Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
LA PROTECCIN DE DATOS PERSONALES EN MXICO: UNA PROPUESTA PARA DELIBERAR Introduccin El siglo XXI comienza con un despliegue tecnolgico estelar. Ya no es posible concebir la vida de los seres humanos ni su interaccin, sin el uso de tecnologas informticas urbi et orbi. Dicha expansin conlleva el intercambio de flujos de informacin de todo tipo, incluida la relativa a las personas. Hoy en da, es posible acceder a informacin sobre millones de seres humanos y sus actividades en prcticamente cualquier parte del planeta. Aunque a lo largo de la historia de la humanidad se han conquistado grandes espacios en materia de libertad de informacin y de expresin, el hecho de que los avances tecnolgicos permitan irrumpir silenciosamente en el mbito de lo privado, vulnera la esfera de uno de los derechos fundamentales de los individuos, el de la privacidad. En este contexto, puede afirmarse que los horizontes de la privacidad se estn transformando en terra incognita, en un terreno desconocido para quienes lo habitan, debido a que sin que las personas se enteren, ni mucho menos otorguen su consentimiento, terceros ya sean entes pblicos o privados- recaban y transmiten informacin sobre sus datos personales a travs de todo tipo de procedimientos que echan mano de tecnologas de punta. Entre stos destacan la minera de datos o la geo-localizacin, la deteccin remota o la video vigilancia, dispositivos que hoy en da han madurado y estn fcilmente disponibles en cualquier lugar del mundo. Adems, todo lo anterior se difunde a travs de las supercarreteras de informacin en Internet en donde los proveedores de servicios cuentan con una monumental capacidad para almacenar y analizar los datos a
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
travs de buscadores que de manera precisa pueden conocer casi todo acerca de un individuo usuario de la red. Es cierto que los avances tecnolgicos generalmente repercuten de forma
positiva en la calidad de vida del ser humano, pero sera ingenuo desconocer que tambin con ellos nacen nuevos conflictos e interrogantes a los que el Derecho, en su objetivo ltimo de ordenar la convivencia social, debe dar respuesta. La tecnologa no puede permanecer ajena al Derecho, ni evidentemente a la Constitucin, por ms que la velocidad con la que ocurren las innovaciones tecnolgicas amenace con hacer obsoleto cualquier esfuerzo por regular su impacto sobre el derecho a la vida privada.1 La probabilidad de que se susciten abusos a la vida privada aumenta hoy como consecuencia del desarrollo de la llamada "sociedad de la informacin". La expansin global de las redes informticas y de comunicacin hace cada vez ms frecuentes los casos de robo de identidad o de discriminacin a travs de la obtencin de perfiles que hacen identificables a las personas en sus patrones de consumo y de ahorro, o en sus inclinaciones y preferencias. Dado que los medios tradicionales de proteccin de la vida privada son insuficientes en la actualidad, cada vez ms pases han aprobado leyes de proteccin de datos personales2 Los pases que otorgan un mayor grado de importancia a la esfera de lo ntimo suelen tener un pasado cultural e histrico marcado por experiencias de invasin en la vida privada de las personas.3 As por ejemplo, Alemania ha sido uno de los
GUERRERO PIC, Mara del Carmen. El Impacto de Internet en el Derecho Fundamental a la Proteccin de Datos de Carcter Personal. Estudios de Proteccin de Datos. Agencia de Proteccin de Datos de la Comunidad de Madrid. Thomson Civitas, 2006. 2 El ltimo reporte sobre Privacidad y Derechos Humanos 2006 del Electronic Privacy Information Center (EPIC), da cuenta de los desarrollos constitucionales, legales y del marco regulatorio en materia de proteccin a la privacidad en mas de 75 pases alrededor del mundo. Ver www.epic.or 3 Esta afirmacin corresponde, entre otros a J. DHONT y M. V. PEREZ ASINARI, New Physics and the Law. A comparative Approach to the EU and US Privacy and Data Protection Regulation, looking for Adequate protection en Flujos transfronterizos y extraterritorialidad: La postura
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
