Otro Link - Partido Pirata

Guia de Privacidad para
Hispanohablantes 2012
Índice general
PREFACIO .......................................................................................... 13
MENCIONES ........................................................................................ 15
A. INFORMACIÓN GENERAL SOBRE PRIVACIDAD .................................... 16
RESUMEN............................................................................................................................................ 16
DEFINICIÓN DE LA PRIVACIDAD ............................................................................................................... 16
FACETAS DE LA PRIVACIDAD................................................................................................................... 17
MODELOS DE PROTECCIÓN DE LA PRIVACIDAD..........................................................................................18
EL DERECHO A LA PRIVACIDAD ............................................................................................................... 19
LA EVOLUCIÓN DE LA PROTECCIÓN DE DATOS ......................................................................................... 22
SUPERVISIÓN Y COMISIONADOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS ..................................................28
FLUJOS TRANSFRONTERIZOS DE DATOS Y PARAÍSOS DE DATOS ................................................................ 29
B. TEMAS SOBRE PRIVACIDAD ............................................................ 35
SISTEMAS DE IDENTIFICACIÓN Y CÉDULAS DE IDENTIDAD ........................................................................... 35
PRIVACIDAD EN EL CENTRO LABORAL .....................................................................................................48
SITIOS DE REDES SOCIALES Y COMUNIDADES VIRTUALES .......................................................................... 62
VIGILANCIA DE LAS COMUNICACIONES .................................................................................................... 66
AUTENTICACIÓN Y REVELACIÓN DE LA IDENTIDAD...................................................................................... 79
REGISTROS PÚBLICOS ......................................................................................................................... 83
C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85
ACERCA DEL EPHR .............................................................................................................................. 87
HALLAZGOS PRINCIPALES .................................................................................................................... 88
INVESTIGACIÓN Y ANÁLISIS ................................................................................................................... 90
CRITERIOS E INDICADORES .................................................................................................................. 119
RESULTADOS .................................................................................................................................... 126
METODOLOGÍA ................................................................................................................................... 127
D. UNIÓN EUROPEA ........................................................................... 133
I. VISIÓN GENERAL DEL MARCO LEGAL E INSTITUCIONAL........................................................................... 133
II. DIRECTIVA DE PROTECCIÓN DE DATOS .............................................................................................. 135
III. PRIVACIDAD Y COMUNICACIONES ELECTRÓNICAS ............................................................................... 138
IV. LA DIRECTIVA DE CONSERVACIÓN DE DATOS .....................................................................................139
V. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIÓN EUROPEA ........ 142
VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ................................................................ 142
VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A. ...................................................................................... 149
VIII. ACTORES REGULATORIOS CLAVE ....................................................................................................155
E. ESPAÑA ....................................................................................... 161
I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES Y MARCO
INSTITUCIONAL ................................................................................................................................... 161
II. CAMPOS DE ACCIÓN ...................................................................................................................... 168
III. LABOR DE DEFENSA DE LA PRIVACIDAD DE LAS ORGANIZACIONES NO GUBERNAMENTALES ...................... 183
IV. OBLIGACIONES INTERNACIONALES Y COOPERACIÓN INTERNACIONAL...................................................... 183
RECONOCIMIENTOS ........................................................................... 185
3 EXPERTOS NACIONALES QUE TOMARON PARTE EN EL EPHR 2010 AL ACTUALIZAR LOS INFORMES NACIONALES Y
PROPORCIONAR INFORMACIÓN ADICIONAL .............................................................................................. 185
EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN
INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA
INVESTIGACIÓN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD") .......................... 188
EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192
ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195
NOTICIAS SOBRE PRIVACIDAD .............................................................................................................. 195
FUENTES INSTITUCIONALES .................................................................................................................. 195
4 Índice detallado
PREFACIO .......................................................................................... 13
MENCIONES ........................................................................................ 15
A. INFORMACIÓN GENERAL SOBRE PRIVACIDAD .................................... 16
RESUMEN............................................................................................................................................ 16
DEFINICIÓN DE LA PRIVACIDAD ............................................................................................................... 16
FACETAS DE LA PRIVACIDAD................................................................................................................... 17
MODELOS DE PROTECCIÓN DE LA PRIVACIDAD..........................................................................................18
Leyes Integrales ....................................................................................................................................18
Leyes Sectoriales ..................................................................................................................................18
Autorregulación .................................................................................................................................... 19
Tecnologías de la Privacidad ............................................................................................................. 19
EL DERECHO A LA PRIVACIDAD ............................................................................................................... 19
LA EVOLUCIÓN DE LA PROTECCIÓN DE DATOS ......................................................................................... 22
Razones para Adoptar Leyes Integrales ....................................................................................... 23
Directivas de Protección de Datos de la Unión Europea .......................................................... 23
La iniciativa de privacidad de la APEC ............................................................................................ 26
Protección de Datos Iberoamericana ............................................................................................ 27
SUPERVISIÓN Y COMISIONADOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS ..................................................28
FLUJOS TRANSFRONTERIZOS DE DATOS Y PARAÍSOS DE DATOS ................................................................ 29
Acuerdo de Puerto Seguro entre la Unión Europea y los Estados Unidos de América ..... 31
B. TEMAS SOBRE PRIVACIDAD ............................................................ 35
SISTEMAS DE IDENTIFICACIÓN Y CÉDULAS DE IDENTIDAD ........................................................................... 35
Biométrica ............................................................................................................................................. 37
Pasaportes Biométricos ................................................................................................................... 40
Huellas Dactilares ................................................................................................................................ 42
Escaneo de Retina e Iris .................................................................................................................... 45
Geometría de Manos (Impresiones Palmares) ............................................................................ 46
Reconocimiento de Voz ...................................................................................................................... 47
