Introducción
El siguiente tema tiene una gran vinculación con los
derechos en tensión de la sociedad de la información en la que vivimos,
actualmente, tanto la circulación como la recolección de datos se ha
intensificado en torno al avance de la tecnología, por lo que es menester
asegurar que los derechos de los individuos no se vean afectados, o de lo
contrario, estos sean protegidos ante eventuales violaciones.
Para resolver tal cuestión, tomaré como base la Ley de
Protección de Datos Personales (N° 18.331), sin perjuicio de que antes de
adentrarme a los principios de la misma, daré ciertos conceptos que considero
esenciales.
Finalmente, mencionaré las posibles acciones que puede
tomar la persona -tanto física como jurídica- respecto a sus datos personales,
mejor denominada “habeas data”, que también se encuentra incluido en la ley.
Como crítica a la regulación en sí misma, considero
que la viabilidad de esta protección de datos en la modernidad implica cierta
dificultad, por el hecho de que generalmente en el uso de la tecnología, las
personas están continuamente expuestas a riesgos sobre sus datos personales
-incluso conscientemente-, pues hay una cultura de evadir la lectura de los
“términos y condiciones” de los servicios que demandamos, y se aceptan
indiscriminadamente. Esto se suma a que, la información que llega a determinada
red muy difícilmente pueda ser revocable en cuanto a las consecuencias que
tuvo, pues se pudo haber dañado el derecho al honor de un individuo, y por más
se ratifique, siempre habrá cierta memoria de lo que se dijo e incluso puede
seguir en circulación a través de otros medios digitales. Aun así, considero
que es importante conocer cuáles son nuestros derechos y medios para hacer
valer los mismos cuando nos encontremos lesionados, pues si los ignoramos no
podríamos estar alerta a las constantes vulneraciones que suceden en la era
digital.
Conceptualizando
A modo de aclarar el estudio, me pareció elemental
dejar en claro ciertos conceptos aplicables, que, si bien son especificados en
el artículo 4 de la Ley 18.331, requieren un mayor desarrollo. En primer lugar,
se debe abordar qué se entiende por dato personal, este se expresa en la ley
como “información de cualquier tipo referida a personas
físicas o jurídicas determinadas o determinables” (Art. 4 literal D), esto supone que es aquella
información que me permite identificar a una persona, tal como su nombre,
dirección, teléfono y demás. Estos se diferencian de los datos biométricos, en
tanto estos últimos sugieren cierta identificación única que la proporciona una
técnica particular, donde entrarían las autenticaciones a través de la imagen o
voz. En unión a esto, también hay una diferencia en cuanto a los datos
sensibles que son especialmente protegidos (Artículo 18 de la ley
analizada), sin perjuicio de que atendiendo a los títulos de los
capítulos, los datos biométricos también entrarían en tal clasificación
-observando el error en el sistema de Impo al colocar dos veces la expresión-.
Pero, volviendo a los datos sensibles, vemos que estos son “datos personales
que revelen origen racial y étnico, preferencias políticas, convicciones
religiosas o morales, afiliación sindical e informaciones referentes a la salud
o a la vida sexual.” (Art. 4 lit. E) debido al carácter de protección que
estos contienen, tomando en cuenta las referencias que derivan de tales datos,
vemos que la persona no se encuentra obligada a proporcionarlos, a menos que se
tengan detrás razones de interés general o haya un consentimiento expreso. En
este sentido, Risso (2006) señala que es necesario que para que cierto criterio
sea considerado como interés general, se debe realizar un juicio de proporcionalidad
entre los derechos que hay en juego, además, de que la obtención de estos datos
no se debe basar en una simple curiosidad, sino que debe haber una
razonabilidad y un fin legítimo detrás.
Entre las demás razones por las cuales,
excepcionalmente, sí se admite el tratamiento de datos sensibles, encontramos
la finalidad científica o estadística (siempre y cuando haya una disociación de
datos en donde las personas no sean identificadas en su particularidad), si la
poseen partidos políticos, asociaciones religiosas o demás, en relación a sus
miembros o asociados, o respecto a personas que hayan cometido infracciones (civiles,
administrativas o penales de la normativa vigente).
