A raíz de la presentación de un proyecto de ley el 21 de marzo pasado ingresado al Senado bajo el nombre de “protección de datos personales”, la Coalición de de Protección de Datos Personales (creada en el 4to Foro de Gobernanza de Internet en el año 2017) de la cual TEDIC es parte, ha impulsado una serie de acciones tendientes a visibilizar que dicho proyecto no contaba con una mirada integral, sino exclusivamente crediticia.
Necesitamos una ley de datos personales
Esto implica básicamente que la regulación del proyecto de ley versaba sobre datos financieros, los cuales forman parte de los datos personales pero no los representan en su totalidad. Cuando hablamos de datos personales, nos referimos a toda información sobre o relativos a una persona. Esta información puede ir desde cuestiones como el nombre, el teléfono, la dirección hasta el historial médico o los antecedentes penales e incluso ideología política, orientación sexual entre otros. La doctrina ha profundizado este concepto por lo que actualmente no solamente se consideran datos personales a aquella información que identifica a una persona directamente como el ejemplo del nombre, sino también aquella información que hace que una persona sea identificable tras un análisis posterior. Esto quiere decir que aunque un dato no sea un dato directo, de igual forma es considerado un dato personal dado que permite inferir cuestiones relativas a una persona. Por ejemplo la ubicación GPS que de ser sistematizada y procesada podría proporcionar información sobre los trayectos cotidianos de una persona y de ahí se podría inferir donde vive, donde trabaja, con quien se frecuenta normalmente, donde realiza sus compras etc.
Vemos entonces como la cuestión de datos personales es muchísimo más amplia que los datos crediticios y por ello merece un análisis profundizado. El proyecto de ley preocupó especialmente en tanto nos encontramos en un contexto de crecimiento exponencial de las nuevas tecnologías que permiten un mayor y más rápido almacenamiento, además de un procesamiento de datos que sin un marco legal, resultan en violaciones a derechos fundamentales como ser el derecho a la privacidad y a la libertad de expresión.
Estas violaciones no son teóricas o lejanas, las vemos pasar todos los días. Algunos ejemplos concretos se dan en la divulgación de bases de datos a empresas que son utilizados para fines comerciales que resultan en que tu celular suene sin cesar con ofertas, el almacenamiento de datos biómetricos con la cámaras de reconocimiento facial ya instaladas en el territorio paraguayo sin aplicación de estándares de protección en la materia, divulgación de datos sensibles como ser VIH positivo que posteriormente son utilizadas de manera discriminatoria por ciertos lugares de trabajo, entre otros. La variedad de estas situaciones demuestra que la falta de protección no afecta a un sector, afecta a todas las personas por igual. Por lo que, en definitiva al no contar con la ley la ciudadanía no solo no tiene una herramienta que la proteja de abusos cometidos tanto por el sector público como el privado, sino que no tiene como reclamar que paren los abusos o que sean reparados.
Otra cuestión a tener en consideración es el reciente acuerdo entre los bloques del MERCOSUR y la UNIÓN EUROPEA, por el cual Paraguay necesariamente debe brindar un nivel de protección adecuado de acuerdo con los estándares promovidos por la Unión Europea, a efectos de acceder a la transferencia de datos personales desde esta y, con ello, facilitar la inversión de aquellos nichos de mercado que suponen tratamiento de datos provenientes de aquella. La inversión europea es superior en países “adecuados”, con relación a los países que no lo son. Además, estos estándares ayudarán a facilitar el desarrollo de la economía digital, promoviendo la innovación.
Por último, una ley integral de protección de datos personales se hace vital ante la inminente implementación del proyecto de Agenda Digital financiado por el BID, y en el cuál se prevé una informatización nunca antes vista de procesos públicos y privados que, sin un marco robusto, corren el riesgo de habilitar a vulnerabilidades en detrimento de toda la ciudadanía paraguaya.
En ese sentido, ante el proyecto de ley en cuestión manifestamos enérgicamente que la legislación debería proporcionar una protección sobre todo tipo de base de datos, no sólo las crediticias, dotando al país de una legislación más moderna que respete los derechos y garantías establecidos por nuestra Constitución Nacional y que al mismo tiempo, se adapte a las nuevas tecnologías. Por ello, realizamos una serie de acciones tendientes a dicho fin.
