La internacionalización de la protección de datos

Enviado por Beatriz Martínez Cándano

ABSTRACT

Con esta comunicación se pretende mostrar las diferentes herramientas existentes hoy en día a nivel internacional en materia de protección de datos como punto de partida para la creación de un espacio o entidad común que rija o coordine esta materia a nivel mundial, con el fin de que los derechos a la privacidad y el honor de los ciudadanos de un país se respeten no sólo en el mismo sino fuera de sus fronteras. El punto de debate comienza con la necesidad de crear una "globalización" en materia de protección de datos.

Palabras clave:

· democracia digital/electrónica

· deslocalización

· globalización

· identidad

· privacidad

Introducción

La facilidad con la cual los datos electrónicos fluyen a través de fronteras conduce a una preocupación de que las leyes de protección de datos se podrían burlar sencillamente transfiriendo información individual a terceros países, donde no se aplica la ley nacional del país de origen. Estos datos se podrían tratar y manipular entonces en esos países, frecuentemente llamados "refugios de datos", sin ninguna limitación.

Por esto, la mayor parte de las leyes de protección de datos europeas y más recientemente las iberoamericanas, incluyen restricciones sobre el traslado de información a terceros países a menos que la información se proteja en el país de destino.

Por otra parte, las transferencias de datos a nivel internacional están haciendo que cada día sea más importante el que las entidades públicas europeas dispongan de un alto nivel de coordinación no sólo técnico sino también legal que permitan tratar todos estos datos confidenciales sin tener que vulnerar la privacidad o el honor del ciudadano.

Tan sólo adecuando las diferentes leyes y reglamentos entre sí se conseguirá una protección adecuada de los datos de carácter personal del ciudadano, no dentro de su propio país, sino también y lo que es más importante, frente a sistemas de otras naciones.

Tan sólo realizando acciones de acercamiento entre las diferentes administraciones mundiales que contribuyan a conocer sus respectivas leyes y reglamentos, se conseguirán crear políticas comunes para hacer valer los derechos de los ciudadanos ante cualquier intento de vulnerabilidad externa.

Si las diferentes entidades de la administración disponen de organismos comunes que les guíen a la hora de regular las relaciones con terceros países cuando se produzcan transacciones de datos personales, las identidades de cada ciudadano no sufrirán vulneraciones, al menos de manera significativa.

Leyes y Directivas Internacionales

Estas son algunas de las directivas internacionales más importantes en materia de protección de datos:

a) OCDE

La Organización para la Cooperación y el Desarrollo Económico se adaptaba en sus "Pautas Acerca de la Protección de Intimidad con Flujos de Datos Generales" a una aproximación o enfoque de Derecho Común a la intimidad. Según la recomendación de OCDE, los datos personales se deberían proteger solamente si la manera de tratamiento o la naturaleza del contexto plantea un peligro a la intimidad o a las libertades individuales. Las pautas de la OCDE son dominadas por dos principios: El principio de corrección de proceso de datos y el principio de propósito que relaciona el tratamiento de esos datos.

La recomendación de la OCDE no es legalmente vinculante y menos exacta que la del Consejo de Europa.

b) ONU

El Consejo Económico y Social de la Organización de las Naciones Unidas adoptaba "Pautas Acerca de Archivos de Datos Individuales Informatizados" en 1990. Los principios, que no se están siguiendo legalmente, intentaron proponer garantías mínimas que se deberían aplicar en la legislación nacional.

c) Unión Europea

Dentro de la Unión Europea hay dos Directivas relevantes dentro de la Protección de Datos:

· Directiva 95/46/EC sobre la protección de personas físicas con respecto al tratamiento de datos generales y el libre movimiento de tales datos. Esta directiva trata el problema de armonizar niveles diferentes de protección de los derechos y las libertades de personas físicas, por un lado, y al mismo tiempo, soluciona el problema el libre movimiento de bienes, personas, servicios y capital independiente de restricciones causadas por la legislación de protección de datos.