precursores del derecho a la autodeterminacin informativa para cada individuo, porque sabe del riesgo que implica acumular informacin sobre las personas para ejercer control sobre sus destinos. Recientemente la Cumbre Mundial de la Sociedad de la Informacin ha hecho un llamado para pedir normas mundiales para la privacidad, convocando a todas las partes interesadas en garantizar el respeto a la privacidad y a la proteccin de informacin y datos personales, ya sea mediante la adopcin de una legislacin, la aplicacin de marcos de colaboracin, de mejores practicas y medidas tecnolgicas y de autorregulacin por parte de empresas y usuarios.4 Antecedentes histricos Me voy a permitir delinear los antecedentes normativos que en materia de proteccin de datos personales existen a nivel internacional. Los primeros esfuerzos se dieron en Europa, con la Resolucin 509 de la Asamblea del Consejo de Europa sobre los derechos humanos y nuevos logros cientficos y tcnicos emitida en 1967, que marc la pauta, sin embargo, no fue sino hasta el final de la dcada de los setenta, cuando Alemania, Francia, Dinamarca, Austria y Luxemburgo aprobaron leyes nacionales para la proteccin de datos personales. Durante los aos ochenta, justo cuando hace su aparicin la computadora personal o PC, el Consejo de Europa se pronunci sobre la proteccin de la intimidad frente a la potencial agresividad de las tecnologas, a travs de la promulgacin del Convenio No. 108 para proteger a las personas frente al tratamiento automatizado de sus datos. El, propsito era garantizar a los ciudadanos de los Estados contratantes el respeto de sus derechos y libertades, en particular, el derecho a la vida privada, concilindolo con la libre circulacin de la informacin entre los Estados miembros.
europea, PUOLET, Ives, Revista Espaola de Proteccin de Datos p.112. Julio-Diciembre 2006. Thomson Civitas. 4 Idem.
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
Finalmente, en el ao 2000, se aprob la Carta de Derechos Fundamentales de la Unin Europea en la que se elev la proteccin de los datos personales al rango de derecho fundamental derecho autnomo. Por otra parte, en 1980 en el marco de la Organizacin para la Cooperacin y el Desarrollo Econmico -OCDE- se emiti una recomendacin que contiene las Directrices relativas a la proteccin de la privacidad y flujos transfronterizos de datos personales, que constituy el primer instrumento supranacional que analiza a profundidad el derecho a la proteccin de estos datos. Su adopcin se funda en la constatacin por parte del Consejo de la OCDE de la inexistencia de una regulacin uniforme en esta materia en los distintos Estados miembros, lo cual dificultaba el flujo de los datos personales entre ellos mismos. Igualmente, en el Foro de Cooperacin Economa Asia Pacfico -APEC-, en vsperas del cambio de siglo, se estableci un Grupo de Manejo del Comercio Electrnico que tiene dentro de sus principales actividades el desarrollo de legislaciones y polticas compatibles entre las economas participantes en el campo de la privacidad. Por ello, APEC ha emitido lineamientos generales en la materia con el fin de que stos se establezcan en los cuerpos legales correspondientes para lograr un flujo de datos seguro, pero al mismo tiempo, sin obstculos para fomentar el comercio. Finalmente, la Organizacin de las Naciones Unidas emiti en 1990 la Resolucin 45/95 que contiene una lista bsica de principios para la proteccin de datos personales de aplicacin mundial, como el de exactitud de los mismos, la determinacin de su finalidad, su acceso y la no discriminacin. Actualmente el Tratado de Lisboa mantiene este reconocimiento al derecho a la intimidad y a la privacidad de las personas como
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
En resumen, los desarrollos normativos en el mbito internacional han buscado proteger a la persona y no al dato per se. Estas disposiciones establecen los principios y derechos que tiene un individuo para exigirle tanto al Estado como a los particulares quien, cundo y para qu pueden utilizar sus datos personales. Los ejes rectores pueden resumirse en el principio de licitud o trato leal de los datos, de finalidad, de proporcionalidad, de calidad y de seguridad. Los derechos se resumen en el acrnimo ARCO, es decir el derecho de acceder a su informacin y en caso de ser inexacta de rectificarla, el derecho a cancelar el dato cuando ya no es pertinente o ha perdido vigencia y el derecho a oponerse a su utilizacin por parte de un tercero. Vale la pena anotar que esta normativa aunque con diferentes enfoques y diseos institucionales, abarca tanto al sector pblico