En la mañana de hoy lunes 22 de octubre de 2012 se está llevando a cabo, en el marco de la 34° Conferencia Internacional de Protección de Datos, el X Encuentro Iberamicarano de protección de datos. Desde ya me disculpo por errores de digitación de la presente nota, en virtud en que estoy escribiendo on line, sin corrección, para poder brindarles la información en forma simultánea.
José Luis Rodríguez remarca en la inauguración la importancia de los cambios que se están llevando a cabo en el Convenio 108, la reforma del marco regulador europea, que se encuentra en tramitación legislativa. También el proyecto Obama intenta fortalecr la protección de datos de los consumidores.
En un solo año, desde el último encuentro en México, se ha puesto en funcionamiento la autoridad de Costa Rica, en Colombia se ha aprobado la ley de protección de datos personales, con la Superintencia como órgano de control, hay iniciativas en otros países, como Brasil. Entre los hitos del año está la Declaración de Adecuación de Uruguay el 21 de agosto de este año, que significa que el país cumple con todos los estándares de la Unión Europea. Es un reconocimiento, que tardó en llegar, porque la UE no tenía conoccimiento del grado de desarrollo que la protección de datos está desarrollando en América Latina.
Este crecimiento tiene que continuar y la RIPD tiene que continuar progresando y adaptándose a las nuevas circunstancias. La Red debe mantener sus funciones originales y debe seguir siendo un foro de discusión de los temas que preocupan en la región. Es muy importante explorar las formas de cooperación.
EXPERIENCIAS DE LOS PAISES IBEROAMERICANOS
Rafael Garcia (España). Hace un año hablabamos de la posibilidad de tener una reforma de la normativa europea. Se ha optado por una solución de carácter mixto. Una propuesta de reglamento y una propuesta de directiva. El Reglamento cubriría la practicamente totalidad de la material y una Directiva que regulará los temas judiciales ypenales.
Un reglamento – pesar del nombre- es una norma del más alto rango, que se aplica a todos los países una vez aprobado. Es muy detallado y no puede dejar temas abiertos, y es bastante significativo que deja un gran margen de desarrollo posterior a la Comisión Europea a través de Actos de Aplicación. Desde una perspectiva general hay una valoración positiva del Reglamento, porque otorga una mayor armonización, ya que había algunas diferencias entre los estados miembros. El Reglamento se aplicará a todos los ciudadanos que estén residiendo en el marco de la Unión. Se armonizan y refuerzan las autoridades de protección de datos, así como el principio de consentimiento. Hay que subrayar el carácter independiente de las autoridades de protección de datos.
Los grandes principios en que se va a basar el son los mismos en que existen en la Directiva. En el terreno de la legitimación se mantienen las mismas razones para iniciar un tratamiento de datos, con alguna novedad. El consentimiento pasa a ser explícito, habla de dos posibilidades: acción afirmativa o declaración del interesado.
En cuanto a los Derechos, se incorpora el Derecho al Olvido y el Derecho a la Portabilidad de los Datos. El Derecho al Olvido implica también el derecho al borrado de los datos. El borrado de los datos está en relación con la libertad de expresión y con disposiciones públicas.
Derecho a la portabilidad se configura como un derecho de acceso reforzado y mejor reglado, si el responsable está utilizando para tratar los datos un formato no estandarizado, tendrá que entregar los datos al interesado en un formato estadarizado de forma tal que el interesado pueda acceder.
Se regula la privacidad por diseño y prevé las violaciones de datos que se refiere a situaciones de quiebra de seguridad, los cuales deben notificarse a las autoridades de protección de datos y a los interesados. A los interesados es necesario comunicarlo cuando pueda existir un daño importante y pueda hacer algo para paliar sus efectos.
Sigue existiendo la figura de la Declaración de Adecuación, solo la Comisión la puede emitir (antes la podían emitir los Estados).
La novedad habla de BCR (normas corporativas vinculantes) tanto del Responsable como del Encargado de los datos.
Las autoridades deben ser independientes, miembros nombrados por el parlamento o gobierno, potestades sancionadoras, prohibición de recibir instrucciones, deber de secreto, personal propio bajo su exclusiva dirección, etc.
Se crea el Consejo Europeo de Protección de Datos (CEPD). Integrado por Directores o Presidentes de la APD de cada estado miembro, Supervisor Europeo, asistencia de representantes de la COM.
Tiene funciones paralelas al actual GT29: velar por la aplicación coherente del REglamento, asesorar a la COM en protección de datos, seguimiento de aplicación del Reglamento, emitiendo directrices, recomendaciones y mejores prácticas, promover cooperación bilateral y multilateral, incluida formación de personal.