· Directiva 97/66/EC acerca del tratamiento de datos personales y la protección de intimidad en el sector de las telecomunicaciones

La Directiva de EC sobre Protección de Datos (95/46/EC) tiene un doble objetivo:

Debería proteger los derechos fundamentales y las libertades, especialmente el derecho a intimidad de personas físicas, en el tratamiento de datos generales; pero también debería reconciliar el nivel variable de protección de datos en los Estados Miembros para que el libre movimiento de bienes, personas, servicios y capital en el mercado interior se garantice.

Aparte del Convenio de Protección de Datos más general y menos rigurosamente organizado del Consejo Europeo, la Directiva de EC sobre la Protección de Datos 95/46/EC y la Directiva de Protección de Datos de Telecomunicación 97/66/EC son el único reglamento vinculante de protección de datos bajo derecho internacional.

Es evidente que la existencia leyes de protección de datos aumente los costes de transacción, por las precauciones se tienen que tomar y también por la estructura de gestión de la información se tiene que crear. En términos económicos la existencia y las diferencias entre las leyes de protección de datos constituyen un obstáculo al libre movimiento de bienes, personas, servicios y capital. Se ve la protección de datos entonces como una barrera más al libre movimiento de bienes y servicios.

Para eliminar los obstáculos al libre flujo de información, una opción (incoherente) sería el abolir las leyes de protección de datos de una vez. Esto contradiría la legislación nacional existente y los derechos humanos fundamentales. Por lo tanto, la segunda opción prevalece; armonizar leyes de protección de datos nacionales existentes. Con ello se pretende introducir un nivel medio de cohesión en el tema de la protección de datos entre estados miembros. Dentro del mercado único los costes de transacción con respecto a protección de datos son armonizados más o menos por la Directiva. Los costes de transacción entre la zona de mercado único y los terceros estados sin legislación de protección de datos, o con niveles de protección de datos por debajo del nivel de mercado único difieren, sin embargo, y causan distorsiones competitivas. Por lo tanto, y debido a estas dos directivas, se mejoraron las transacciones de datos entre países miembros de la Comunidad Europea pero ello añadió un sistema muy complejo para el traslado de datos generales a terceros países.

A todo ello se une que el Artículo 12 del Consejo de Europa de 1981 impone restricciones sobre las transferencias internacionales de datos. De manera análoga, el Artículo 25 de la Directiva Europea impone una obligación a los estados miembros con el fin de asegurar que cualquier información individual acerca de ciudadanos europeos es protegida por la ley a cuando se exporta, y procesa a países fuera de Europa. Dice lo siguiente:

"…Los Estados Miembros vigilarán y permitirán el traslado a un tercer país de datos de carácter personal, siempre y cuando el tercer país en cuestión garantice un nivel adecuado de protección de datos…"

Este requisito ha conseguido desarrollar presión fuera de Europa para crear fuertes vínculos en protección de datos. Los países que se nieguen a adoptar leyes de intimidad significativas se pueden encontrar con la imposibilidad de dirigir ciertos flujos de información con Europa, especialmente si contienen datos sensibles. La determinación del sistema de un tercer país para la intimidad que protege es hecha por la Comisión Europea. El principio que se sobreentiende en este proceso de determinación es que el nivel de protección en el país de recepción debe ser "adecuado" más que "el equivalente." Por lo tanto, un estándar razonablemente alto de protección se espera del tercero, aunque los dictados precisos de la Directiva Europea o de las legislaciones individuales no se necesitan seguir.

Los principios generales impuestos por la directiva y en los que se basan la mayoría de las leyes comunitarias son los siguientes:

· Los datos pueden ser tratados solamente en los países donde la Directiva se aplica.

