Dr. Matías Jackson – Facultad de Derecho, Universidad de la República Uruguay
Palabras Claves: Protección de Datos Personales, Privacidad, Privacy Bridges, Amsterdam, Unidad Reguladora y de Control de Datos Personales, URCDP, Uruguay
La Ley 18.331 de Protección de Datos Personales [1] estableció el marco normativo específico para la protección de los derechos de los titulares de datos personales en Uruguay, así como las garantías administrativas y judiciales necesarias para el ejercicio y respeto de estos derechos.
A partir de su promulgación se puede observar que tanto empresas públicas y privadas, como particulares han adquirido una mayor conciencia acerca de la necesidad de respeto hacia la información que tienen en su poder y que ponen en circulamiento.
La Ley estableció un marco normativo basado en modelos europeos, lo que llevó al reconocimiento de Uruguay como país con niveles adecuados de protección [2]. Estar a la altura de la protección brindada por la Unión Europea plantea desafíos y una continua mejora al sistema.
Para analizar cómo podemos incidir en la mejora de la ley, su reglamentación y aplicación es que tomaremos como referencia el trabajo denominado “Privacy Bridges” o “Puentes de la Privacidad” en español, que fuera presentado en la 37ª Conferencia Internacional de Protección de Datos de Octubre del año 2015, celebrada en Amsterdam, Holanda.
El documento, realizado por más de 15 expertos internacionales en la materia, presenta diez recomendaciones, llamados “Puentes”, para acercar el funcionamiento del Grupo de Trabajo del Artículo 29 de la U.E. y la Comisión Federal de Comercio (o FTC, por sus siglas en inglés) de Estados Unidos, tras la caída del Acuerdo “Safe Harbour” por Sentencia del Tribunal de Justicia de la Unión Europea.
El informe reconoce que las leyes nacionales son perfectibles pero no ingresa a estudiarlas. Deja ese ámbito relegado para las instituciones democráticas. Lo que sí plantea son cuestiones prácticas y de reglamentación para mejorar la aplicación de la normativa ya existente.
Extrapolando las diez recomendaciones brindadas a la realidad de Uruguay, en este trabajo veremos cómo se pueden tomar medidas y/o realizar reformas normativas para garantizar un mejor tratamiento para los datos personales y un mayor respeto por la privacidad.
A continuación se detallan algunos aspectos teóricos y prácticos que a juicio del suscripto deberían ser mejorados para así impulsar una mejor protección, acorde a los tiempos y tecnologías actuales.
1. Profundizar el trabajo del Consejo Consultivo de la URCDP
El primero de los “Puentes” de que habla el informe se refiere a “Profundizar el Grupo de Trabajo del Artículo 29”, reconocido grupo constituído por la Unión Europea para analizar lo referente a cuestiones de Privacidad en el territorio comunitario.
La Ley prevé que la dirección técnica y administrativa de la Unidad de Regulación y de Control de Datos Personales (URCDP) estará a cargo de un Consejo Ejecutivo compuesto por tres miembros. Este consejo se verá asistido por el Consejo Consultivo de cinco miembros representantes de cinco áreas distintas: Poder Judicial, Poder Legislativo, Ministerio Público, Academia, y Sector privado.
El Consejo Consultivo “Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de su competencia y deberá ser consultado por éste cuando ejerza potestades de reglamentación.”
La realidad indica que el Consejo ha desarrollado escasa actividad. En el sitio web de la URCDP figura el acta de la única reunión realizada en Abril de 2010, en la que no se trataron más temas que los protocolares por ser la primer reunión de presentación de miembros y trabajo de la Unidad.
El órgano que se supone agrupa a los expertos que mejor conocen la materia se está desaprovechado totalmente. No es necesaria ninguna reforma legal para que se ponga en funcionamiento, y sus opiniones podrían ser referentes para interpretar la Ley.
2. Mejorar el control de los usuarios
Luego de 8 años desde la promulgación de la Ley, no han existido a nivel judicial grandes cantidades de reclamos de particulares exigiendo el control sobre sus datos.
Ante esta eventualidad surgen dos posibles lecturas: Un excelente trabajo de la URCDP en la etapa preventiva y/o administrativa, o que abogados y jueces no han sabido apropiarse del proceso de Habeas Data.
En muchas ocasiones, el interesado utiliza el proceso previsto en la Ley de Acceso a la Información Pública (Ley 18.381) [3], para acceder a sus propios datos, cuando correspondería utilizar la vía de la 18.331.
3. Mayor transparencia
Los expertos coinciden en que es necesaria una mayor información en cómo se usan los datos, cómo éstos son protegidos, por quiénes, etc. Que los responsables expliquen las políticas de datos.
En la Unión Europea se trata de la obligación de contar con un encargado de la privacidad o “Data Protection Officer” en empresas de gran porte, como parte de la toma de conciencia general. En Uruguay existe un gran desconocimiento, no sólo de los ciudadanos de “a pie” sino también de los gerentes de las empresas, que cada vez más deben verse involucrados en estas cuestiones.
4. Mecanismos para quejas de usuarios
Un mayor conocimiento por parte de la población en general de los principios y normativa referente a la Protección de los Datos contribuye a su apropiación y defensa de derechos. En este sentido la URCDP recibe las denuncias de los ciudadanos que puedan ver vulnerados sus derechos por terceros.