El régimen sancionador no lo tiene la actual Directiva, y sí existe esta posibilidad en el Reglamento, propone un régimen acabado de sanciones. La tabla prevé multas y no prevé régimen especial para poderes públicos. Las multas son un tanto por ciento del volumen de los negocios.
Edith Ramírez (USA). La FTC emitió un informe final en el cual se propone un nuevo marco. Incluimos tres recomendaciones principales: 1) privacy by design, 2) opciones simplificadas y 3) más transparencia.
La práctica do not track es una de las medidas más importantes elaboradas por la FTC. Los consumidores pueden utilizar íconos para evitar que se los rastree. pero falta para que se convierta en el realidad. Nos enfocamos también en los agentes de datos, porque sus actividades están lejos de la mirada del públicos. Se solicita que exista un sitio web centralizado donde los consumidores puedan informarse sobre que se hace con su información.
En febrero la Casa Blanca emitió un informe que dió orgien al , Consumer Privacy Bill of Rights. El Departamento de Comercio se reune con las empresas para trabajar en códigos de conducta, que si bien son voluntarios, una vez aprobados serán exigibles por la Comisión. El trabajo de la Administración y de la FTC son complementarios.
Otro proyecto de la comisión es una labor sobre la tecnologóia de reconocimiento facial, esta semana se publicará un informe. La comisión decidió investigar esta área, porque el uso de esta tecnología está creciendo significativamente. el intento es sugerir prácticas en el uso de la tecnología.
Estamos en la fase final del proyecto de reforma de la COPA «Children’s Online Privacy Protection Act». Cuando el Congreso aprobó la ley el mundo era muy diferente.Hace un año la Comisión propuso varios cambios, respecto a su aplicación para dispositivos móviles.
Por último, quiero explicar algunas medidas de ejecusión, hemos anunciados 13 casos nuevos, pero les voy a comentar 3 de ellos: el primero es contra Facebook. En nuestra queja dijimos que Facebook ha engañado a los consumidores, la resolución entró en vigor en agosto. Otro caso es contra Google, la Comisión multó por 25 millones de dólares, es la mayor multa que se ha impuesto. Gooble había dicho que no publicaría cookies y no haría seguimientos. El tercer caso es contra Artist Arena LLC. Alegamos que recopiló información de más de 100.000 niños sin el permiso de sus padres. La multa es de 1 millón de dólares por violación de la ley COPA.
Alfonso Oñate (México). México ha tenido avances en las transferencias transfronterizas de datos. Los temas que han sido incluidos tienen que ver todos con fenómenos internacionales. La pdp es día a día un asunto qeu va más allá de las fronteras de cada país. En esta exposición trataré de referirme a las reglas que operan dentro de APEC. Tenemos normativa que parten de la ley de pdp y su reglamento. Es la diferenciación entre responsable y encargado, que se da dentro de las reglas del mismo aviso de privacidad, en el caso de transferencias sí se da esto.
El marco jurídico que se ha adoptado en México trata de no hacer diferencias entre transferencias nacionales e internacionales. La ley y el reglamento no hacen distinción de si el receptor o nuevo responsable se encuentra en México o fuera del país.
Me voy a centrar en las Reglas de Privacidad Transfronteriza de APEC (CBPRs). Este es un sistema novedoso, EEUU fue la primer economía que se adhirió a este sistema el 26 de julio de este año. México presentó carta intención para formar parte del sistema el 28 de setiembre.
Danilo Maganhto Doneda (Brasil). Brasil tiene un mercado interno muy fuerte y no se plantea como una necesidad urgente la transferencia transfronteriza de datos. Hay cuestiones legales vinculadas a seguridad, temas cinvulados a vigilancia electrónicas. La presión del comercio internacional se presente más fuerte e importante que antes. Ahora se cree que finalmente llegó la hora de realizar una actualización de forma internacional. En Brasil hay una tradición fuerte en materia de defensa del consumidor. Las primeras leyes sectoriales en protección de datos fueron tratados en laésfera del consumidor y hoy también es donde se ha puesto el foco.
Tenemos: Habeas Data (1988, 1997), el Código de Protección del Consumidor (1990), Ley de registros positivos (2011) y ley de acceso a la información (2011). La ley de registros positivos implica que los datos comerciales sean tratados en forma positiva, es la ley 12.414 de 2011, habla del registro positivo de créditos. Propone introducir en el ordenamiento los datos positivos de crédito, incorpora el principio de finalidad, el opt in y derecho de acceso, el libre acceso, principio de proporcionalidad y sobre los datos sensibles. Algunas definiciones son definiciones y conceptos que no existían en el ordenamiento jurídico brasilero. Hace más de 10 años que el sector financiero quería crear estos registros, pero había una oposición de ciertos sectores, porque no había una ley de protección de datos. Esta fue la primera vez que se vio como un problema a ser superado la inexistencia de una ley de pdpd.
