Comentarios al proyecto de ley de protección de datos personales

La Asociación Paraguaya de Derecho Informático y Tecnológico (APADIT) y a su vez, en nombre de la Coalición de la Sociedad Civil para la Protección de Datos Personales formado durante el Cuarto Foro de Gobernanza de Internet (2017), presentó una nota el día 24 de julio de 2019, con las recomendaciones al  Proyecto de Ley “DE PROTECCIÓN DE DATOS PERSONALES”- ExpedienteS-198418.

En la nota expresamos respetuosamente nuestras preocupaciones y comentarios sobre el citado proyecto, así como nos pusimos a las órdenes para trabajar conjuntamente en un modelo regulatorio que atienda a las necesidades de una sociedad sumamente informatizada. 

El creciente volumen y uso de datos personales, junto con la aparición de tecnologías que habilitan nuevas maneras de tratamiento y uso de los mismos, implica que es más importante que nunca regular un marco efectivo de protección de datos personales.

La legislación nacional vigente es inadecuada y no ha sido actualizada según los usos modernos que se hacen de los datos y el desafío que esto representa. Por lo tanto, recomendamos seguir los “Estándares Iberoamericanos de Protección de datos personales” elaborados por la Red Iberoamericana de Protección de datos y la Guía de Access Now para “La creación de un marco para la protección de datos: una guía para los legisladores sobre qué hacer y qué no. Lecciones del Reglamento General de Protección de datos de la UE”.

Tomando en cuenta el reciente acuerdo entre los bloques del MERCOSUR y la UNIÓN EUROPEA, debemos aspirar a transformar al Paraguay en un país que brinde un nivel de protección adecuado de acuerdo con los estándares promovidos por la Unión Europea, a efectos de acceder a la transferencia de datos personales desde esta y, con ello, facilitar la inversión de aquellos nichos de mercado que suponen tratamiento de datos provenientes de aquella. La inversión europea es superior en países “adecuados”, con relación a los países que no lo son. Además, estos estándares ayudarán a facilitar el desarrollo de la economía digital, promoviendo la innovación. 

Por último, una ley integral de protección de datos personales se hace vital ante la inminente implementación del proyecto de Agenda Digital financiado por el BID, y en el cuál se prevé una informatización nunca antes vista de procesos públicos y privados que, sin un marco robusto, corren el riesgo de habilitar a vulnerabilidades en detrimento de toda la ciudadanía paraguaya.

EL DERECHO A LA AUTODETERMINACION INFORMATIVA

El derecho a la privacidad ha adoptado una faz positiva, al otorgarle al sujeto tutelado derechos de acceso, corrección y rectificación de sus datos personales. La Doctrina se refiere al derecho de autodeterminación informativa y a controlar la información personal como una nueva dimensión de la tradicional concepción del derecho a la privacidad[1]

Este es un derecho incluido por la doctrina en la tercera generación de derechos humanos. No reduce su protección a los datos íntimos, sino que su objeto de protección es cualquier tipo de dato personal. 

Actualmente, surgen las leyes de cuarta generación a partir del Reglamento Europeo de Protección de datos del año 2016 y que entró en vigencia en mayo de 2018. Estas leyes incluyen nuevos conceptos como accountability, y nuevos derechos como la portabilidad de datos o el derecho al olvido[2].

Hay un cambio de paradigma. La legislación debe incluir una clara definición de los datos personales y sensibles. No se distinguen los datos por cómo han sido divulgados. El nivel de protección debe corresponderse con la sensibilidad de cada categoría de datos. 

Así como el derecho a la protección de datos se desarrolló a partir del derecho al respeto a la vida privada, que está relacionada con los seres humanos. Por lo tanto, las personas físicas son los principales beneficiarios de la protección de datos. Según el informe del Grupo del artículo 29, la legislación europea en materia de protección de datos únicamente protege a los seres vivos[3].

DATOS SENSIBLES.