Igualmente hoy en día continúa siendo difícil para los usuarios poder navegar y encontrar las resoluciones de la Unidad en su sitio web. Creemos que algo tan sencillo como la inclusión de etiquetas o metatags en las resoluciones y dictámentes facilitaría su búsqueda y estudio.
5. Acceso del gobierno a los datos de los ciudadanos
La quinta recomendación del informe refiere a las actividades de vigilancia de las telecomunicaciones que realizan los Gobiernos locales y extranjeros sobre los ciudadanos.
Las actividades de vigilancia, propias de la función de seguridad del Estado debe ajustarse a la regla de derecho. Que la Ley 18.331 en su artículo 3 excluya de su ámbito de aplicación las bases que tengan por objeto la seguridad pública y defensa del Estado, no justifica el apartamiento a los principios rectores del sistema.
Hoy el marco normativo sobre interceptación de telecomunciaciones en Uruguay es bastante escueto por lo que se debe reconsiderar cómo garantizamos la defensa de otros derechos en la lucha contra la delincuencia. Las prácticas de vigilancia deben ajustarse a una razonable transparencia, proporcionalidad y principios de responsabilidad.
6. Mejorar las prácticas de anonimización o “desidentificación”
Si bien los expertos coinciden en que cada vez es más difícil lograr la completa anonimización de los datos, se pueden establecer estándares comunes tendientes a garantizar un adecuado manejo de datos sin comprometer la identificación del individuo. Con ello se buscaría mejorar las prácticas de las empresas y el gobierno.
7. Mejorar las prácticas de seguridad de la información
Está indicación está orientada a la notificación de los usuarios acerca de los quiebres en la seguridad de los servidores que almacenan datos personales.
En Uruguay, tanto la Ley como su Decreto Reglamentario establecen una obligación de resultado para los encargados de las bases de datos en cuanto a su responsabilidad por las medidas de seguridad a adoptar. Están obligados a adoptar “aquellas medidas técnicas y organizativas que resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad.” (Art. 7 del Decreto)
Es necesario conocer las brechas que puedan existir para de esa manera estar más informados y conocer quiénes están a cargo de nuestra información. Una queja común entre el personal de sistemas es conocer cuáles son sus obligaciones de forma clara. A veces resulta difícil explicar el concepto de “buen padre de familia” a quienes provienen del estudio de la informática.
8. Responsabilidad de los encargados del manejo
En Uruguay, ninguna de las 3 empresas de telecomunicaciones (ANTEL, CLARO y MOVISTAR) tiene en su sitio web publicados los protocolos y reglas sobre el manejo que realizan de los datos de sus clientes. La Unidad Reguladora de Servicios de Comunicación (URSEC) y la URCDP deberían orientar mejor a estas empresas por su importancia en la sociedad de la información y el volumen de información que manejan.
Se da la paradoja que podemos saber cuántas veces el gobierno uruguayo le pidió información a Facebook en Estados Unidos pero no cuantas veces a Movistar acá mismo, en Uruguay. Los grandes intermediarios en Estado Unidos están obligados a publicar esta información anualmente, lo cual luego es recogido por la prensa internacional.
El manejo de datos por las empresas, y especialmente las de telecomuncaciones podría ser considerado hoy en día un elemento más de la Responsabilidad Social Empresarial.
9. Coordinación entre gobiernos
El segundo país al que se producen más transferencias de datos desde Uruguay, después de Estados Unidos, es Argentina. Para pensar en un MERCOSUR referente en la materia es necesario unificar criterios, no trabajar cada país por su propia cuenta.
Cada vez es más necesaria la creación de un Sello de identificación para reconocer las empresas que respetan el uso de datos personales y que son auditadas por especialistas.
10. Incentivar investigaciones sobre privacidad
La Agencia Española establece premios orientados a la Academia, de los cuales han surgido tesis de gran nivel que ayudan a la comprensión del tema y su divulgación entre operadores jurídicos, llámese estudiantes, abogados, jueces, o fiscales.
Uruguay y los demás países de la región podrían tomar esto como ejemplo y apoyar desde las Universidades o las Agencias de Protección de Datos a que más profesionales se interesen y dediquen a estudiar el sistema.
Conclusiones
1) Estos 10 puntos que no necesitan una reforma legal, sino reglamentación y mayor difusion y comunicación de los derechos y obligaciones. Una mayor educación en la materia resolvería muchas carencias.
2) La Ley 18331 realizó el marco, peor no por ello debemos dejar de pensar en regulaciones más específicas atendiendo circunstancias especiales y que requieren una profundización, como puede ser el sector de telecomunicaciones o las actividades de videovigilancia.
3) La URCDP debe generar más información. Reportes, comunicados, tener rol más activo y de diálogo con la sociedad civil.
4) Pero también desde la contraparte de la sociedad. Una sociedad civil organizada enfocada en estos temas y centrada en la privacidad de los ciudadanos.
[1] Publicada en el Diario Oficial el 18/08/2008.
[2] Ley 19.030 “Apruébense el Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Adicional”.
[3] Publicada en el Diario Oficial el 07/11/2008.
Trabajo presentado en evento: “Privacidad y Vigilancia en la era Digital: Nuevos desafíos”, Facultad de Ingeniería, Universidad de la República, 10 de diciembre 2015.
0 Comments