Adicionalmente, respecto a los datos de especial
protección, ingresan los datos pertenecientes o relativos a la salud (física o
mental, en donde el secreto profesional adquiere gran relevancia),
telecomunicaciones, actividad comercial y publicitaria, que, sin detenernos
mucho en ellos, resulta importante aclarar que debido a las características
propias que tiene cada derecho, razonablemente necesitan de mayor exigibilidad.
Respecto a los sujetos involucrados en tal situación,
vemos que se encuentra en primer lugar el titular, debido a que los datos de
este serían el objeto del tratamiento, en este sentido, la regulación menciona
que tal posición se toma en cuenta siempre y cuando tal objeto pertenezca al
margen de aplicación de la ley, pues no se podría reclamar cierta sanción que
quedara fuera del ámbito de esta. Este ámbito de aplicación se ve expresado en
el artículo 3 de la ley estudiada, el cual detalla que se aplica a aquellos “datos
personales registrados en cualquier soporte que los haga susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos
público o privado”. Por otra parte, tenemos a los responsables de la base
de datos o tratamiento, quien decide sobre la finalidad, contenido y uso, así
como también la figura del destinatario -que puede ser o no un tercero- y
terceros -que son diferentes al responsable y titular de los datos-, de esta
forma, la facultad que tiene el titular es de decidir qué información quiere
otorgarle a los terceros (que pueden ser el Estado o particulares), además de
otras implicancias como el uso que tendrá tal información, quiénes la tendrán y
para qué, entre otras.
De esto surgiría la duda también, de qué se entiende
por tratamiento de datos, la ley establece determinado concepto: “operaciones
y procedimientos sistemáticos, del
carácter automatizado o no, que permitan el procesamiento de datos personales,
así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.” (Art. 4 lit. M). Con relación a esto, tenemos
la posibilidad que se suele dar con mayor frecuencia en las estadísticas de los
medios masivos, de aplicar una disociación de datos, esto supone que la
información que se muestre no se relacione de forma directa con cierta persona
en específico, sino que sucede una separación entre la determinación del
individuo y los resultados que se quieren demostrar.
Por último y no menos relevante, considero mencionar -entre
otras definiciones más que la ley señala- el concepto de base de datos, el cual
también se consagra en el mismo artículo mencionado, esta sería el “conjunto
organizado de datos personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad de su formación,
almacenamiento, organización o acceso” (Art. 4 literal A).
Derecho a la protección de datos personales
Como se mencionó al comienzo, tal regulación tiene una
relación cercana con los derechos a la intimidad, imagen y honor. Esto se basa
en que el individuo cuenta con cierto umbral de protección sobre su vida
privada, pues hay un conjunto de datos de su entorno que quedan fuera del
conocimiento de las demás personas, y por lo tanto tiene el derecho de que no haya
intromisiones físicas, psíquicas e incluso electrónicas (Risso, 2006), aun así,
en defensa de tales derechos surge la Ley 18.331.
Toda persona, por su condición de tal tiene derechos y
obligaciones, por lo que, si nos remitimos a los Tratados Internacionales y la
propia Constitución de Uruguay, vemos que los datos personales también están
protegidos en ambas regulaciones, especialmente haciendo alusión a la
Convención Americana de DDHH (que hace alusión a la protección de la honra,
vida privada y honor de la persona), y los artículos 7, 10 y 72 de la Carta
Magna que reconocen tales derechos.
En este sentido, que se protejan los datos personales indica,
como lo menciona el manual de Bauzá (2018), un gran desarrollo en tanto los
derechos tienden a expandirse e ir protegiendo a mayor escala y de manera más
eficaz conforme pasan los años, esto se debe a que, no se necesita meramente
una protección de exclusión de las demás personas de la esfera privada de un
individuo, sino dar un paso más y otorgarle más derechos a este respecto a cómo
son recolectados y tratados sus datos personales. Esto nos lleva a tener en
cuenta que la privacidad (si bien se relaciona) no es lo mismo que la
protección de estos datos, pues puede bien haber una vulneración respecto a los
datos personales, sin que se vulnere la intimidad de la persona, y lo mismo
puede suceder al revés, pero sin dudas ambas son necesarias para garantizar al
individuo que podrá accionar ante situaciones arbitrarias.