Las informaciones sensibles son aquellas que se refieren a cuestiones íntimamente ligadas al núcleo de la personalidad y de la dignidad humana. Dada la importancia de los datos sensibles, es necesario brindarles un nivel de protección más alto que al resto de los datos personales para garantizar un nivel adecuado de control para los individuos. Representan un amplio rango de información personal, como el origen étnico o racial, la opinión política, las creencias religiosas o de otra índole, las afiliaciones, los detalles de salud mental o física, los datos genéticos o biométricos, información sobre vida sexual o sexualidad, o sobre delitos civiles o criminales.

Así también deben estar incluidos el contenido de las comunicaciones y los metadatos, debido a que esta información revela rasgos personales particularmente sensibles. Esto significa que un marco de protección de datos puede también incluir medidas específicas para la protección de datos intercambiados durante comunicaciones y disposiciones de privacidad relacionadas, para garantizar la confidencialidad de las comunicaciones[4].

Por ello, las posibles agresiones a la libertad, a la intimidad, las posibilidades de ser discriminado o cualquier otra contra el ejercicio de los derechos fundamentales de las personas, se verían agravadas cuando los datos tratados pertenecen a la categoría de los denominados “sensibles»[5]

La recopilación y el procesamiento de datos personales sensibles solo deberán ser autorizados si los individuos prestan su consentimiento explícito e informado y si tienen el derecho a retirar ese consentimiento subsecuentemente. Los usuarios deben siempre ser capaces de controlar quién tiene acceso y quién utiliza esta información. Deben estar estrictamente limitados mediante la restricción del uso de estos datos para la investigación, y la investigación estadística debe llevarse a cabo en el interés público bajo estricta supervisión[6].

El actual contexto paraguayo presenta importantes desafíos: la implementación de cámaras de reconocimiento facial sin estándares claros de ciberseguridad[7], la recolección de datos de salud de trabajadores[8] para fines altamente cuestionables desde un punto de vista ético y moral, son solo algunos de los ejemplos que refuerzan la idea de que una ley integral debe explícitamente atender de manera transversal la complejidad en la recolección y almacenamiento de datos personales. 

PRINCIPIOS.

La Guía de Access Now recomienda que además de definiciones claras, hay que contemplar que los principios se encuentren en el centro de los marcos de protección de datos. La codificación efectiva de estos principios exige el desarrollo de un conjunto de derechos de los usuarios, una base jurídica para el tratamiento de datos, medidas de seguridad de datos, mecanismos de supervisión, obligaciones para las entidades que procesen datos, y medidas que habiliten la transferencia de datos a países terceros[9].

Los principios esenciales del derecho a la protección de datos son: licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad y seguridad y confidencialidad. 

DERECHOS DEL USUARIO.

Para proteger los datos de los usuarios y garantizar que tengan control sobre su información personal es necesario establecer una serie de derechos vinculantes que ellos puedan ejercer. Estos derechos son independientes, y el ejercicio de ninguno de ellos es requisito previo para el ejercicio de otro derecho. 

Los derechos son: de acceso, rectificación, supresión, oposición, a no ser objeto de decisiones individuales automatizadas, a la portabilidad de los datos y a la limitación del tratamiento. 

BASES JURÍDICAS QUE AUTORIZAN EL PROCESAMIENTO DE DATOS.

Todo tratamiento de datos personales debe ser lícito y leal. Toda ley de protección de datos debe definir de manera clara la base jurídica sobre la cual los datos personales de los usuarios pueden ser procesados. Se incluyen la celebración de un contrato, el cumplimiento de una obligación legal y, el consentimiento del usuario.

El consentimiento debe estar definido como un pedido activo, informado y explícito del usuario. Debe ser dado de manera libre y el usuario debe tener la capacidad de retirar el consentimiento en cualquier momento[10].

AUTORIDAD DE APLICACIÓN INDEPENDIENTE 

Ningún marco de protección de datos puede estar completo sin un mecanismo robusto de aplicación de la ley. Una ley de protección de datos sería deficiente e inaplicable si no existiera una autoridad que tenga los poderes y recursos para monitorear su implementación, llevar a cabo investigaciones, y sancionar a las entidades en caso de violaciones de protección de datos. 