como al privado y en el caso de la Directiva Comunitaria, a efecto de que puedan fluir datos desde Europa al resto del mundo, se prev la necesidad de otogar un reconocimiento a terceros pases que cuenten con un nivel adecuado de proteccin a la privacidad, entre los que se encuentra por cierto, Argentina. Este nivel de adecuacin se ha visto como una barrera encubierta al comercio, pero tiene sustento en lo que la doctrina ha denominado el principio de continuidad de la proteccin, pues asegura al individuo que si su dato est protegido en el espacio europeo, tambin lo estar en otras latitudes. Qu est en juego cuando hablamos de datos personales? ,cul es la relevancia de contar con una ley que regule la proteccin de estos datos? Para contestar a la pregunta me voy a permitir mencionarles algunos ejemplos internacionales que nos ayudan a dimensionar la importancia de regular derecho a la proteccin de datos y la complejidad que ello entraa. el
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
Como es de conocimiento pblico, con motivo de los ataques terroristas del 11 de septiembre de 2001, los Estados Unidos de Amrica adoptaron diversas medidas para hacerle frente a tal problema. Entre dichas medidas, el gobierno norteamericano expidi en octubre de 2001 la Ley Patriota (Patriot Act) cuya finalidad, en trminos generales, era salvaguardar la seguridad nacional de los Estados Unidos de Amrica y sus ciudadanos. A raz de la Ley Patriota, el vecino del norte emiti disposiciones5 que obligan a las compaas areas o martimas que operen en su territorio a facilitarles los datos de sus pasajeros y la tripulacin. El medio electrnico para facilitar estos datos es el Sistema de Informacin Avanzada sobre Pasajeros (APIS) y se compone de los datos sobre cada persona fsica que viaja de y a los Estados Unidos. En general, los datos que se transfieren son: nombre, fecha de nacimiento, nacionalidad, sexo, nmero de pasaporte y lugar de expedicin, pas de residencia, nmero de visado en los Estados Unidos, lugar y fecha de expedicin,, domicilio en los Estados Unidos durante la estancia, as como fecha de reservacin, la agencia de viajes contratada, la informacin que se muestra en el boleto, los datos financieros (nmero de tarjeta de crdito, fecha de caducidad, direccin del lugar de expedicin, etc.), el itinerario, informacin sobre el transportista que opera el vuelo (nmero de vuelo, etc.), nmero de asiento y datos anteriores del PNR (Passenger Name Records). En estos ltimos pueden constarse no slo los viajes realizados en el pasado, sino tambin informacin de carcter religioso o tnico (eleccin de la comida), afiliacin a un determinado grupo, los medios para contactar a una persona (direccin de correo electrnico, informacin sobre un amigo, lugar de trabajo, etc.), datos mdicos (cualquier asistencia mdica que se haya requerido, oxgeno,
La Aviation and Transportation Security Act (noviembre de 2001) y la Enhanced Border Security and Visa Entry Reform Act (mayo 2002)
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
problemas relacionados con la vista, el odo o la movilidad y datos relacionados, por ejemplo, con los programas de viajeros frecuentes.6 Esta autntica invasin en la vida privada de los viajeros produjo reacciones en diversos puntos del orbe. La ms enrgica provino de la Unin Europea, toda vez que bajo la perspectiva de esta ltima los Estados Unidos no garantizaban un nivel proteccin acorde al estndar europeo, debido a que no contaban con una legislacin general en la materia, ni posean una autoridad nacional que garantizara el debido ejercicio del mencionado derecho. El 21 de noviembre de 2007, el gobierno del Reino Unido reconoci que haba perdido dos discos con informacin confidencial de casi la mitad de la poblacin del pas. Los discos, que contenan los datos bancarios y de seguridad social de cerca de 25 millones de personas, se extraviaron (cito) mientras eran trasladados de un departamento del gobierno a otro. La oposicin dijo que haba sido un error "catastrfico" del gobierno y algunos especialistas sealaron que se podra tratar de la mayor falla de seguridad que hubiera tenido lugar en Europa. El lder interino del Partido Liberal Demcrata, Vince Cable pregunt Por qu el departamento de hacienda y aduanas todava usa discos compactos para la transmisin de datos? y aadi que despus de este desastre, cmo poda el pblico tener confianza en las enormes bases de datos centralizadas para el programa de clulas de identidad obligatorias que se estaban elaborando? El 11 de mayo de 2008, se tuvo conocimiento del mayor jaqueo de la historia en Chile. Los datos personales de seis millones de chilenos (ms del 30% de la poblacin de ese pas que asciende a 16 millones) quedaron pblicamente
