IV Encuentro Iberoamericano: México, del 2 al 4 de noviembre de 2005 | Red Iberoamericana de Protección de datos

Mié, 02/11/2005 - 12:00

México

Los miembros de la Red Iberoamericana de Protección de Datos, reunidos en la Ciudad de México y en Huixquilucan (Estado de México) del 2 al 4 de noviembre de 2005, ponen de manifiesto su satisfacción por los desarrollos que han tenido lugar durante la celebración del IV Encuentro Iberoamericano de Protección de Datos Personales y desean hacer públicas las conclusiones que se han alcanzado en el mismo.

El Encuentro ha aportado dos novedades particularmente destacadas. En primer lugar la apertura de sus sesiones a la participación de asistentes que no están integrados en la Red Iberoamericana. El amplio número de personas que han acudido a los paneles del Encuentro acredita, de forma indubitable, la creciente sensibilidad e importancia de las cuestiones relacionadas con la protección de datos personales para un número creciente de personas y entidades públicas y privadas.

En segundo lugar, las conclusiones del Encuentro no se apoyan, exclusivamente, en los debates celebrados durante el mismo, sino que incorporan detallados documentos de trabajo, fruto de un análisis más exhaustivo de los temas abordados. Este hecho constituye un indicador de que la Red Iberoamericana se encuentra en condiciones de abordar y ofrecer alternativas rigurosas a los problemas que afectan a la protección de datos persona

En este sentido, constatan que las perspectivas recogidas en la Declaración de Cartagena de Indias (Colombia), relativas a que la Red Iberoamericana sea un punto de referencia objetivo e imparcial para la implantación efectiva del Derecho Fundamental a la Protección de Datos Personales, son una realidad capaz de influir de forma decisiva en el desarrollo institucional, social y económico de los países iberoamericano

En consecuencia, teniendo en cuenta los paneles desarrollados y los documentos elaborados por los grupos de trabajo de la Red, hacen públicas las siguientes CONCLUSIONES y sus documentos anexos.

I. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE LOS DATOS PERSONALES

El derecho a la protección de datos personales presenta caracteres propios que le dotan de una naturaleza autónoma de tal forma que su contenido esencial le distingue de otros derechos fundamentales y, específicamente, del derecho a la intimidad, al honor y a la propia imagen.

El derecho a la intimidad tiende a caracterizarse como el derecho a ser dejado solo y a evitar injerencias en la vida privada.

El derecho a la protección de datos atribuye a la persona un poder de disposición y control sobre los datos que le conciernen, partiendo del reconocimiento de que tales datos van a ser objeto de tratamiento por responsables públicos y privados. Dicho tratamiento impone a los responsables una obligación positiva al objeto de que se lleve a cabo con pleno respeto al sistema de garantías propio de este derecho fundamental.

En ocasiones se ha planteado que el derecho a la protección de datos constituye una barrera para la tutela de otros derechos fundamentales o intereses públicos como la libertad de información, la transparencia y acceso a la información que obre en poder de entidades públicas o el desarrollo de la actividad económica.

Frente a estas afirmaciones debe destacarse que no se producen propiamente conflictos entre unos y otros, sino más bien zonas de contacto cuya resolución se encuentra en la búsqueda de puntos de equilibrio que hagan compatibles a unos y otros.

Sin embargo, no puede olvidarse que sólo respetando el derecho fundamental de todos a la protección de sus datos personales se conseguirá un marco adecuado de respeto a la libertad de expresión, al acceso a la información y un correcto desarrollo del mercado.

En particular, los elementos que permiten alcanzar un punto de equilibrio entre la protección de los datos personales y el acceso a la información pública se contemplan específicamente en uno de los documentos anexos a esta Declaración.

II. LAS NUEVAS EXIGENCIAS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN

La Declaración de Cartagena de Indias aportó una primera consideración sobre la incidencia que supone para la protección de datos personales su tratamiento en el sector de las telecomunicaciones e Internet, con una referencia especifica a los problemas que plantean las comunicaciones electrónicas o mensajes de datos no consentidos ni deseados, popularmente conocidos como spam,

En dicha declaración se partía de la premisa de que el desarrollo de las telecomunicaciones y de los servicios de la Sociedad de la Información supone necesariamente el tratamiento de datos de carácter personal y la necesidad de adaptar las garantías propias del derecho fundamental que los protege a las circunstancias específicas de dichos tratamientos.