· La Directiva impone más restricciones (y sanciones elevadamente onerosas ante su no observancia) en cuanto al tratamiento de datos sensibles (datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, unión comercial afiliación, datos acerca de vida de salud o sexo y datos acerca de delitos, acciones criminales, etc…).

· Los datos de carácter personal pueden ser recogidos solamente con propósitos específicos, explícitos y genuinos y no han de ser tratados de forma incompatible con esos propósitos.

· Los datos personales deben ser adecuados, relevante y no excesivos en relación con los propósitos para los cuales fueros recogidos.

· Los datos personales deben ser exactos y han de ser actualizados conforme a la realidad actual del individuo.

· Los datos de carácter personal no deber de ser almacenados durante más tiempo que es necesario para cumplir los propósitos por los cuales fueron recogidos o tratados.

· Los datos deben ser procesados de acuerdo con los derechos establecidos en el Directiva, entre los cuales se encuentra el derecho que tiene el propietario de los mismos a que se le informe del tratamiento de sus datos así como el derecho de acceso, rectificación y cancelación de los mismos.

· Las empresas u organizaciones que posean datos de carácter personal deben de dotarse de medidas técnicas y organizativas necesarias para tratar de manera legal los datos que los protejan además de una pérdida accidental, alteración o destrucción.

· Los datos de carácter personal no deben ser trasladados a un país o territorio fuera de la Unión Europea, a menos que ese país asegure que dispone de un nivel adecuado de protección de los derechos y las libertades de datos en relación al tratamiento de datos personales.

Paulatinamente se fue reconociendo la capacidad para tratar los datos de carácter personal de ciertos países ya que sus legislaciones comenzaban a respetar los principios de la directiva europea.

El 26 de julio de 2000, la Comisión Europea determinaba que tanto Suiza como Hungría proporcionaban protección "adecuada" para la información individual y por lo tanto que todas las transferencias de datos generales a estos países podrían continuar. En enero de 2002, la Comisión Europea reconocía que la Protección de Información Individual Canadiense proporcionaba también protección adecuada a los datos transferidos desde la Unión Europea a Canadá. La decisión de La Comisión de adecuación no cubre datos generales tratados por sectores federales o cuerpos del estado o información procesada por organizaciones individuales y utilizaba para propósitos no-comerciales, como datos recogidos por entidades de caridad o recogidos en el contexto de una relación de empleo.

La Comisión Europea está contemplando en la actualidad el permitir transacciones de datos de carácter personal a varios países externos a la Unión Europea, incluyendo Nueva Zelanda, Australia, y Hong-Kong.

Las Transferencias de Datos con EEUU

Como hemos visto en el párrafo anterior, no se hace referencia alguna a EEUU dentro de los países hacia los que la Comunidad Europea comenzó a autorizar las transferencias de datos.

En concreto, la legislación estadounidense es contrariamente opuesta a los preceptos de la mayoría de las leyes europeas en materia de protección de datos adaptadas a la directiva comunitaria.

Mientras los Estados Unidos y la Unión Europea comparten el objetivo de protección de intimidad para con sus ciudadanos, los Estados Unidos toman un enfoque diferente ya que utilizan un enfoque sectorial que confía en una mezcla de legislación, regulación, y auto-regulación. La Unión Europea, sin embargo, confía en legislación por completo que, por ejemplo, requiere la creación de agencias de protección de datos gubernamentales y el registro de bases de datos por parte de esas agencias. Como resultado de estos enfoques de intimidad diferentes, la Directiva podría haber obstaculizado significativamente la capacidad de compañías de EE.UU. de dedicarse a muchas transacciones transatlánticas.

Para salvar estos enfoques de concepto de intimidad diferentes y para proporcionar un medio dinámico a entidades y organizaciones de EE.UU. de acatar la Directiva Europea, el Departamento de Comercio de EE.UU. junto con la Comisión Europea desarrolló el acuerdo marco "Safe Harbor" o "puerto seguro". El Safe Harbor — aprobado por la UE en el año 2000?constituyó una vía importante para que las compañías de EE.UU. eviten las interrupciones en sus transacciones de negocio con la UE. Certificar el puerto seguro asegurará que las organizaciones de UE sepan que su compañía proporciona protección de intimidad "adecuada", como definida por la Directiva.