Dictamen 6/2002 relativo a la transmisin de listas de pasajeros y otros datos de compaas areas a los Estados Unidos, aprobado el 24 de octubre de 2002 por el Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de la Directiva 95/46/CE. http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp66_es.pdf.
6
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
disponibles en Internet durante la madrugada y la maana del 10 de mayo, luego de que fueran sustrados desde los servidores de diferentes entidades pblicas y privadas. Seguramente ustedes se preguntarn qu tan importante es para el ciudadano contar con una norma que reconozca el derecho a la proteccin de datos personales en un pas como el nuestro en donde no hemos tenido o no hemos conocido de experiencias como las que he reseado. (aunque en 2003 se supo de una venta de los datos del padrn electoral a la empresa Choicepoint) La respuesta puede resumirse en una palabra certeza, certeza para saber qu datos personales son transmitidos y para qu fin, y cmo garantizar que stos sean transmitidos nica y exclusivamente a autoridades previamente determinadas y no de manera discrecional. Pero el tema no se queda en cuestiones internacionales, tambin guarda estrecha relacin con otros mbitos de la vida de los gobernados, por ejemplo, tenemos el caso del expediente clnico. En los pases que cuentan con normas en la materia se establecen una serie de derechos a favor de los pacientes que van desde cuestiones bsicas como el acceso al citado expediente por parte de su titular, hasta cuestiones de legitimacin para el tratamiento de datos de salud cuando el titular se encuentra imposibilitado para otorgar su consentimiento. Otro caso interesante es el de los expedientes crediticios, que con una adecuada regulacin en materia de proteccin de datos, permitira que los particulares contaran con instrumentos efectivos para exigir a las instituciones bancarias o al bur de crdito que se actualice su situacin crediticia, particularmente en los casos en los que el deudor ha liquidado su crdito con el banco y tiene derecho a que sea borrado de la lista. Con estos ejemplos, me referir ahora a la situacin normativa de los datos personales en Mxico.
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
Situacin normativa de los datos personales en Mxico Como ustedes saben, el 11 de julio de 2002, fue publicada en el Diario Oficial de la Federacin la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental7,. Los lmites al derecho de acceso a la informacin estn sealados de manera expresa en la propia Ley y ah se establece que los datos personales constituyen informacin confidencial y requieren del consentimiento de los individuos para su difusin, distribucin o comercializacin. Tambin se establecen disposiciones sobre los derechos de acceso y correccin de los datos personales, as como algunas reglas en torno a los procedimientos para hacerlos efectivos. La reforma al artculo 6 constitucional de junio de 2007 que signific un salto cualitativo en nuestra evolucin normativa en materia de acceso a la informacin, slo tiene una breve referencia a la privacidad: la informacin que se refiere a la vida privada y los datos personales ser protegida en los trminos y con las excepciones que fijen las leyes. Es decir, slo aparece en funcin del derecho a la informacin y carece de un desarrollo propio, pues ste se remite a la norma secundaria. No obstante, la inquietud ya est sembrada y existen diversos proyectos legislativos en torno al tema en el Congreso de la Unin, aunque ninguno de ellos ha fructificado porque no existe una disposicin constitucional que sustente la proteccin de datos personales como un derecho fundamental autnomo, o la posibilidad de que el Congreso legisle en la materia. Existe ya un Proyecto de Decreto por el que se adicionan dos prrafos al artculo 16 de la Constitucin Poltica de los Estados Unidos Mexicanos que establece por una parte que toda persona tiene derecho a la proteccin de sus datos personales,
http://www.diputados.gob.mx/LeyesBiblio/decre/LFTAIPG_06jun06.doc.