PRIVACIDAD EN EL CENTRO LABORAL .....................................................................................................48
Antecedentes Jurídicos ..................................................................................................................... 49
Vigilancia en el Centro Laboral......................................................................................................... 53
Monitoreo del Desempeño ................................................................................................................ 54
Monitoreo Telefónico .......................................................................................................................... 56
Monitoreo del Correo Electrónico, el Uso de Internet y de Blogs ......................................... 56
Pruebas de Consumo de Drogas ..................................................................................................... 59
SITIOS DE REDES SOCIALES Y COMUNIDADES VIRTUALES .......................................................................... 62
VIGILANCIA DE LAS COMUNICACIONES .................................................................................................... 66
Protecciones Legales y Derechos Humanos................................................................................ 66
Normas Legales y Técnicas para la Vigilancia: Construyendo al Gran Hermano ............... 68
Vigilancia en Internet: Cajas Negras y Registradores de Golpes de Tecla ........................... 71
Datos de Transacciones y de Ubicación ........................................................................................ 72
Conservación de Datos ...................................................................................................................... 72
Ciberdelincuencia: Iniciativas Internacionales en la Armonización de la Vigilancia ........... 74
Consejo de Europa .............................................................................................................................. 74
Organización para la Cooperación y el Desarrollo Económicos ............................................. 76
5 Seguridad Nacional, Agencias de Inteligencia y el “Sistema Echelon”.................................. 77
AUTENTICACIÓN Y REVELACIÓN DE LA IDENTIDAD...................................................................................... 79
REGISTROS PÚBLICOS ......................................................................................................................... 83
C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85
ACERCA DEL EPHR ............................................................................................................................. 87
HALLAZGOS PRINCIPALES .................................................................................................................... 88
Lo bueno ............................................................................................................................................... 88
Lo heroico ............................................................................................................................................. 88
Lo vergonzoso ..................................................................................................................................... 88
Lo malo .................................................................................................................................................. 89
Lo feo ..................................................................................................................................................... 89
INVESTIGACIÓN Y ANÁLISIS ................................................................................................................... 90
Resumen de los Acontecimientos por País ................................................................................. 90
Alemania ............................................................................................................................................................90
Antigua Yugoslavia República de Macedonia ............................................................................................ 91
Austria ................................................................................................................................................................ 92
Bélgica................................................................................................................................................................ 93
Bulgaria ............................................................................................................................................................. 95
Croacia ............................................................................................................................................................... 96
Chipre ................................................................................................................................................................. 96
Dinamarca ......................................................................................................................................................... 97
Eslovaquia ......................................................................................................................................................... 98
Eslovenia............................................................................................................................................................ 99
España................................................................................................................................................................ 99
Estonia ............................................................................................................................................................. 100
Finlandia ............................................................................................................................................................ 101
Francia ............................................................................................................................................................... 101
Grecia ................................................................................................................................................................102
Hungría ............................................................................................................................................................. 103
Irlanda ............................................................................................................................................................... 104
Italia ................................................................................................................................................................... 105
Letonia ............................................................................................................................................................. 106
Lituania ............................................................................................................................................................ 106
Luxemburgo .................................................................................................................................................... 107
Malta ................................................................................................................................................................. 108
Noruega ........................................................................................................................................................... 108
Países Bajos ..................................................................................................................................................... 110
Polonia ................................................................................................................................................................ 111
Portugal ............................................................................................................................................................. 112
República Checa .............................................................................................................................................. 112
Rumania ............................................................................................................................................................. 113
Suecia ................................................................................................................................................................. 114
Suiza ....................................................................................................................................................................115
Turquía .............................................................................................................................................................. 116
Reino Unido ....................................................................................................................................................... 117
Unión Europea .................................................................................................................................................. 117
CRITERIOS E INDICADORES .................................................................................................................. 119
SALVAGUARDAS DEMOCRÁTICAS ........................................................................................................... 119