El acuerdo Safe Harbor ha generado una larga lista de compañías americanas que cumplen los principios básicos en protección de datos de la directiva europea y contra las cuales las empresas y organizaciones pertenecientes a los países de la comunidad pueden realizar transacciones internacionales de datos con la tranquilidad de estar amparadas por la legalidad. Para adherirse a esta lista las organizaciones estadounidenses tienen que "auto-certificar" que cumplen los estándares promulgados por la directiva europea al departamento de comercio de los EEUU.

Obviamente se otorgan beneficios a empresas que se adhieren al acuerdo Safe Harbor, pero la participación en él y la auto-certificación es totalmente voluntaria. La ausencia de una organización de la lista no significa que no proporcione protección efectiva a datos de carácter personal o que no reúna los requisitos para los beneficios del puerto seguro, pero lo cierto es que, de no figurar en él, no podrá mantener transacciones de datos de carácter personal con los países pertenecientes a la Comunidad Europea.

Además, la notificación de cada empresa perteneciente a la lista será efectiva durante un periodo de doce meses. Por lo tanto, las organizaciones necesitan informar al Departamento de Comercio año con el fin de reafirmar su adherencia continuada al acuerdo marco Safe Harbor, en virtud del principio de "datos actualizados" de la directiva.

Contratos Privados

Otra posible forma de proteger la intimidad de información transferida a países que no proporcionan "protección adecuada" es establecer un contrato privado que contiene cláusulas contractuales de protección de datos estándares. Este tipo de contrato ataría el tratamiento de datos con el fin de respetar prácticas de información acertada y acorde con el derecho. En el caso de datos transferidos de la Unión Europea, el contrato tendría que tocar el estándar para satisfacer la Directiva en Protección de Datos. Varias cláusulas modelo que se podría incluir en un contrato de ese tipo fueron esbozados en 1992 dentro de un estudio realizado de manera conjunta por el Consejo de Europa, la Comisión Europea y la Cámara Internacional de Comercio. En junio de 2000 informe, el Parlamento Europeo acusaba a la Comisión europea de una "omisión grave " al fracasar en preparar el estándar contractual de cláusulas que los ciudadanos europeos podrían invocar en los tribunales de terceros países antes de la Directiva de Datos.

En julio de 2001, la Comisión emitía una sentencia definitiva aprobando las cláusulas contractuales estándar. Durante el proceso que prepara, los Estados Unidos criticaban el estándar europeo alegando que era "excesivamente oneroso" e "incompatible con el funcionamiento real de las transacciones de datos mundiales.

Reglamentos Técnicos

Una vez asegurado el que se cumplen los principios básicos de las leyes sobre protección de datos en ciertos países donde se pretende transaccionar con ellos, sea mediante directivas comunes o mediante el establecimiento de contratos privados, el siguiente paso que se debería contemplar a mi juicio sería el conseguir unificar los diferentes reglamentos técnicos de tratamiento de ficheros informáticos que contengan datos de carácter personal entre sí con el fin de que los programas y sistemas de información que los tratan puedan seguir ciertos protocolos estandarizados.