Caso contrario, se aumentará la judicialización de disputas para dirimir controversias vinculadas a la protección de datos personales en sede judicial, aumentando los costos transaccionales, y colocando la responsabilidad en los sujetos de derechos para hacer valer dichos derechos, yendo en contra de la tendencia a nivel internacional sobre marcos robustos en materia de protección de datos personales. 

Los Estándares de Protección de Datos enfatizan en la imperiosa necesidad de que cada Estado Iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa, con facultades de supervisión e investigación en materia de protección de datos personales y encargada de vigilar el cumplimiento de la legislación nacional en la materia, la cual esté dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones[11].

TRANSFERENCIA INTERNACIONAL DE DATOS

Los marcos de protección de datos están diseñados para garantizar la libre circulación de datos, estableciendo mecanismos para la transferencia de datos y salvaguardas para los derechos de los usuarios. 

Los Estándares de Protección de datos consideran que el desarrollo de las nuevas tecnologías de la información y las comunicaciones así como los servicios desarrollados en el contexto de la economía digital están contribuyendo al crecimiento continuado de los flujos transfronterizos de datos personales en el marco de una sociedad global, siendo ineludible la obligación de establecer una base mínima que facilite y permita a responsables y encargados, en su calidad de exportadores, la realización de transferencias internacionales de datos personales con pleno respeto a los derechos de los titulares[12].

A modo de ejemplo, la implementación de la chapa a nivel MERCOSUR presentará una serie de desafíos en su aplicación al largo plazo, y debido a la necesidad de intercambio de datos entre los países miembros, que, sin un marco integral de protección de datos equivalente al de países como Argentina y Uruguay, pueden dejar fuera al Paraguay en el pleno acceso de las bases de datos regionales a ser creadas. 

ACCOUNTABILITY O RESPONSABILIDAD PROACTIVA. 

Se reconoce la importancia de la adopción de medidas preventivas que permitan al responsable del tratamiento de datos a responder proactivamente ante los posibles problemas relacionados con el derecho a la protección de datos personales, como son la adopción de esquemas de autorregulación vinculante o sistemas de certificación en la materia; la designación de un delegado de protección de datos personales; la elaboración de evaluaciones de impacto y la privacidad por defecto y por diseño, entre otras. 

DELEGADO DE PROTECCIÓN DE DATOS

Siguiendo la tendencia de varias legislaciones y a fin de facilitar el cumplimiento de la Ley, se crea la figura de un funcionario especializado, el Delegado de Protección de Datos, quien podrá ejercer otras funciones siempre que no den lugar a conflictos de intereses. Se pretende dar a los responsables y encargados una flexibilidad suficiente en la contratación para evitar costos significativos que puedan ser innecesarios.

MECANISMOS DE NOTIFICACIÓN Y DE PREVENCIÓN DE VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS

A pesar de los mejores esfuerzos de los marcos de protección de datos, las violaciones de datos aún suceden. Por lo tanto, deberán existir medidas de solución, reparación, y notificación al usuario por tales problemas. 

Dichas notificaciones son positivas desde el punto de vista de la rendición de cuentas y la transparencia, y también son esenciales para asegurar que los usuarios puedan tomar las acciones correspondientes para proteger su información y obtener resarcimiento cuando sea necesario. 

BUREAU DE CRÉDITO.

El marco de protección de datos resguarda los derechos de los afectados por las actividades de las empresas de información crediticia, ya que el tratamiento de datos no puede ser sin restricciones, por más que accedan a datos de fuentes públicas. 

La ley de protección de datos personales se aplica íntegramente a las empresas de informes crediticios. Si bien no se trata de un dato sensible, la información económica de una persona forma parte de su ámbito de privacidad. Sin embargo, coincidimos que se requiere una regulación específica en un Capítulo especial.

Conforme a los principios del marco regulatorio, el principio de finalidad y transparencia impediría el acceso a pedidos que no tengan relación con el fin para el cual fueron recolectados. Por ejemplo, cuando las bases de datos de estas empresas de información crediticia, son consultadas por cualquier persona que abona el arancel, ello puede llevar a discriminación laboral o de otro tipo, como ya ha sido denunciado en medios de comunicación locales[13]

La Autoridad de Control es la contralora de dichas actividades y establecerá las sanciones previstas para los casos de abuso, causando daños y perjuicios por la violación de los derechos y obligaciones.