PROTECCIÓN CONSTITUCIONAL ............................................................................................................ 119
PROTECCIÓN LEGAL ............................................................................................................................... 119
LA PRIVACIDAD EN LA PRÁCTICA.......................................................................................................... 120
LIDERAZGO ............................................................................................................................................. 120
CÉDULAS DE IDENTIFICACIÓN Y DATOS BIOMÉTRICOS ........................................................................ 121
INTERCAMBIO DE DATOS ........................................................................................................................ 121
6 VIGILANCIA VISUAL ................................................................................................................................... 121
INTERCEPTACIÓN DE COMUNICACIONES .............................................................................................. 122
RETENCIÓN DE DATOS DE COMUNICACIONES ..................................................................................... 122
ACCESO GUBERNAMENTAL A DATOS .................................................................................................... 122
VIGILANCIA EN EL CENTRO LABORAL .................................................................................................... 123
PRIVACIDAD MÉDICA .............................................................................................................................. 123
PRIVACIDAD FINANCIERA........................................................................................................................ 124
PRIVACIDAD FRONTERIZA ...................................................................................................................... 124
SUPERVISIÓN DE LA VIGILANCIA Y DE LOS SERVICIOS DE INTELIGENCIA ......................................... 124
ADN .......................................................................................................................................................... 125
RESULTADOS .................................................................................................................................... 126
METODOLOGÍA ................................................................................................................................... 127
ACERCA DE NUESTRO ENFOQUE ANALÍTICO ......................................................................................... 127
CAMBIOS A NUESTRO ENFOQUE .......................................................................................................... 128
CLASIFICACIÓN VS. VALORACIÓN .......................................................................................................... 129
ENFOQUE NORMATIVO .......................................................................................................................... 130
ALGUNAS REFERENCIAS .......................................................................................................................... 131
D. UNIÓN EUROPEA ........................................................................... 133
I. VISIÓN GENERAL DEL MARCO LEGAL E INSTITUCIONAL........................................................................... 133
II. DIRECTIVA DE PROTECCIÓN DE DATOS .............................................................................................. 135
REVISIÓN DE LA DIRECTIVA DE PROTECCIÓN DE DATOS.................................................................... 137
III. PRIVACIDAD Y COMUNICACIONES ELECTRÓNICAS ............................................................................... 138
IV. LA DIRECTIVA DE CONSERVACIÓN DE DATOS .....................................................................................139
V. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIÓN EUROPEA ........ 142
VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ................................................................ 142
PROCESAMIENTO DE DATOS EN EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ......... 143
VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A. ...................................................................................... 149
LOS ACUERDOS DE INTERCAMBIO DE DATOS DE LOS REGISTROS DE NOMBRE DE LOS PASAJEROS
(PNR) ......................................................................................................................................................150
PROGRAMA DE RASTREO DE FINANCIAMIENTO AL TERRORISMO (TFTP) ......................................... 153
VIII. ACTORES REGULATORIOS CLAVE ....................................................................................................155
EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS ......................................................................155
EL GRUPO DE TRABAJO DEL ARTÍCULO 29 ......................................................................................... 156
OTRAS REDES DE AUTORIDADES DE PROTECCIÓN DE DATOS .......................................................... 156
Redes de protección de datos formadas por iniciativa propia ........................................................ 156
Agencia Europea de Seguridad de las Redes y de la Información.................................................... 157
Agencia de los Derechos Fundamentales de la Unión Europea ......................................................... 157
EL CONSEJO DE EUROPA ....................................................................................................................... 158
E. ESPAÑA ....................................................................................... 161
I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES Y MARCO
INSTITUCIONAL ................................................................................................................................... 161
Derechos de privacidad y protección de datos personales recogidos en la Constitución
................................................................................................................................................................. 161
Normas legales y reglamentos sobre los derechos de privacidad y protección de datos
personales ............................................................................................................................................ 161
Legislación general ......................................................................................................................................... 161
Legislación sectorial ...................................................................................................................................... 163
Agencia española de protección de datos ..................................................................................163
Jurisprudencia sobre los derechos de privacidad y protección de datos personales . 166
II. CAMPOS DE ACCIÓN ...................................................................................................................... 168
Seguridad Nacional, Vigilancia por parte del Gobierno y Aplicación de la Ley .................. 168
7 Escuchas, acceso a las comunicaciones e interceptación ................................................................ 168
Legislación sobre seguridad nacional ...................................................................................................... 170
Retención de datos ........................................................................................................................................ 171
Bases de datos nacionales creadas para hacer cumplir ley y velar por la seguridad ............... 171
Acuerdos nacionales e internacionales sobre la divulgación de datos .......................................... 172
Ciberdelincuencia........................................................................................................................................... 173
Infraestructura crítica ................................................................................................................................. 173
Internet y Privacidad del Consumidor .......................................................................................... 173
Comercio electrónico ................................................................................................................................... 173
Seguridad cibernética .................................................................................................................................. 173
Marketing con base en el comportamiento en Internet y privacidad de los motores de
búsqueda ......................................................................................................................................................... 173
Redes sociales y comunidades virtuales online ..................................................................................... 175
Seguridad para los jóvenes en Internet .................................................................................................. 175
Privacidad Territorial ........................................................................................................................ 176
Vigilancia por videocámara ......................................................................................................................... 176
Privacidad de localización (GPS, teléfonos móviles, servicios basados en la localización, etc.)