Como sabemos, los reglamentos constituyen el manual de referencia para que la empresa u organización pueda conocer paso a paso cómo debe de realizar el tratamiento de los datos que posee, como por ejemplo: la realización periódica de copias de seguridad así como un almacenamiento e inventariado adecuado de las mismas, el establecimiento y ensayo de políticas de recuperación de datos, la creación de perfiles y permisos de acceso a los sistemas o recursos que tratan los datos de carácter personal, la necesaria tarea de llevanza de registros o logs de acceso y de incidencias técnicas, etc…

Los que pertenecemos al mundo de la informática sabemos que esto no son más que medidas de "sentido común" para conseguir que los programas informáticos no se conviertan en nuestros enemigos sino en un activo más de la empresa o entidad que trata datos personales. A todo ello debemos de añadir que es tan importante el dotarse de sistemas y recursos informáticos coherentes como el formar adecuadamente al personal que los trata. De nada nos sirve disponer de la tecnología más avanzada y de planes de contingencia y operatividad adaptados a la legislación vigente en protección de datos, si luego los encargados de manipular esos recursos no siguen unas pautas mínimas, siempre mencionadas en los reglamentos, que les ayuden a que esos datos sean CONFIDENCIALES, estén DISPONIBLES para los que tienen que trabajar con ellos y sean ÍNTEGROS durante todo el flujo de tiempo en el que la organización dispone de ellos.

Por ello considero que es necesario establecer a nivel europeo e internacional un reglamento común que lleve a cabo un modus-operandi fijo que trate los ficheros de datos personales preservando los principios de CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD. Así, los diferentes proveedores que realicen y comercialicen aplicaciones y sistemas de información que puedan tratar datos de carácter personal, deberán de adecuarlos a éste reglamento común y seguir sus estándares.

En definitiva, no sólo es necesario el establecimiento de directivas comunes y leyes que regulen la protección de los datos de carácter personal sino también el crear códigos de buenas prácticas cuyo componente técnico sea el principal, que adapten y sirvan de manual para los desarrolladores de productos y redes y para el personal que tenga acceso a ellos.

Una Agencia de Protección de Datos Internacional

Si, como hemos visto, creo que es importante el establecimiento de reglamentos técnicos comunes, considero además que es vital la creación de una agencia de protección de datos internacional u organismo de coordinación similar que vigile por el cumplimiento de todos estos puntos.

Los principios que siguen las agencias de protección de datos ya existentes son los siguientes:

· Las autoridades de protección de datos deben ser autoridades públicas implementadas por el articulado legal. Este marco legal, derecho, ley o (según tradición local) medida reguladora, debe ser transparente y tener "suficiente permanencia".

· La autoridad debe tener el beneficio de garantías de autonomía e independencia.

· Debe de ser, de manera especial, capaz de realizar sus acciones sin tener que pedirle autorización a nadie, actuando de forma libre y con independencia política o gubernamental; además, debe de resistir la presión por parte de ciertos grupos de interés.

· Esta autoridad debe de tener no solamente un papel consultivo, sino que debe de ostentar también un poder de vigilancia que incluya consecuencias legales o administrativas.

En la actualidad se están llevando a cabo diversos acuerdos o convenios marco entre algunas autoridades europeas e iberoamericanas en protección de datos, pero obviamente lo ideal sería el establecimiento de una entidad internacional que cohesionara a todas ellas. Como podemos ver en el siguiente ejemplo, que reproduce el texto del convenio marco firmado en Octubre de 2004, los puntos en los que se inciden son prácticamente los mismos que hemos mencionado anteriormente.

Acuerdo entre APD y Agéncia Búlgara

"El objetivo del acuerdo es incrementar la cooperación entre Autoridades de Protección de Datos, de cara a establecer una aplicación uniforme de las legislaciones nacionales de protección de datos existentes y para afrontar los retos de la Sociedad de la Información. Para ello, la Agencia Española de Protección de Datos contribuirá con la experiencia adquirida en proyectos de cooperación con Autoridades de Protección de Datos de los nuevos Estados Miembros de la Unión Europea en la implantación del acervo comunitario en el campo de la protección de datos. Ambas instituciones desarrollarán acciones conjuntas en materia de protección de datos en relación con: el desarrollo legislativo, la cooperación en el campo internacional, el intercambio de información, especialmente el referido a la supervisión y el control, y el intercambio de experiencias en el campo de los nuevos desarrollos tecnológicos y legislativos…"