Principios generales de la ley 18.331
A partir del artículo 5 de la ley, podemos ver
detallados ciertos principios por los cuales se deben regir los responsables de
las bases de datos (además, de como menciona el último inciso, de servir como
criterios de interpretación al analizar un caso en concreto). Estos son: legalidad,
veracidad, finalidad, previo consentimiento informado, seguridad de los datos,
reserva y responsabilidad.
Respecto a la legalidad (artículo 6 de la ley 18.331),
se expresa la necesidad de inscripción y cumplimiento de las reglamentaciones
por parte de las bases de datos para que sean tomadas como lícitas, sumado que
estas no pueden violar los derechos humanos ni ser “contrarias a las leyes o a la moral pública”.
El principio de veracidad (artículo 7), supone que los
datos deben cumplir con ciertas características, entre ellas que sean “veraces,
adecuados, ecuánimes y no excesivos”, esta exactitud de la información se
relaciona con que la recolección no debe realizarse de forma desleal o
fraudulenta, a la vez que, si se constata que la información no es o dejó
de ser exacta, el responsable del tratamiento debe actualizar dichos datos para
que retomen su carácter veraz, o bien suprimirlos si ya caducaron.
La finalidad (artículo 8) supone que, si se tenía
cierto fin a la hora de obtener datos, la utilización no puede ser incompatible
con tales fines, no se podría utilizar información para otra razón por la que
fue exclusivamente obtenida, esto se suma a que, si se cumple con tal fin, los
datos deben ser eliminados (sin perjuicio de ciertas excepciones que impone la
ley, como es el caso de un dato que contiene cierto valor histórico).
Por otra parte, tenemos el principio del previo
consentimiento informado (artículo 9), supone que la licitud del tratamiento de
los datos se dará necesariamente si la persona la cual será objeto, dio su
consentimiento para ello. Este consentimiento tiene ciertas especificaciones,
pues debe ser libre en tanto la persona no se vea ni obligada ni presionada a
brindar sus datos personales, debe llevarse a cabo por su propia voluntad
teniendo la posibilidad de acceder o no a darlos; previo, teniendo en cuenta que,
por cuestiones razonables el consentimiento debe expedirse anterior a la
recolección de los datos, pues sería inadmisible consultar a la persona si
consiente que recabemos sus datos luego de ya contar con ellos; expreso, de
modo que no puede haber un consentimiento que se atribuya de forma implícita o
tácita, sino que no deben quedar dudas de que la persona consintió la
recolección, documentado, que si bien la ley no señala de qué forma se debe
llevar a cabo esto, podríamos tomar las regla generales a modo que esto sea
verificable, incluso Flores (2008) expresa que “no puede haber duda de la
necesidad de que el documento deba ser escrito, o informático, si cumple las
formalidades de seguridad correspondientes”, y por último, informado, pues
la persona debe conocer la finalidad de la recolección de sus datos y demás
consideraciones en razón de poder ejercer su derecho en el caso de que sea
necesario.
Si bien lo mencionado en el párrafo anterior es el
principio general, la ley habilita cuatro excepciones en donde no será
necesario el previo consentimiento, que deben ser interpretadas de manera
restrictiva para proteger los derechos de los titulares, pues justamente,
implican una excepción y deben ser tomadas como tal. Estas son en cuanto los
datos deriven de “fuentes públicas de información”, como pueden ser los
registros en medios de comunicación masiva; en razón del ejercicio de las
funciones del Estado; listados que se limiten a “nombres y apellidos,
documento de identidad, nacionalidad, domicilio y fecha de nacimiento” en
el caso de personas físicas, o “razón social, nombre de fantasía, registro
único de contribuyentes, domicilio, teléfono e identidad de las personas a
cargo” en el caso de las personas jurídicas. A esto se le suma, si son
recolectados en torno a una relación contractual en donde sean necesarios para
el cumplimiento, o si se deben a un uso exclusivo o doméstico.