.............................................................................................................................................................................177
Privacidad en los viajes (documentación de identidad de viajero, biometría, etc.) y vigilancia
fronteriza ......................................................................................................................................................... 178
Documento nacional de identidad y tarjetas inteligentes ................................................................. 178
Etiquetas RFID ................................................................................................................................................. 179
Privacidad Física ................................................................................................................................ 180
Privacidad en el Lugar de Trabajo ................................................................................................ 180
Privacidad Sanitaria y Genética ..................................................................................................... 180
Privacidad sanitaria ..................................................................................................................................... 180
Privacidad genética ........................................................................................................................................ 181
Privacidad Financiera ........................................................................................................................ 181
Administración Electrónica y Privacidad ..................................................................................... 182
Gobierno Abierto ................................................................................................................................ 182
Otros Avances Recientes ................................................................................................................. 182
III. LABOR DE DEFENSA DE LA PRIVACIDAD DE LAS ORGANIZACIONES NO GUBERNAMENTALES ...................... 183
IV. OBLIGACIONES INTERNACIONALES Y COOPERACIÓN INTERNACIONAL...................................................... 183
RECONOCIMIENTOS ........................................................................... 185
EXPERTOS NACIONALES QUE TOMARON PARTE EN EL EPHR 2010 AL ACTUALIZAR LOS INFORMES NACIONALES Y
PROPORCIONAR INFORMACIÓN ADICIONAL .............................................................................................. 185
Alemania ................................................................................................................................................ 185
República de Austria .......................................................................................................................... 185
Reino de Bélgica ................................................................................................................................ 186
República de Bulgaria ....................................................................................................................... 186
República de Croacia ........................................................................................................................ 186
República de Chipre .......................................................................................................................... 186
República Checa ................................................................................................................................. 186
Reino de Dinamarca .......................................................................................................................... 186
República Eslovaca ............................................................................................................................ 186
República de Eslovenia ..................................................................................................................... 186
Reino de España ................................................................................................................................ 186
República de Estonia ........................................................................................................................ 186
República de Finlandia...................................................................................................................... 186
República de Francia ........................................................................................................................ 186
Grecia .....................................................................................................................................................187
República de Hungría ........................................................................................................................187
República de Irlanda ..........................................................................................................................187
República de Italia ..............................................................................................................................187
8 República de Letonia .........................................................................................................................187
República de Lituania.........................................................................................................................187
Luxemburgo .........................................................................................................................................187
Macedonia .............................................................................................................................................187
Malta.......................................................................................................................................................187
Reino de Noruega ...............................................................................................................................187
Países Bajos .........................................................................................................................................187
Polonia .................................................................................................................................................. 188
República de Portugal ...................................................................................................................... 188
Rumania ............................................................................................................................................... 188
Reino de Suecia .................................................................................................................................. 188
Suiza ...................................................................................................................................................... 188
Reino Unido.......................................................................................................................................... 188
República de Turquía........................................................................................................................ 188
Unión Europea .................................................................................................................................... 188
EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN
INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA
INVESTIGACIÓN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD")........................... 188
Alemania ............................................................................................................................................... 189
República de Austria ......................................................................................................................... 189
Reino de Bélgica ................................................................................................................................ 189
República de Bulgaria ....................................................................................................................... 189
República de Chipre .......................................................................................................................... 189
República Checa ................................................................................................................................. 189
Reino de Dinamarca .......................................................................................................................... 189
República de Eslovaquia .................................................................................................................. 190
República de Eslovenia ..................................................................................................................... 190
Reino de España ................................................................................................................................ 190
República de Estonia ........................................................................................................................ 190
República de Finlandia...................................................................................................................... 190
República de Francia ........................................................................................................................ 190
Grecia .................................................................................................................................................... 190
República de Hungría ....................................................................................................................... 190
República de Irlanda .......................................................................................................................... 191
República de Italia .............................................................................................................................. 191
República de Letonia ......................................................................................................................... 191
República de Lituania......................................................................................................................... 191
Macedonia ............................................................................................................................................. 191
Malta....................................................................................................................................................... 191
Reino de Noruega ............................................................................................................................... 191
Países Bajos ......................................................................................................................................... 191
Polonia .................................................................................................................................................. 192
República de Portugal ...................................................................................................................... 192
Reino Unido.......................................................................................................................................... 192
Rumania ............................................................................................................................................... 192
Reino de Suecia .................................................................................................................................. 192
Suiza ...................................................................................................................................................... 192
República de Turquía........................................................................................................................ 192
Unión Europea .................................................................................................................................... 192
EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192
Privacy International, Londres (Reino Unido)............................................................................. 192
9 Center for Media and Communication Studies, Central European University, Budapest
(Hungría) ...............................................................................................................................................193
Electronic Privacy Information Center, Washington D.C. .........................................................193
ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195
NOTICIAS SOBRE PRIVACIDAD .............................................................................................................. 195
Noticias e Informes sobre Privacidad ........................................................................................... 195
Periódicos Informativos .................................................................................................................... 195
FUENTES INSTITUCIONALES .................................................................................................................. 195
Comisionados Europeos de Privacidad......................................................................................... 195