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
a acceder a los mismos, y en su caso, a obtener su rectificacin, o cancelacin y a manifestar su oposicin en los trminos que fijen las leyes. En congruencia con el proyecto de reforma constitucional aludido, est el correspondiente a la reforma del artculo 73 constitucional. que tiene por objeto dotar de facultades al Congreso Federal para legislar en materia de proteccin de datos en posesin de los particulares. Hay varias razones importantes para impulsar que la ley que regule los datos personales en posesin de los particulares sea federal: 1) por el comercio internacional, pues el Estado Mexicano debe contar con una legislacin uniforme para normar sus relaciones internacionales, independientemente del rea del territorio nacional en donde materialmente se estn utilizando los datos personales. 2) El Poder Ejecutivo Federal administra grandes bases de datos con informacin muy variada de las personas, ya que para el ejercicio de sus atribuciones, o para la adecuada aplicacin de las leyes. Es el caso por ejemplo de la Base Nacional de Datos de la clave nica del registro de poblacin -CURP-, la base de datos del Servicio de Administracin Tributaria sobre contribuyentes, los sistemas de expedientes clnicos del sector salud en el que se alojan millones de expedientes de derechohabientes e incluso las bases de datos generados en materia de seguridad pblica que utilizan herramientas tecnolgicas que permiten renovar y modernizar la accin policial como la Plataforma Mxico, que incluye el fortalecimiento de la Red Nacional de Telecomunicaciones y el Sistema nico de Informacin Criminal. Al esfuerzo realizado en torno a la proteccin de datos, tambin se ha sumado la Suprema Corte de Justicia de la Nacin con las reformas del 12 de diciembre de 2007 al Reglamento de la Suprema Corte de Justicia de la Nacin y del Consejo
10
�Instituto Federal de Acceso a la Informacin Pblica Julio de 2008
de la Judicatura Federal para la aplicacin de la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental, en virtud de las cuales se establece que en los documentos contenidos en los expedientes que no sean reservados o confidenciales, se suprimirn los datos personales de las partes. Tambin establecen que las sentencias ejecutorias y dems resoluciones pblicas dictadas en expedientes de cualquier materia que por su naturaleza puedan afectar de algn modo la dignidad personal o causar un dao irreparable, se difundirn en una versin impresa o electrnica de la que se supriman los datos personales de las partes, en la medida en que no impidan conocer el criterio sustentado por el juzgador. Conclusiones Han pasado ya 7 aos, desde que se present la primera iniciativa de Ley de proteccin de datos personales. A partir de entonces, la discusin legislativa entr en un impasse. Parece que el tema no es prioritario en la agenda nacional, pero en cambio cada vez hay ms conciencia de la mala utilizacin que se hace de algunas bases de datos para fines comerciales. Quin no ha sido perturbado en su hogar para ofrecerle tarjetas de crdito a partir del conocimiento que se tiene de sus niveles de consumo., o para invitarle a votar por algn candidato, utilizando los datos en bases de datos pblicas o privadas? Estoy convencida de que existen ya las condiciones para que la sociedad entable un dilogo maduro con los legisladores encaminado a disear una ley moderna que recoja las mejores prcticas y los mecanismos mas adecuados de tutela para garantizar que no se viole nuestra preciada intimidad
11