"…Ambas instituciones de supervisión de protección de datos son conscientes de la inevitable necesidad de incrementar la cooperación entre Autoridades de Protección de Datos, de cara a establecer una aplicación uniforme de las legislaciones nacionales de protección de datos existentes y para afrontar los retos de la Sociedad de la Información. Esta necesidad incluso se ha incrementado por el reconocimiento explícito del derecho fundamental a la protección de datos personales que ha realizado la Carta de Derechos Fundamentales de la Unión Europea y el Proyecto de Tratado que establece una constitución para Europa…"

"…Las dos Autoridades de supervisión han identificado los campos en los que el trabajo conjunto sería más beneficioso para las dos instituciones y, por lo tanto, éste podría ser dirigido a los siguientes campos, sin excluir otras áreas que pudieran aparecer en un futuro:

– Desarrollo legislativo para obtener una adecuada protección de los derechos de los ciudadanos.

– Cooperación en el campo internacional, dirigida a la obtención de una solución armonizada a los distintos problemas.

– Protección de datos en los campos de cooperación policial y judicial en aras a preparar la participación de la Comisión Búlgara en las Autoridades Comunes de Control del Tercer Pilar (Schengen, Europol, Sistema de Información Aduanera y Eurojust).

– Intercambio de información, especialmente la referida a la supervisión y el control.

– Intercambio de experiencias en el campo de los nuevos desarrollos tecnológicos y legislativos…"

Lo necesario sería ahora que todos los países o territorios en los que existe un acervo medio sobre protección de datos, reprodujesen este mismo tipo de acciones.

Mapa Mundial de Competencias en protección de datos

Según el Informe Privacy & Human Rights 2003, el mapa global que comprende la legislación mundial sobre protección de datos tiene el siguiente aspecto:

Como podemos ver en el mapa, los tres colores representativos están bien repartidos y cada uno de ellos supone un tercio aproximadamente de la superficie mundial.

Resulta curioso como EEUU puede equipararse en este gráfico con África y el medio o lejano oriente, mientras que países en vías de desarrollo como la India o Centroamérica, están en vías de adaptarse a una legislación efectiva en materia de protección de datos.

Hasta que entre todos no consigamos que los colores de mapas como este se unifiquen o tengan un componente predominantemente azul, seguirán existiendo las posibles vulnerabilidades de nuestros datos ya que, aunque nuestro país siga fielmente la legislación consensuada, un sencillo viaje de vacaciones a EEUU o un buzón de correo electrónico gratuito en un proveedor de otro país, puede hacer que nuestros datos sean captados, tratados, intercambiados o vendidos por entidades (públicas o privadas) que, no estando sujetas en su país a ningún tipo de ilegalidad, vulneren gravemente los principios en los que está basada nuestra sociedad y nuestra vida privada.

¿Qué podemos hacer nosotros como ciudadanos? ¿Escudriñar el mapa de la página anterior para saber a qué países podemos viajar "de manera privada"? o bien ¿Debemos de no mantener correspondencia electrónica a través de proveedores extranjeros aunque sean más económicos que los existentes en nuestro país?. Es aberrante el solo hecho de plantearse estas preguntas …¿o no?.

Bibliografía

· Acuerdo de Cooperación entre las Autoridades Españolas y Búlgara de Protección de Datos AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, 6 de Octubre de 2004

· Decisión de la Comisión de las Comunidades Europeas sobre la transferencia de los datos de pasajeros a los Estados Unidos. CEE 15 de Julio de 2004

· Directiva de EC sobre la Protección de Datos 95/46/EC Comunidad Europea ? Año 95

· Directiva de Protección de Datos de Telecomunicación 97/66/EC Comunidad Europea ? Año 97

· Informe Privacy & Human Rights 2003 – Cedric Laurant (Electronic Privacy Information Center) ? Enero de 2003

Beatriz Martínez Cándano