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Alemania ........................................................................................................................................................ 195
Antigua Yugoslavia República de Macedonia ....................................................................................... 195
Austria ............................................................................................................................................................196
Autoridades de Protección de Datos de Europa Central y Oriental .............................................196
Bélgica ............................................................................................................................................................196
Bulgaria..........................................................................................................................................................196
Chipre .............................................................................................................................................................196
Croacia ...........................................................................................................................................................196
Dinamarca .....................................................................................................................................................196
Eslovenia ........................................................................................................................................................196
España ............................................................................................................................................................196
Estonia ...........................................................................................................................................................196
Finlandia ........................................................................................................................................................196
Francia ...........................................................................................................................................................196
Grecia .............................................................................................................................................................196
Hungría ..........................................................................................................................................................196
Irlanda ............................................................................................................................................................196
Islandia ........................................................................................................................................................... 197
Italia ................................................................................................................................................................ 197
Letonia ........................................................................................................................................................... 197
Liechtenstein ................................................................................................................................................ 197
Lituania .......................................................................................................................................................... 197
Luxemburgo ................................................................................................................................................. 197
Malta ............................................................................................................................................................... 197
Noruega ......................................................................................................................................................... 197
Países Bajos.................................................................................................................................................. 197
Polonia ........................................................................................................................................................... 197
Portugal ......................................................................................................................................................... 197
República Checa .......................................................................................................................................... 197
República de Eslovaquia ............................................................................................................................ 197
Rumania ......................................................................................................................................................... 197
Suecia ............................................................................................................................................................. 197
Suiza .............................................................................................................................................................. 198
Reino Unido .................................................................................................................................................. 198
Organizaciones Intergubernamentales y de Cooperación Internacional........................... 198
Unión Europea ................................................................................................................................................ 198
Consejo de Europa ....................................................................................................................................... 198
OCDE ................................................................................................................................................................. 198
APEC .................................................................................................................................................................. 198
Naciones Unidas ............................................................................................................................................. 198
Organización Mundial del Comercio ..........................................................................................................199
Cámara de Comercio Internacional ..........................................................................................................199
Grupo de Trabajo Internacional sobre Protección de Datos en Telecomunicaciones ...............199
Organizaciones No Gubernamentales .......................................................................................... 199
Informes de Derechos Humanos ................................................................................................... 199
Fuentes de privacidad adicionales de países específicos ..................................................... 199
Alemania ......................................................................................................................................................... 200
10 Austria ............................................................................................................................................................. 200
Bélgica............................................................................................................................................................. 200
Bulgaria ............................................................................................................................................................201
Croacia ..............................................................................................................................................................201
Dinamarca ........................................................................................................................................................201
Eslovaquia ........................................................................................................................................................201
Eslovenia...........................................................................................................................................................201
España...............................................................................................................................................................201
Estonia .............................................................................................................................................................202
Finlandia ..........................................................................................................................................................202
Francia .............................................................................................................................................................202
Grecia ...............................................................................................................................................................202
Hungría ............................................................................................................................................................202
Irlanda .............................................................................................................................................................. 203
Italia .................................................................................................................................................................. 203
Letonia ............................................................................................................................................................. 203
Lituania ............................................................................................................................................................ 203
Luxemburgo ...................................................................................................................................................204
Macedonia .......................................................................................................................................................204
Malta .................................................................................................................................................................204
Noruega ...........................................................................................................................................................204
Países Bajos ...................................................................................................................................................204
Polonia .............................................................................................................................................................204
República Checa ............................................................................................................................................ 205
Rumania ........................................................................................................................................................... 205
Suecia ............................................................................................................................................................... 205
Suiza ................................................................................................................................................................. 205
Turquía ........................................................................................................................................................... 206
Reino Unido .................................................................................................................................................... 206
11 12 Prefacio
Cedric Laurant Consulting y Privacy International se complacen en presentar esta Guía
de Privacidad para Hispanohablantes 2012.
Este documento es una traducción del inglés al español de una selección de las partes
más relevantes y más actuales de dos informes: la ultima edición de Privacy & Human
Rights 20061 (Privacidad y Derechos Humanos 2006) y European Privacy and Human
Rights 20102 (Privacidad y Derechos Humanos en Europa (EPHR) 2010).
Privacy & Human Rights es un informe anual publicado por el Electronic Privacy
Information Center3 (EPIC) y Privacy International que proporciona una vista general
de temas claves de privacidad y protección de datos y revisa el estado de la privacidad
en más de 75 países alrededor del mundo. El informe resume las protecciones legales,
nuevos desafíos, los asuntos y los acontecimientos importantes que relacionan a la
protección de la intimidad y datos. Publicada anualmente desde 1998, esta investigación
ha llegado a ser el análisis más completo sobre la intimidad global jamás antes
publicado.
European Privacy and Human Rights 2010 es un proyecto realizado en el año 2010 por
Privacy International, EPIC y el Centro de Medios de Comunicación y Ciencias de la
Comunicación4 (CMCS) de la Central European University (CEU) de Budapest en
Hungría, financiado por el Programa Especial "Derechos Fundamentales y Ciudadanía"
de la Comisión Europea (2007-2013).
1
<https://www.privacyinternational.org/phr>.
<https://www.privacyinternational.org/ephr>.
3
<http://www.epic.org/>.