Las acciones se basaron principalmente en un trabajo de incidencia política. El proyecto de ley fue presentado por el Senador Fernando Silva Facceti por lo que el primer abordaje fue hacia su equipo de trabajo presentando una serie de notas donde constan recomendaciones de leyes basadas en estándares internacionales. Recomendamos seguir los “Estándares Iberoamericanos de Protección de datos personales” elaborados por la Red Iberoamericana de Protección de datos y la Guía de Access Now para ley integral de protección de datos personales. Así mismo, presentamos un cuadro donde plasmamos observaciones del proyecto artículo por artículo.
Ante la necesidad expresada por el equipo que desarrolló el proyecto de la inminencia de regular las cuestiones crediticias, propusimos entonces, la separación de los temas. Es decir, que se modifique el nombre del proyecto quedando en “protección de datos crediticios” que regule una ley sectorial para las bases de datos de informes crediticios, que no se contradiga con una ley marco y que a su vez sean complementarias; dejando la elaboración del proyecto integral a una mesa de trabajo multisectorial donde participen actores del estado, del sector académico y de la sociedad civil.
Las mismas observaciones hicimos llegar a las comisiones que realizarían los correspondientes dictámenes para su posterior tratamiento. Siendo éstas: la Comisión de Asuntos Constitucionales, Defensa Nacional y Fuerza Pública; Legislación, Codificación, Justicia y Trabajo; Industria, Comercio y Turismo. Ello mediante varias notas presentadas así como reuniones mantenidas con las directoras técnicas de cada área. Además mantuvimos reuniones con otras áreas instucionales involucradas en la temática como ser el MITIC, Ministerio de Justicia y Fiscalía de Delitos Informáticos.
Adicionalmente, establecimos contacto con senadores y senadoras de distintas bancadas a quienes hicimos llegar nuestras preocupaciones. En ese sentido cabe agradecer especialmente a la senadora Desiree Masí y al senador Hugo Richer, quienes con sus respectivos equipos acompañaron nuestro trabajo e impulsaron los cambios enunciados.
Especialista en Protección de Datos visita Paraguay
Así mismo, en concordancia con la importancia expresada en dichas ocasiones referente a la necesidad de que el proyecto sea enmarcado en los estandáres internacionales en la materia, invitamos al país a la Analista Senior de Políticas Públicas y líder de Protección de Datos Personales de la organización Access Now, Estelle Massé.
El trabajo de la misma se centra en las políticas de protección de datos, privacidad, vigilancia y telecomunicaciones. En particular, lidera el trabajo de Access Now sobre protección de datos en la Unión Europea y en todo el mundo. Así mismo, es miembro del Grupo de expertos de múltiples partes interesadas de la Comisión Europea para respaldar la aplicación del Reglamento general de protección de datos (GDPR).
La especialista se encontró en Paraguay desde 29/07 al 02/08, y mantuvo con una intensa agenda de reuniones con legisladores y funcionarios técnicos de comisiones varias, la Corte Suprema de Justicia, medios de comunicación y actores del sector privado y la sociedad civil. Fue especialmente importante en el tema que nos ocupa, la audiencia pública realizada en el Congreso Nacional en fecha 29 de julio donde la misma compartió mesa con senadores y tuvo la oportunidad de compartir la experiencia europea en cuanto a la creación del GDPR, su implementación y su impacto positivo en la ciudadanía. También, permitió el intercambio de actores interesados en el proyecto con senadores involucrados. De ahí se logró materializar un compromiso de lo solicitado desde el inicio: el cambio del nombre del proyecto a “protección de datos crediticios” y la posterior conformación de una mesa multisectorial que desarrolle un proyecto de ley de protección de datos de manera integral.
Pedimos una mesa de trabajo multisectorial
Valoramos positivamente que se haya presentado bajo ese nombre el día de hoy en el Congreso para su tratamiento, si bien tenemos observaciones varias respecto al contenido como ser que menciona que la protección abarca a personas jurídicas, siendo que los datos crediticios pertenecen solo a personas físicas; y algunos conceptos que carecen de coordinación entre sí.
Como organización líder en defensa de los derechos digitales consideramos de suma importancia el logro mencionado, pero aún nos queda un largo camino que recorrer en la materia. Paraguay necesita de una ley de protección de datos que se ajuste a los máximos niveles de protección de los derechos humanos de todos y todas. En nuestro compromiso por lo manifestado, seguiremos realizando el seguimiento adecuado a fin de que se cumpla la conformación de la mesa multisectorial de trabajo que permita negociaciones transparentes e inclusivas, a través de audiencias públicas y mesas de trabajo de expertos y siguiendo las metodologías de múltiples partes interesadas recomendadas por organismos como Naciones Unidas, a fin de lograr una ley de protección de datos con una mirada integral.
Este posteo también lo podés encontrar en la web de TEDIC.