El día 8 de abril de 2013 visitó la Unidad Reguladora y de Control de Datos Personales (URCDP) el Prof. Dr. Ahti Saarempää, Profesor de la Universidad de Laponia, Finlandia, quien habló de “La protección de datos personales como derecho fundamental”.
Comienza señalando que el Prof. Wolfgang Mincke enseña que la información debería ser para todas las personas y que todas las personas tienen el derecho de acceder a ella, y por otra parte, Steward Brand dice que la información debe ser libre, y surge el eslogan: “Información quiere ser libre”. Es desafío es como combinar el derecho a estar solo y el derecho al conocimiento.
El concepto básico que quiere hablar en el día de hoy es que estamos viviendo un nuevo estado constitucional, vivimos en una sociedad de redes y debemos acceder a esas redes. No deberíamos hablar de gobierno electrónico, sino que estamos en una sociedad donde todo es redes, donde todo es información digital. Los abogados tradicionales son especialistas en la fabricación de documentos en papel, pero no en documentos digitales.
El expositor nos habla de cómo hacer un planeamiento legal, “Legal planning”, que es referente al aprendizaje legal de datos, como preparar un documento legal, como procesarlos, esto nos lleva al concepto de bienestar legal. El aprendizaje legal está intrínsecamente relacionado con el bienestar legal.
Finlandia, Corte Suprema KKO:2012:81, el expositor considera que esta sentencia es realmente importante. Este es un caso de jurisprudencia que conecta el uso del derecho constitucional y los derechos humanos. Retrotrayéndose a la historia de Finlandia en protección de datos, no se manejaba el concepto de derecho constitucional. Erik Allardt, profesor de sociología, en 1989, decía que es distorsionante y que la protección de datos es como una mariposa de vida corta.
La Directiva de 1995, está vinculada a los derechos humanos, es para las personas, no es para las administraciones y tampoco para las empresas. Propone que cada uno es responsable de la calidad y que cada persona debe desarrollar la estrategia para poder reconocer esto. Los problemas observados en sistemas de observación de datos deben estar relacionados con la protección de los derechos fundamentales y debe poder ser rectificado en caso de que exista alguna dificultad.
El punto central es que en la carta europea contiene dos cuestiones diferentes, una es la Privacidad y la otra es la Protección de datos. Cada vez que procesamos datos personales debemos tener en cuenta que estamos procesando derechos fundamentales. En el nuevo reglamento vemos que no se trabaja con el concepto de privacidad, sino con protección de datos. Con esta nueva perspectiva la Comisión dice que la evolución de las tecnologías es muy rápida y que no se utiliza el e-commerce lo suficiente, no se utiliza el mercado electrónico lo suficiente porque no se confía en la protección de datos. Por eso la Comisión quiere tener una regulación, porque eso es lo más beneficioso, armonizando las expresiones protección de datos y privacidad.
Jan Philipp Albrecht es miembro del Parlamento Europeo. Esto de protección de datos es diferente a la vieja directiva, estamos hablando de protección de datos en sociedades de redes. La nueva regulación conduce al área de derechos fundamentales, es general. Pero los principios que se manejaban antes siguen vigentes, por lo tanto la mariposa no era de corta vida.
El primer concepto al que se quiere referir es el concepto de independencia de las autoridades de supervisión. Art. 47. Alemania y Austria perdieron el caso en el tribunal porque no tenían autoridad de supervisión independiente. En Austria está muy vinculado el Primer Ministro con la Autoridad de Protección de datos.
Art. 23, data protection by design. Esto de protección de datos desde el diseño, viene de Canadá, pero históricamente viene de Finlandia aunque no fue muy bien comercializado. Lo que significa que el planeamiento legal de sistemas de datos está en el corazón de la cuestión. Este concepto es la parte fundamental de esta nueva regulación.
La respuesta quizá sea la generación de estándares para procesar los datos, si bien no soluciona todos los aspectos del planning y de la generación de documentos.
Lo que está estrechamente relacionado con la privacy by design es la accountability (art. 22 obligaciones del responsable del tratamiento). Relaciona el concepto de accountability con auditoría. Hay que focalizar en las prácticas de gerenciamiento de datos. Algo nuevo que nos sugiere este documento es el uso de los seudónimos, el Consejo de Europa está discutiendo que se debe hacer, qué sería lo éticamente correcto, como manejar el tema de los seudónimos cuando aparecen en Internet. Esto se relaciona también con la anonimidad de los sistemas de información. ¿Es ético que se maneje un seudónimo en una cuestión administrativa cuando la administración no sabe quién es la persona?