Esta perspectiva ha confluido con la necesidad de construir la Sociedad de la Información y del Conocimiento como un desafío global para el nuevo milenio, en los términos recogidos en la Declaración de Principios de la Cumbre Mundial, celebrada en Ginebra en el año 2003, cuya continuación tendrá lugar en Túnez en 2005.

La conexión entre ambas perspectivas ha sido objeto de una declaración expresa en la Conferencia Internacional de Comisarios de Protección de Datos y de la Vida Privada que tuvo lugar del 13 al 15 de septiembre de 2005 en Montreaux (Suiza).

La Declaración de Principios, entre otros aspectos, reconoció que las Tecnologías de la Información y las Comunicaciones (TIC) deben jugar un papel destacado en el desarrollo de la educación, la información y el conocimiento y posibilitan el crecimiento económico como consecuencia de las mejoras que pueden suponer para alcanzar una mayor eficiencia y productividad

Para conseguirlo, la Declaración enumera diversas necesidades entre las que se incluye, como requisito previo, la de fomentar la confianza y seguridad de los usuarios y la de hacer frente al fenómeno del spam.

En este sentido, la Declaración considera insoslayable la existencia de un marco jurídico transparente, competitivo, tecnológicamente neutro, predecible y adaptado a las necesidades nacionales.

Desde la perspectiva de la protección de datos, la articulación de este marco jurídico debe asumir como criterios la neutralidad tecnológica, que permite que las garantías inherentes a aquella protección opere con independencia de la tecnología utilizada; así como la articulación de estas garantías como derechos subjetivos de los abonados y de los usuarios, de forma que puedan ejercitarse frente a cualquier tercero que los lesione.

Asimismo, debe considerarse la posibilidad de que tales garantías puedan amparar a personas jurídicas o morales.

Por su parte, la respuesta al fenómeno del spam, debe incluir un marco jurídico dotado de instrumentos para sancionarlo; la colaboración entre las autoridades competentes para aplicarlo, los prestadores de servicios y los usuarios; la concienciación de éstos últimos y la cooperación internacional.

En el ámbito de los servicios de la sociedad de la información es necesario considerar, adicionalmente, la necesidad de desarrollar instrumentos de firma electrónica, así como contemplar los problemas relacionados con la protección de los derechos de propiedad intelectual de forma que resulte compatible con el derecho a la protección de datos personales.

El desarrollo de la Sociedad de la Información ofrece, adicionalmente, nuevas posibilidades para que las entidades públicas mejoren los servicios e información ofrecidos a los ciudadanos, aumenten la eficiencia y la eficacia de la gestión pública e incrementen sustantivamente la transparencia del sector público, así como la participación de los ciudadanos.

Para ello es preciso estimular la implantación de proyectos de gobierno electrónico que hagan posible la consecución de los objetivos citados con el derecho de las personas a la protección de sus datos

El detalle de las implicaciones que plantea el tratamiento de datos personales en el sector de las telecomunicaciones y en la implantación del gobierno electrónico se recogen en documento adjunto a la presente Declaración.

III. DESARROLLOS NORMATIVOS Y GLOBALIZACIÓN

En consideración a los debates que tuvieron lugar durante el III Encuentro Iberoamericano, la Declaración de Cartagena de Indias recogió diversas conclusiones respecto de las implicaciones que la protección de datos personales supone para otros ámbitos de la actividad económica como son los del sector financiero, el sector comercial, el uso de la información con fines de marketing y las transferencias internacionales de datos como elemento imprescindible para el desarrollo del comercio en mercados regionales o en el mercado mundial.

Durante el IV Encuentro se han vuelto a analizar dichas implicaciones en los ámbitos mencionados, proyectando tales implicaciones al conjunto de la actividad económica.

A este respecto, se ha puesto de manifiesto la necesidad de conjugar mecanismos de protección de datos que neutralicen los desafíos y riesgos que plantea la globalización, sin menoscabar el desarrollo económico, industrial y tecnológico de las sociedades.