ACCESO A LA INFORMACIÓN PÚBLICA.

Este derecho puede entrar en conflicto con el derecho a la protección de datos si el acceso a un documento permite revelar los datos personales de terceros. Las solicitudes de acceso a los documentos o la información pública, deberán ser ponderadas con el derecho a la protección de datos de las personas cuyos datos se incluyen en los documentos solicitados[14]. Resultando sumamente necesaria una ley de protección de datos personales que defina la legalidad, licitud y excepciones al tratamiento de los datos. 

El Tribunal de Justicia de la Unión Europea definió el ámbito de protección de los datos en el contexto del acceso a los documentos de las instituciones, en el caso Comisión contra Bavarian Lager, dictaminando que la interferencia en el derecho de protección de datos respecto al acceso a los documentos precisa una razón específica y justificada. El derecho de acceso a los documentos no puede anular automáticamente el derecho a la protección de datos[15]

Instamos sin embargo a no generar tensiones entre el derecho de acceso a la información y el de la protección de datos personales. Ambas son caras de una misma moneda que fortalecen un Estado de Derecho pleno y que pueden convivir en perfecta armonía, como es el caso de diversos países alrededor del mundo y de la propia Unión Europea, quien posee los estándares más altos en dicha materia. 

Adjuntamos a la nota, un cuadro comparativo con nuestras sugerencias en forma detallada y comentando artículo por artículo, que esperamos sean considerados. 

De todas formas, quisiéramos aclarar que estos comentarios fueron hechos sobre el articulado del proyecto. Pero aún quedan más temas a considerar y debatir, en su momento oportuno. Por lo que alentamos a no introducir normativa anticuada y seguir los lineamientos que a nivel regional y global se vienen adoptando, adoptando los estándares modernos regulatorios.

Finalmente, quisiéramos reiterar el pedido para que se realice una audiencia pública con los diferentes actores, para poder contar con más insumos que contemplen las diferentes necesidades y que no se generen obstáculos para el desarrollo de la economía y ubiquen al Paraguay en una posición competitiva.

Invitamos a generar de manera conjunta entre el sector público y privado, la sociedad civil, la comunidad técnica y la academia- de acuerdo a las metodologías de múltiples partes interesadas – planteadas por OCDE y Naciones Unidas – procesos de construcción de políticas públicas que aseguren la integralidad en la protección de datos personales y otorguen plena legitimidad a cualquier iniciativa de Vuestra Excelencia. 


[1] Palazzi, Pablo, 2019. Delitos contra la intimidad Informática. CDYT Colección Derecho y Tecnología.

[2] Palazzi, Pablo, 2019. Pag. 55.

[3] Agencia de los Derechos Fundamentales de la Unión Europea, 2014. Manual de Legislación europea en materia de la protección de datos. Página. 39.

[4] Access Now, 2018. Pág. 17

[5] Corte Suprema de Justicia, 2001. Protección de datos personales. Pag. 134

[6] Access Now, 2018. Pág. 17. 

[7] Carrillo, E., & Sequera, M., (2018) Biometría y videovigilancia. Accedido en: https://www.tedic.org/biometria-y-video-vigilancia-parte1/

[8] Diario La Nación (2019). Denuncian a empresas que despiden a funcionarios con VIH. Accedido en: https://www.lanacion.com.py/pais/2019/05/24/denuncian-a-empresas-que-despiden-a-funcionarios-con-vih/

[9] Access Now, 2018. 

[10] Access Now, 2018, Pag. 6. 

[11] Red Iberoamericana de Protección de Datos, 2017. Pag. 10.

[12] Red Iberoamericana de Protección de Datos, 2017. Pag.11.

[13] El Surtidor (2017) Datos personales, un negocio sin control. Accedido en: https://elsurti.com/historias/datospersonales

[14] Agencia de los Derechos Fundamentales de la Unión Europea, 2014. Página 28

[15] Agencia de los Derechos Fundamentales de la Unión Europea, 2014. Página 30.