Respecto a este principio, considero relevante
mencionar el artículo 6 del Decreto N° 414/009 que reglamenta dicha ley, puesto
que en el último inciso se señala que, “vencido plazo de diez días hábiles
desde que el titular de los datos reciba la solicitud de consentimiento sin que
se manifieste, su silencio equivaldrá a una negativa”, esto tal como señala
Bauzá (2018), tiene una visión pro homine, puesto que si la persona no aclara
su consentimiento, a modo de proteger sus derechos de la mejor manera, la ley
se inclina a no injerir en sus datos personales.
Pasando al siguiente principio, vemos la seguridad
(artículo 10), que como se detalla en la ley, supone la adaptación de ciertas
medidas para proteger el carácter confidencial y seguro de los datos personales,
a modo de prevenir la pérdida o desviación de información que puede ser provocada
por una persona o el propio medio técnico. Además, este principio se integra
por la exigibilidad de que sea accesible al titular de la información lo que
esté almacenado en la base de datos, este derecho de acceso lo explicaré más
adelante.
El penúltimo principio es el de reserva (artículo 11),
esto tiene relación con el principio de finalidad, puesto que los datos deben
ser tratados reservadamente, pero no solo implica que haya confidencialidad,
sino que, dentro de los fines por los que se rige la recolección de tales
datos, se realicen ciertas acciones activas a modo de proteger la información,
entre estos, mantener la exclusividad del fin por la que fue motivada la base
de datos, y mantener el secreto profesional, si ciertas personas accedieron a
la misma en razón de su trabajo.
Por último, contamos con el principio de
responsabilidad (artículo 12), este se trata de que, en caso de que haya una
violación de las disposiciones de la ley, la responsabilidad recaerá en quien
era responsable y el encargado de la base de datos o su tratamiento. De este
modo, estos deben adoptar medidas con el fin de garantizar la protección de los
datos personales -por más que dependiendo de la naturaleza de estos, las
medidas varíen-, el artículo menciona ciertos ejemplos: “privacidad desde el
diseño, privacidad por defecto, evaluación de impacto a la protección de
datos”.
Derechos ARCO
Para el desarrollo de este tema es relevante conocer
los denominados derechos “ARCO”, que hace alusión a los derechos de acceso,
rectificación, cancelación y oposición.
El derecho de acceso refiere, según el artículo 14 de
la ley, a que el individuo identificado como titular de ciertos datos
personales, tiene la potestad de “obtener toda la información que sobre sí mismo
se halle en bases de datos públicas o privadas”. Tal acceso tiene que darse
de cierta forma, pues la información tiene que ser suministrada en forma
clara, puesto que el lenguaje no podría estar codificado, imposibilitando a
la persona -teniendo como base el conocimiento medio- a comprender aquello que
le habilitaron su acceso, esto implica que, en el caso de que sea necesario, los
datos estén acompañados por una explicación, esto se debe a que, no tendría
esencia dar acceso de sus datos a una persona, si esta no es capaz de dar uso
al lenguaje utilizado, pues indirectamente se estaría incumpliendo con tal
derecho. En esta línea, la información debe ser amplia -se debe habilitar el
acceso al registro total de datos-, por más se haya requerido cierto aspecto o
dato personal en específico, sin embargo, no se puede suministrar información
sobre terceros por más haya una vinculación con quien lo solicita.
A su vez el artículo señala que la información puede
ser dada por “escrito, por medios electrónicos, telefónicos, de imagen, u
otro idóneo a tal fin”, respecto a esto, al momento de solicitar el acceso,
la persona podría señalar cuál medio le es de mayor utilidad o preferencia, sin
embargo, la autoridad no está obligada a entregar la información específicamente
por tal medio.
Este derecho puede ser ejercido gratuitamente al cabo
de seis meses, pero se establece como salvedad, aun no se corresponda al plazo,
con que haya un interés legítimo. No necesariamente tiene que ser llevado a
cabo por la persona titular de los datos personales, puesto que, si esta
falleciera, la potestad podrá pasar a sus sucesores, quienes también podrán accionar
con el mismo carácter.
Respecto al plazo de la información que se debe
proporcionar, el artículo menciona cinco días hábiles luego de realizarse la
solicitud, de este modo, si no se cumple con el plazo determinado y el derecho
no fue satisfecho o se denegó arbitrariamente, se da lugar al recurso de habeas
data, del cual profundizaré más adelante, y que se habilita de igual forma,
ante el incumplimiento de los demás derechos a continuación.
