En estos días (26 y 27 noviembre 2012) se está
realizando en San José (Costa Rica) la II Reunión Ministerial y IV de autoridades nacionales de la Red de gobierno Electrónico de América Latina y el Caribe (Red Gealc). En la reunión participan tanto ministros y gestores de gobierno electrónico de 29 países de América Latina y el Caribe, cuanto expertos internacionales en el tema, con el objetivo de fomentar el diálogo y compartir resultados, buenas prácticas y esfuerzos.
He podido escuchar del panel de privacidad de
datos personales a Carlos Gregorio, Director del Instituto de Investigación para la Justicia.
Carlos Gregorio enfoca su presentación en la protección de los datos personales en poder del Estado. Por ejemplo, si voy a atenderme en un hospital público, son datos públicos, pero son de una persona y por tanto no ingresan dentro de la apertura de datos. La gran mayoría de los datos públicos son una malla entrelazada de datos personales con datos de interés públicos y prácticamente hay que resolverlo caso a caso. Por ejemplo, si voy con una bala en el cuerpo el médico tendrá que denunciar, si tengo una enfermedad contagiosa que puede generar una epidemia, también debo informarlo. Todo sistema debe comenzar con una determinación de necesidades, luego es importante realizar el impacto sobre la privacidad y el impacto sobre la apertura y por tanto el interés público. En Estados Unidos es obligatorio este estudio para cada proyecto. Vamos a encontrar algunos datos personales que se deben proteger, otros que se deben publicar y otros datos generales que Gregorio entiende que se deben publicar. Este estudio el estudio de impacto de privacidad debe ser presentado a la comunidad, a las instituciones que están vinculados al tema, para que de esa forma puedan opinar. Este diseño con evaluación de impacto de privacidad tiene algunos principios, quiero destacar el concepto de finalidad y el de proporcionalidad. Todo dato que se almacena tiene una finalidad determinada y debe ser explícita. Los datos deben ser proporcionales a esa finalidad y no deben ser ni más ni menos. Quiero dar un ejemplo sobre las tarjetas electrónicas que se utilizan para los transportes públicos y no todas manejan el mismo nivel de datos. Algunas tienen datos, otras fotos, la de Miami es anónima, pero puedo personalizarla con la ventaja que si me la roban o la pierdo puedo recuperar el dinero. ¿Qué consecuencias puede tener una tarjeta personalizada? En Bogotá pueden tener una tarjeta anónima, una personalizada o una con foto incluido. En Argentina se hizo una tarjeta que es casi obligatorio que sea personalizada. Puedo ingresar a internet y poner el número de tarjeta o de documento de identidad y tengo toda la información de los viajes que se ha realizado. ¿Esto es preocupante? También las tarjetas aéreas saben donde viajo y en que compañías, pero esto es voluntario. El problema es que el Estado es muy poco cuidadoso con los datos y en la mayoría de los casos es prácticamente obligatorio. ¿Para qué quiere el gobierno toda esta información? En algunos casos el costo de la tarjeta es la mitad si está personalizada. En Argentina hay un mercado negro donde puedo comprar tarjetas robadas o perdidas. Estos mecanismos no son acordes a la finalidad de lo que se quería. Por tanto, si no lo necesita no almacene datos personales. Concluye que hay una falta de decisión sobre que hacer con la información y que información contiene o no un sistema. Severino dice que la tendencia nos muestra que la tecnología es la que va a reglar, no se hace porque “el sistema” no lo permite. Y este es el peligro mayor en temas de datos personales. No todo dato personal debe protegerse. He visto sentencias españolas donde dice “El ayuntamiento XXX”, el ayuntamiento no tiene derecho a datos personales, es una persona jurídica.
Respecto a este punto, no puedo dejar de decir que hay que tener mucho cuidado con esta afirmación que realiza Gregorio, porque la Ley uruguaya, así como otras leyes de Latinoamérica protege los datos de las personas jurídicas en cuanto corresponde. Por tanto, no es lo mismo decir que, en determinado contexto puede publicarse porque es un organismo público que decir que debe publicarse porque es una persona jurídica.
Otro ejemplo, dice Gregorio, es el caso de los padrones electorales, en Costa Rica es público y en México además de público, puede decir a que partido pertenece. Tampoco en este punto estoy acuerdo en realizar este tipo de generalizaciones, porque por ejemplo la información sobre ideología política es un dato personal sensible en Uruguay.
Hay dos posiciones, los que dicen que todo debe publicarse y también están los fundamentalistas de la protección de datos, que son los enemigos de la protección de datos. Es muy fino determinar que se puede publicar, no es poner en Internet. Una cosa es publicar en Internet y otra decirle a Google que no lo indexe. En Costa Rica se valora la difusión de las causas penales, pero una vez realizada la audiencia el sitio de la convocatoria se elimina de Internet. Y si voy al cementerio de Internet se encuentran todos los sitios borrados. Entiende que las leyes no van a solucionar esto, sino que es necesaria una autoridad que analice caso a caso. Este es un criterio que comparto plenamente con Gregorio.