En el marco de este análisis han sido objeto de consideración especial los elementos que deben integrar el marco normativo adecuado para garantizar la protección de los datos personales

En este sentido, se ha considerado la relación que debe existir entre la posibilidad de que el Estado apruebe una regulación imperativa de carácter general o sectorial y las iniciativas de los propios operadores para que la protección de los datos personales se lleve a cabo a través de instrumentos de autorregulación.

La opción por esta última alternativa como instrumento exclusivo para alcanzar un adecuada equilibrio entre las necesidades de los operadores económicos en el desarrollo de su actividad y la protección de los datos de las personas, debe ser descartada por cuanto constituye un sistema de protección jurídica inadecuado para la tutela de un derecho fundamental, al quedar ésta únicamente supeditada a la decisión de las entidades afectadas, excluyendo la intervención de los poderes públicos

Sin embargo, ello no significa que deban descartarse las iniciativas de autorregulación con carácter complementario a un marco normativo previamente definido por el Estado.

En efecto, los instrumentos de autorregulación pueden ofrecer un valor añadido en la protección de datos personales, bien porque la iniciativa empresarial pretenda significarse con un elemento de mayor calidad en el trato de los datos de sus clientes, ante la insuficiencia de las regulaciones aprobadas por el Estado, o, añadiendo garantías adicionales a las contempladas en tales regulaciones; bien porque permitan adaptar la normativa a las especificidades que presenta el tratamiento de datos en un determinado sector de actividad, de forma que se generen estándares adaptados a las necesidades del sector, que faciliten su cumplimiento

IV. LOS DATOS DE SALUD COMO DATOS ESPECIALMENTE PROTEGIDOS Y SU SEGURIDAD

Los denominados datos especialmente protegidos deben ser objeto de una consideración especifica por cuanto que, dentro del marco regulador de la protección de datos personales, exigen instrumentos adicionales de garantía.

Una primera reflexión que suscitan los datos especialmente protegidos es la que afecta a su propia delimitación, cerrada o abierta mediante una enumeración meramente ejemplificativa de los mismos.

Sin embargo, no cabe duda de que, en todo caso, deben ser incluidos en esta categoría los datos relativos a la salud de las personas. El tratamiento de los datos de salud necesita de una delimitación previa dirigida a determinar su concepto.

Tanto este análisis como el relacionado con la legitimación de su tratamiento y el acceso a los datos de salud debe partir de una interpretación armónica de la normativa de protección de datos y las regulaciones sectoriales en el ámbito de la sanidad.

De este modo será posible alcanzar soluciones de equilibrio respecto a la titularidad de la documentación clínica, a las finalidades que justifican el acceso y uso de la misma, a las obligaciones de conservarla, a las medidas de seguridad y al secreto.

Estas soluciones deberán tener en cuenta no sólo el derecho fundamental de la persona a la protección de los datos personales sino también la necesidad de permitir la definición de políticas públicas amparadas legalmente que, atendiendo a la consecución de intereses generales, implican el acceso y tratamiento de los datos de salud, incluso, relacionada con otros datos especialmente protegidos con los de origen racial o étnico y de vida sexual.

V. LA RED IBEROAMERICANA DE PROTECCIÓN DE DATOS

La Declaración de la XII Cumbre Iberoamericana de Jefes de Estado y de Gobierno celebrada en Santa Cruz de la Sierra (Bolivia) asumió, entre otros aspectos, que la protección de los datos personales es un derecho fundamental de las personas, destacó la importancia de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los ciudadanos y reconoció formalmente el papel positivo que la Red Iberoamericana de Protección de Datos Personales ocupa en la consecución de dichas finalidades.

La Declaración de Cartagena de Indias supuso una concreción de los pasos a desarrollar para la consecución de sus objetivos señalando como primeras actuaciones la definición de una Estrategia de la Red y el análisis sobre la viabilidad de creación de autoridades de control en el entorno iberoamericano.

Ambas tareas han sido cumplidas recogiéndose sus análisis y conclusiones en los oportunos documentos anejos a esta Declaración.

VI. IMPULSO NORMATIVO SOBRE PROTECCIÓN DE DATOS EN MÉXICO

El IV Encuentro Iberoamericano de Protección de Datos Personales ha coincidido, felizmente, con las últimas fases del proceso legislativo parlamentario de la Iniciativa de Ley Federal de Protección de Datos Personales.