4
<http://www.cmcs.ceu.hu/>. 2
13 14 Menciones
Por la preparación de esta guía en español, agradecemos la participación de:
Editor
Cédric Laurant (Cedric Laurant Consulting)
Traductor
Phol Paucar
Correctora de texto y de estilo
Korina Velázquez Ríos
Diseño de portada
Design Locó
Gracias por la ayuda de
Gus Hosein (Privacy International)
La edición de esta guía fue financiada por Cedric Laurant Consulting y la traducción
por Privacy International.
15 A. Información General
sobre Privacidad
(Extracto de: Privacidad y Derechos
Humanos 2006 )
Resumen
La privacidad es un derecho humano básico. Esta sirve de fundamento a la dignidad y a
otros valores tales como la libertad de asociación y la libertad de expresión. La
privacidad se ha vuelto uno de los derechos humanos contemporáneos más
importantes.5
La privacidad es reconocida alrededor del mundo en distintas regiones y culturas. Está
protegida en la Declaración Universal de Derechos Humanos, en el Pacto Internacional
de Derechos Civiles y Políticos, y en muchos otros tratados internacionales y regionales
de Derechos Humanos. Prácticamente todos los países en el mundo incluyen el derecho
a la privacidad en su Constitución. Como mínimo, estas disposiciones incluyen los
derechos de inviolabilidad del domicilio y el secreto de las comunicaciones.
Recientemente las constituciones escritas incluyen derechos específicos para acceder y
controlar la propia información personal. En muchos de los países en los cuales la
privacidad no está reconocida de manera explícita en su Constitución, los tribunales han
localizado tal derecho en otras normas. En muchos otros, los acuerdos internacionales
que reconocen el derecho a la privacidad tal como el Pacto Internacional de Derechos
Civiles y Políticos o el Convenio Europeo de los Derechos Humanos han sido
adoptados en su legislación.
Definición de la Privacidad
De todos los Derechos Humanos incluidos en los catálogos internacionales, la
privacidad es quizás el más difícil de definir.6 Las definiciones de privacidad varían
ampliamente de acuerdo al contexto y al medio. En muchos países, el concepto ha sido
fusionado con el de protección de datos, el cual entiende a la privacidad en términos del
manejo de la información personal.
Fuera de este, más bien estrecho contexto, la protección de la privacidad es
frecuentemente vista como un medio para trazar la línea de frontera hasta la cual la
sociedad puede inmiscuirse en los asuntos personales.7 La falta de una única definición
no debe entenderse como una falta de importancia del tema. Cómo aseveró un escritor,
5
Marc Rotenberg, Protecting Human Dignity in the Digital Age (UNESCO 2000).
James Michael, Privacy and Human Rights 1 (UNESCO 1994).
7
Simon Davies, Big Brother: Britain's Web of Surveillance and the New Technological Order 23 (Pan
1996).
6
16 "en cierta forma, todos los derechos humanos no son más que distintas facetas del
derecho a la privacidad".8
Algunas perspectivas sobre la privacidad:
En la década de los 1890, el futuro Juez de la Corte Suprema de los Estados
Unidos de América Louis Brandeis estructuró un concepto de privacidad que lo
instituía como el “derecho a ser dejado solo o ser dejado en paz.” Brandeis
sostenía que la privacidad era una de las libertades más apreciadas en una
democracia, y le preocupó el hecho que debía estar contemplada en la
Constitución.9
Robert Ellis Smith, editor del Privacy Journal, definió a la privacidad como "el
deseo de todos de un espacio físico donde podamos estar libres de
interrupciones, intromisiones, vergüenza, u obligación de dar cuenta y el intento
de controlar el tiempo y la forma de revelar nuestra información personal."10
De acuerdo a Edward Bloustein, la privacidad es un beneficio de la personalidad
humana. Esta protege la inviolabilidad de la personalidad, la independencia
individual, la dignidad y la integridad.11
Según Ruth Gavison, tres elementos conviven en la privacidad: el secreto, el
anonimato y la soledad. Es un estado que puede perderse, ya sea por elección de
la persona en dicho estado o por medio de la acción de otra persona.12
La Comisión Calcutt en el Reino Unido afirmó, "en ningún lugar encontramos
una definición legal, completamente satisfactoria, de la privacidad." Pero la
Comisión estuvo convencida de que se podía definir legalmente y adoptó la
siguiente definición en su primer informe sobre la privacidad:
El derecho de la persona a ser protegida de la intromisión en su vida o
asuntos personales, o aquellos de la familia, por medios físicos directos o
por medio de la publicación de informaciones.13
El Preámbulo de la Australian Privacy Charter (Carta de Privacidad Australiana)
dispone, "Una sociedad libre y democrática exige el respeto de la autonomía de
la persona, y limita el poder tanto del Estado como de las organizaciones
privadas de interponerse en dicha autonomía…La privacidad es un valor clave
que sostiene a la dignidad humana y a otros valores claves tales como la libertad
de asociación y la libertad de expresión…La privacidad es un derecho humano
fundamental y una expectativa razonable de toda persona."14
Facetas de la Privacidad
La privacidad puede ser dividida en los siguientes conceptos separados pero
relacionados:
8
Volio, Fernando, "Legal Personality, Privacy and the Family" in Henkin (ed), The International Bill of
Rights (Columbia University Press 1981).