Por otro lado, tenemos el derecho de rectificación (al
cual se agrega la actualización e inclusión), consagrado en el artículo 15 de
la ley, es una potestad que tiene el titular de los datos personales que surge
en cuanto haya un error, o se haya excluido cierta información necesaria
respecto al individuo. En cuanto esto sea solicitado, el responsable del
tratamiento cuenta con cinco días hábiles para llevarlo a cabo, o de lo
contrario, informar las razones por las que no corresponde ratificar o
actualizar.
Luego, el derecho de cancelación refiere a la
supresión de los datos personales del medio en que se encuentren,
independientemente de la naturaleza de la base de datos, esto puede deberse a
varias razones, entre las que encontramos: “A) Perjuicios a los derechos e
intereses legítimos de terceros. B) Notorio error. C) Contravención a lo
establecido por una obligación legal”. (Artículo 15 ley 18.331). Al
principio del trabajo, se mencionó que habrían ciertas excepciones respecto al
mantenimiento del dato personal en el tiempo (razones históricas o
científicas), sin embargo, el principio general, en cuanto es solicitado por el
titular, es de analizar la información de acuerdo a la afectación de los
derechos o existencia de errores.
En cuanto al derecho de oposición, se deja en claro
que su aplicabilidad se da cuando el titular se niega al tratamiento de sus
datos (que la recolección se concluya debido a ciertas consecuencias que pueden
provocar la continuidad de esto), teniendo en consideración que los datos se
hayan obtenido de documentos accesibles al público o de manera consentida (Bauzá,
2018).
Aparte de tales derechos, se pueden mencionar otros,
tal como el derecho al olvido (que en su esencia, sería similar a la supresión),
a la impugnación de valores personales y a la portabilidad. En el primer caso,
tomando la sentencia T. 414/92 de la Corte Constitucional de Colombia, vemos que
“los datos por su naturaleza misma tienen una vigencia limitada en el tiempo,
la cual impone a los responsables o administradores de bancos de datos la
obligación ineludible de una permanente actualización (…) informaciones
negativas acerca de una persona no tienen vocación de perennidad…” Por
ende, la persona no está en la obligación de soportar la circulación de
información que la afecte sin fecha límite, y en consecuencia ser continuamente
juzgado por ello, sin perjuicio de que si su perfil es de relevancia pública,
su umbral de protección y permanencia de la información es más continuado en el
tiempo -lo cual no significa que no cuente con este derecho-, aun así, debe
tomarse en cuenta cada caso en concreto, por más que la supresión en el caso de
ediciones electrónicas de un medio de comunicación no resultaría viable, pues
corresponde al ejercicio de la libertad de expresión. (Bauzá, 2018).
En cuanto al derecho a impugnar valoraciones
personales (también denominado, a un tratamiento objetivo), el punto principal
recae en que la persona no debe ser objeto de una decisión con efectos
jurídicos en donde se valoren meramente aspectos subjetivos como su
personalidad o comportamiento, incluso, en el propio artículo 16 de la ley, se
expresa que no se puede ver afectada de manera significativa. Esto es
punto de crítica, pues como menciona Flores (2008), el uso del término
significativa sugiere la exigencia de un daño mayor, pero además, se lo deja al
arbitrio de quien aplique la norma, pues no está totalmente determinado sobre
qué grado de afectación del derecho se habla o a qué situación corresponde.
Por último, el derecho a la portabilidad implica la
potestad que tiene el titular de los datos de que estos le sean facilitados por
parte del responsable, que obtenga una copia por vía electrónica, con la
exigencia de que su formato sea claro y estructurado, esto eso, con el fin de
utilizarlos o realizar la transferencia de estos datos a otro responsable de su
tratamiento.
