (1997) Convenio 108 del Consejo de Europa para la Protección de Los Datos Personales con
Respecto al Tratamiento Automatizado de Datos de Carácter Personal, consultado en
http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm. Protocolo Adicional del 08 de
noviembre de 2001, consultado en http://habeasdatacolombia.uniandes.edu.co/wp-
content/uploads/Protocolo-adicional-al-Convenio-108-2001.pdf
43
RIPD (2007) Directrices para la Armonización de la Protección de Datos en la Comunidad
Iberoamericana. Consultado en http://inicio.ifai.org.mx/Estudios/Directrices_de_armonizacion.pdf
(julio de 2013)
UE (95) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, consultado en
http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm
Upegui Mejía, J., (2007) Diez ideas para un régimen de datos personales en clave latinoamericana.
Universidad Nacional Autónoma de México. Instituto de Investigaciones Jurídicas. Revista de
Derecho Comparado de la Información; Año 2007 Número 10, Julio-Diciembre. México.
Consultado en http://www.juridicas.unam.mx/publica/rev/decoin/cont/10/art/art6.htm (julio de
2013)
Zamudio Salinas, A., (2012) El Marco Normativo Latinoamericano y la Ley de Protección de Datos
Personales del Perú. Revista Internacional de Protección de Datos Personales. No. 1 Julio -
Diciembre de 2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado
en http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/ok3_Ma.-de-Lourdes-
Zamudio_FINAL.pdf (julio de 2013)
44