México se encuentra inmerso en un proceso legislativo de discusión a efecto de generar un marco jurídico aplicable a la protección de datos personales; para ello, el proceso correspondiente debe tomar en consideración la experiencia internacional adquirida en la materia, y permitir un equilibrio eficaz entre el flujo regulado y necesario de la información para promover los mercados en constante desarrollo y expansión, y la protección de la persona en el ámbito de la protección de datos.

Adicionalmente, es imperativo que esa ley promueva la cultura de la protección de datos entre los individuos, de forma tal que la misma se convierta en un valor fundamental de nuestra sociedad.

Así, una ley de protección de datos personales en México debería considerar, los principios de protección de datos personales internacionalmente reconocidos, aplicables tanto a las entidades públicas como privadas; por otro lado, debe adecuarse a las condiciones sociales, políticas y económicas del país, estableciendo al mismo tiempo reglas claras y sencillas que permitan, no sólo su implementación y cumplimiento, sino también un equilibrio entre el flujo de datos personales y su protección. Por último, la ley debe garantizar el ejercicio efectivo del derecho a la protección de datos de las personas y promover una cultura de confianza y de respeto a los derechos humanos, a través de instituciones independientes.

La Red Iberoamericana se congratula de la iniciativa mexicana en el convencimiento de que supondrá un nuevo impulso para garantizar la protección de datos personales en el Región.

VII. LA 28ª. CONFERENCIA INTERNACIONAL DE PROTECCIÓN DE DATOS: BUENOS AIRES 2006

La Red Iberoamericana de Protección de Datos se congratula y felicita cordialmente a la Dirección Nacional de Protección de Datos de la República Argentina, miembro de la Red Iberoamericana, por haber asumido la importante responsabilidad de organizar la 28ª Conferencia Internacional de Comisarios de Protección de Datos y de Vida Privada, que tendrá lugar en Buenos Aires en noviembre de 2006

VIII. COOPERACIÓN ENTRE EL IFAI, LA AEPD Y LA DNPD

En el año 2003 la Agencia Española de Protección de Datos (AEPD) ya formalizó instrumentos de cooperación, asistencia técnica y capacitación con la Dirección Nacional de Protección de Datos del Ministerio de Justicia y Derechos Humanos de la República Argentina (DNPD).

Como continuación de esta iniciativa, en el marco del IV Encuentro Iberoamericano se han seguido impulsando las actividades de cooperación entre Instituciones con competencias en materia de protección de datos personales.

A tal efecto se han firmado las Cartas de Intenciones para la Colaboración en materia de protección de datos entre la AEPD y el Instituto Federal de Acceso a la Información Pública de los Estados Unidos Mexicanos (IFAI), por una parte, y entre esta última institución y la DNPD, por otra

IX. CREACIÓN DE GRUPOS DE TRABAJO

La Declaración de Cartagena de Indias concluyó con la creación del de Subgrupos de trabajo para el análisis de las diferentes materias que se han citado a lo largo de la presente Declaración.

La experiencia adquirida en el funcionamiento de estos Subgrupos y la valiosa aportación que suponen los documentos de trabajo elaborados y presentados en el IV Encuentro Iberoamericano aconsejan dar continuidad a esta metodología de trabajo.

Con este fin, la Red Iberoamericana de Protección de Datos considera necesario poner en marcha los Grupos Permanentes de Desarrollo Normativo y sobre la Red on-line, dado que se ha incorporado dentro de su estrategia una evaluación y asesoramiento continuado sobre las iniciativas regulatorias relacionadas con la protección de datos personales que se produzcan en la región, así como un nuevo instrumento de información y divulgación.

Asimismo se procede a la constitución de los siguientes Subgrupos:

Instrumentos de autorregulación que analizará, de acuerdo con los criterios asumidos en la presente Declaración la validez y eficacia de códigos de conducta o instrumentos análogos.
Tratamiento de datos de salud en relación con la historia clínica.

Los documentos que elaboren estos Subgrupos deberán ser presentados en el próximo Encuentro Iberoamericano de Protección de Datos.

Huixquilucan (Estado de México), 4 de noviembre de 2005