9
Samuel Warren and Louis Brandeis, The Right to Privacy, 4 Harvard Law Review 193-220 (1890).
10
Robert Ellis Smith, Ben Franklin's Web Site 6 (Sheridan Books 2000).
11
Privacy as an Aspect of Human Dignity, 39 New York University Law Review 971 (1964).
12
Privacy and the Limits of Law, 89 Yale Law Journal 421, 428 (1980).
13
Report of the Committee on Privacy and Related Matters, Chairman David Calcutt QC, 1990, Cmnd.
1102, London: HMSO, página 7.
14
"The Australian Privacy Charter," published by the Australian Privacy Charter Group, Law School,
University of New South Wales, Sydney (1994).
17 Privacidad de la Información, la cual incluye el establecimiento de reglas que
gobiernen la recolección y manejo de datos personales tales como información
crediticia, y registros médicos y gubernamentales. Esta también se conoce como
"protección de datos";
Privacidad corporal, la cual se refiere a la protección del ser físico de las
personas ante procedimientos invasivos tales como pruebas genéticas, pruebas
de drogas y registro de cavidades;
Privacidad de las comunicaciones, la cual se refiere a la seguridad y
privacidad del correo, las llamadas telefónicas, los correos electrónicos y otras
formas de comunicación; y la
Privacidad territorial, que se refiere a la fijación de límites a la intromisión en
los medios domésticos y otros tales como el centro laboral o el espacio público.
Este incluye los allanamientos, la video vigilancia y el control de identificación.
Modelos de Protección de la Privacidad
Existen cuatro modelos principales de protección de la privacidad. Dependiendo de su
aplicación, estos modelos pueden ser complementarios o contradictorios. En la mayoría
de los países evaluados en la investigación, varios modelos son utilizados
simultáneamente. En los países que protegen la privacidad de manera más efectiva,
todos los modelos se utilizan en conjunto para garantizar la protección de la privacidad.
Leyes Integrales
En muchos países alrededor del mundo, existe una ley integral que regula la
recolección, uso y diseminación de información personal tanto del sector público como
del privado. Una entidad supervisora, entonces, garantiza su cumplimiento. Este es el
modelo preferido por la mayoría de los países que han adoptado leyes de protección de
datos y fue adoptada por la Unión Europea para garantizar el cumplimiento de su
régimen de protección de datos. Una variante de estas leyes, la cuál es descrita como
"modelo co-regulatorio", fue adoptado en Canadá y Australia. Bajo este enfoque, la
industria desarrolla reglas para la protección de la privacidad que son implementadas
por ella misma y supervisadas por la agencia de privacidad.
Leyes Sectoriales
Algunos países, como los Estados Unidos de América, han evitado promulgar reglas
integrales de protección de la privacidad a favor de leyes sectoriales que gobiernan, por
ejemplo, los registros de alquiler de videos y la privacidad financiera. En tales casos, la
aplicación se alcanza a través de una variedad de mecanismos. Un gran inconveniente
con este enfoque es que necesita que nueva legislación se introduzca con cada nueva
tecnología de modo que las protecciones frecuentemente se quedan rezagadas. La falta
de protecciones legales para la privacidad de las personas en Internet en los Estados
Unidos de América es un ejemplo notable de sus limitaciones. También existe el
problema de la falta de una agencia supervisora. En muchos países, las leyes sectoriales
son utilizadas para complementar una legislación integral proporcionando protecciones
más detalladas para ciertas categorías de información, tales como las de
telecomunicaciones, los archivos de la policía o los registros de créditos al consumidor.
18 Autorregulación
La protección de datos puede también alcanzarse, al menos en teoría, a través de
distintas formas de autorregulación, en las cuales las compañías y los organismos
industriales establecen códigos de práctica y se comprometen en políticas propias. Sin
embargo, en muchos países, especialmente en los Estados Unidos de América, estos
empeños han sido decepcionantes, con poca evidencia que las metas de los códigos sean
cumplidos con regularidad. La adecuación y el cumplimiento son los principales
problemas con estos enfoques. Los códigos de la industria en muchos países han
tendido a proporcionar solamente protecciones débiles y falta de implementación.
Tecnologías de la Privacidad
Con el reciente desarrollo de sistemas basados en tecnología, disponibles
comercialmente, la protección de la privacidad se ha desplazado a las manos de los
usuarios individuales. Los usuarios de Internet y de algunas aplicaciones físicas pueden
emplear una diversidad de programas y sistemas que proporcionan distintos grados de
privacidad y seguridad de las comunicaciones. Estas incluyen el cifrado, el reenvío con
remitentes anónimos que transfieren mensajes de correo electrónico de manera
anónima, servidores proxy y dinero digital.15 Los usuarios deben percatarse que no
todas las herramientas protegen eficazmente la privacidad. Algunas están
deficientemente diseñadas mientras que otras podrían estar diseñadas para facilitar el
acceso de las fuerzas del orden. (Para un debate sobre este tema, diríjase a la subsección de Tecnologías de Mejora de la Privacidad).