Acción de Habeas data
Esta garantía y vía jurisdiccional está expresamente
consagrada en el artículo 17 de la ley, el cual redacta que: “Toda persona
tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento
de los datos referidos a su persona y de su finalidad y uso, que consten en
bases de datos públicos o privados; y -en caso de error, falsedad, prohibición
de tratamiento, discriminación o desactualización- a exigir su rectificación,
inclusión, supresión o lo que entienda corresponder”. La misma podrá ser
aplicable, según la regulación mencionada, conforme a dos hipótesis, la
primera, si la persona quiere conocer sus datos personales que están siendo
tratados en una base de datos, y tal derecho le fue negado -siempre conforme a
lo expuesto por la ley-, o si, luego de la solicitud en torno a los derechos
ARCO (sobre todo la ratificación, actualización, y supresión), el responsable
de la base de datos o su tratamiento no lo llevó a cabo, o no dio razones
suficientes para un proceder negativo.
Si bien en nuestra Carta Magna no se reconoce a texto
expreso la acción de habeas data, esta puede reconocerse como un derecho
inherente a la persona humana a partir del artículo 72 de la misma.
Respecto a la legitimación para llevar a cabo tal
acción, la normativa expresa que la podrá ejercer “el propio afectado
titular de los datos o sus representantes, ya sean tutores o curadores y, en
caso de personas fallecidas, por sus sucesores universales, en línea directa o
colateral hasta el segundo grado, por sí o por medio de apoderado. En el caso
de personas jurídicas, la acción deberá ser interpuesta por sus representantes
legales o los apoderados designados”.
Esta acción en específico es destacable, pues como
señala Gaiero (2010), contiene una “perspectiva evolutiva y descriptiva
de las garantías en el derecho procesal uruguayo”, considerando que, si bien existe la acción de amparo
como modo de proteger la violación a los derechos fundamentales y esta tiene
gran similitud, sobre todo porque ambos son procesos de duración rápida, esta
logra que nos desprendamos de utilizar el primero y con ello no enfrentarnos a
las limitaciones que la acompañarían, como el carácter residual de la acción de
amparo, la ilegitimidad manifiesta o la caducidad, sumando, que el autor impone
como otra diferencia procesal, que el habeas data la pretensión se resuelve de
forma definitiva.
Desde otro punto de vista, Correa Freitas, R. (2008)
sostenía respecto a la anterior regulación en donde ya se había incluido el
habeas data, que esta acción es necesaria para que las personas cuenten con un
recurso “rápido, ágil y efectivo en la defensa de sus
intereses, concretamente para la protección del derecho a la intimidad y el
derecho al honor”.
Conclusiones
A modo de conclusión, considero que la regulación
respecto a los datos personales denota un gran avance en las garantías de las
personas, que es consecuencia clara del desarrollo de la tecnología que hemos
tenido a lo largo de estos años, y que cada vez esta ingresa a todos los
aspectos de nuestra sociedad y vida con mayor profundidad.
De este modo, resulta necesario que tomando en cuenta
la masividad de interacciones que hay en el día a día, y los riesgos que muchas
veces estas suponen, conozcamos nuestros derechos y la forma de hacerlos valer
ante los responsables o autoridades competentes, pues muchas veces el
desconocimiento de la regulación nos desprotege de los tratos arbitrarios que
podamos tener.
El punto de importancia siempre debe estar en la
persona, y si bien en nuestro país a través de esta regulación, se logró una
mayor protección de los derechos, aun queda camino por recorrer a la hora de
hacer efectivas las regulaciones.
Bibliografía
Risso,
M (2006). Derecho Constitucional, Fundación de Cultura Universitaria,
Tomo I.
Bauzá, M. (2018). Manual de Derecho Informático
e Informática Jurídica II. Fundación de Cultura Universitaria. Centro de
Derecho Informático, UDELAR.
Flores,
R (2008). La nueva ley de habeas data en Uruguay N° 18331, Revista de
Derecho Informático, ISSN-e 1681-5726, Nº. 124.
Gaiero,
B. (2010). El proceso de hábeas data en el Uruguay, Anuario de Derecho
Constitucional latinoamericano, Año xvi, Montevideo, 325-349, ISSN 1510-4974
Correa
Freitas, R. (2008). El hábeas data en el Uruguay. Ley
n. 17.838 de 24 de septiembre de 2001. Revista Jurídica, 12, 117-127.
Comentarios
Publicar un comentario