Notificación de una violación de datos personales a la autoridad de control (art. 31). ¿Qué pasa hoy en una compañía cuando hay un hacking y la compañía no lo denuncia? Se pretende que ahora se realice en forma mandatoria, la cuestión es ¿en cuánto tiempo debe hacerse? Se tiene que notificar a las autoridades de datos personales, a los clientes y a la policía. Ejemplo: si en un salón de té un hacker roba información de 100.000 clientes y los medios de comunicación quieren saber cuál era el comercio y la policía lo niega por el impacto negativo.
Designación de delegado de protección de datos, art. 35. El expositor pregunta si en Uruguay las compañías tienen esta figura. Se responde que no. Lo que él entiende es que esta figura es fundamental, pone como ejemplo el caso de los hospitales y explica que en Suiza se está volviendo cada vez más popular. Se plantea en el Parlamento la discusión de cuáles serían las compañías que deberían tener esta figura, se entiende que deberían ser todas aquellas que pertenecen al sector público. ¿Pero qué pasa con el sector privado?, se entiende que todas aquellas que cuenten con más de 200 empleados. El expositor entiende que debería tenerse en cuenta no solo la cantidad de empleados, sino también la cantidad de información que procesa.
Tratamiento de datos personales relativos a niños (art. 8). Confiesa que siente una cierta culpa porque la norma en Finlandia no toma en cuenta a los niños, que son los usuarios más representativos y él trabajó en la regulación. La directiva que no incluía a los niños es del año 1995, esto ha cambiado rotundamente, se entiende que los niños mayores de 13 años tienen una determinación propia y por tanto tienen, por ejemplo, derecho al olvido (art. 17).
Seguridad de la información. Primero tuvimos la norma de datos personales. Sin buena seguridad de la información no podemos tener protección de datos personales. La seguridad de la información es uno de los ámbitos relacionados con la seguridad y en Europa esto tiene un rol que es crítico. ¿Qué son la buenas prácticas? A menudo son buenas para aquellos que quieren ahorrar dinero. Desde 1997 su instituto elaboró un reporte sobre la falta de información en Finlandia sobre la necesidad de mayor información. En ese momento no fue aceptada porque implicaba una inversión de dinero muy grande. La Comisión se despierta a este tema y elabora un nuevo informe para proteger la seguridad en el ciberespacio. En el nuevo reglamento se regula la seguridad por sectores y espera que se esté viviendo para el próximo año una situación más cómoda. El problema fundamental sigue siendo el protocolo de Internet, porque no considera la seguridad de la información.
“The debtor indentity” esto tiene que ver con proveer datos económicos relativo a las personas individuales. La posibilidad de reportar datos económicos es posible en casi todo el mundo. Hoy día es fácil conseguir información de crédito. Esto no está armonizado y la pregunta es si debemos olvidar este tema y si no lo hacemos como hacemos una aproximación del tema. Una primera pregunta que debemos tener presente es que tipo de información se debería permitir recoger. Habría que plantearse si esta información es general y si debería limitarse en virtud de las personas. ¿Está bien que las demás personas tengan acceso a la información sobre los préstamos a los que podemos acceder cada uno de nosotros? El expositor cree que no deberían tener cierta información. La otra pregunta es, en virtud a que la recogida de datos genera registros, ¿Quién debe tener este tipo de registros? El entiende que hoy deberían ser registros del sector público.
La siguiente cuestión es si estos registros de crédito deberían seguir dentro del rubro negocios o si deberían estar limitados. ¿Es lícita la creación de monopolio de información de crédito, cuando esto está relacionado con la identidad de las personas? ¿Qué tipo de seguridad necesitaríamos nosotros? ¿Se debería aumentar el tipo de información respecto a la información tradicional que se maneja? El gobierno de Finlandia le pidió al expositor un informe en donde además se agregue aquella información positiva (todo lo que tiene). El informe dice que debería esperarse para ver que está pasando en el campo de la seguridad y de la protección de datos, porque los datos comerciales son datos personales y deberían respetarse como tal.