El Derecho a la Privacidad
El reconocimiento de la privacidad está profundamente enraizado en la historia. Se
puede hallar el reconocimiento de la privacidad en el Corán16 y en los proverbios de
Mahoma.17 La Biblia cuenta con numerosas referencias a la privacidad.18 La ley Judía
ha reconocido por mucho tiempo el concepto de estar libre de la mirada de los demás.19
También hubo protecciones en la Grecia clásica y en la antigua China.20
Protecciones legales han existido en los países Occidentales por cientos de años. En
1361, la Ley de Jueces de Paz en Inglaterra hizo posible el arresto de los mirones y
fisgones.21 En 1765, el Lord inglés Camden, al anular una orden judicial de registro de
domicilio y confiscación de documentos escribió, "Podemos decir con seguridad que no
existe ley en este país para justificar a los acusados por lo que hicieron; si la hubiera,
esta destruiría todo el bienestar de la sociedad, pues los documentos son a menudo la
propiedad más preciada que un hombre puede tener."22 El parlamentario William Pitt
escribió, "El hombre más pobre en su rústica vivienda puede ofrecer resistencia a todo
el poder de la Corona. Su vivienda podría ser precaria; su techo podría temblar; el
15
El Electronic Privacy Information Center (EPIC) mantiene una lista de herramientas de privacidad en
<http://epic.org/privacy/tools.html>.
16
an-Noor 24:27-28 (Yusufali); al-Hujraat 49:11-12 (Yusufali).
17
Volume 1, Book 10, Number 509 (Sahih Bukhari); Book 020, Number 4727 (Sahih Muslim); Book 31,
Number 4003 (Sunan Abu Dawud).
18
Richard Hixson, Privacy in a Public Society: Human Rights in Conflict 3 (1987). See also, Barrington
Moore, Privacy: Studies in Social and Cultural History (1984).
19
Vea Jeffrey Rosen, The Unwanted Gaze (Random House 2000).
20
Id. página 5.
21
James Michael, supra, at 15. Justices of the Peace Act, 1361 (Eng.), 34 Edw. 3, c. 1.
22
Entick contra Carrington, 1558-1774 All E.R. Rep. 45.
19 viento podría soplar a través de este; las tormentas podrían ingresar; la lluvia podría
pasar – pero el Rey de Inglaterra no puede entrar; todas sus fuerzas no se atreven a
cruzar el umbral de la casa en ruinas."23
Varios países desarrollaron protecciones específicas para la privacidad en los siglos
subsiguientes. En 1776, el Parlamento Sueco promulgó la Ley de Acceso a los
Registros Públicos que establecía que toda la información, en manos del gobierno, fuera
utilizada para propósitos legítimos. Francia prohibió la publicación de hechos privados
y fijó fuertes multas para los transgresores en 1858.24 El Código Penal Noruego
prohibió la publicación de información relacionada a "asuntos personales o domésticos"
en 1889.25
En 1890, los abogados estadounidenses Samuel Warren y Louis Brandeis escribieron un
artículo trascendental sobre el derecho a la privacidad como una acción de
responsabilidad civil, describiendo a la privacidad como el "derecho a ser dejado a
solas."26 Posterior a la publicación, este concepto de responsabilidad relacionada a la
privacidad fue gradualmente recogida a lo largo de los Estados Unidos de América
como parte de su sistema judicial.
El punto de referencia moderno sobre la privacidad a nivel internacional puede hallarse
en la Declaración Universal de Derechos Humanos de 1948, la cual específicamente
protege la privacidad territorial y de las comunicaciones.27 El Artículo 12 establece que:
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su
domicilio o su correspondencia, ni de ataques a su honra o a su reputación.
Toda persona tiene derecho a la protección de la ley contra tales injerencias o
ataques.
Diversos tratados internacionales de derechos humanos reconocen específicamente a la
privacidad como un derecho.28 El Pacto Internacional de Derechos Civiles y Políticos
(PIDCP), en su Artículo 17,29 la Convención Internacional de las Naciones Unidas
sobre la Protección de Todos los Trabajadores Migratorios y sus Familias, en su
23
Speech on the Excise Bill, 1763.
The Rachel affaire. Judgment of June 16, 1858, Trib. pr. inst. de la Seine, 1858 D.P. III 62. See Jeanne
M. Hauch, Protecting Private Facts in France: The Warren & Brandeis Tort is Alive and Well and
Flourishing in Paris, 68 Tulane Law Review 1219 (Mayo 1994).
25
Vea Prof. Dr. Juris Jon Bing, Data Protection in Norway, 1996, disponible en
http://www.jus.uio.no/iri/forskning/lib/papers/dp_norway/dp_norway.html> [visitado en 2007].
26
Warren and Brandeis, supra.
27
Declaración Universal de los Derechos Humanos, adoptada y proclamada por la Resolución 217 A (III)
de
la
Asamblea
General
el
10
de
diciembre
de
1948,
disponible
en
<http://www.un.org/es/documents/udhr/>.
28
Vea en general, Marc Rotenberg, ed., The Privacy Law Sourcebook: United States Law, International
Law and Recent Developments (EPIC 2003).
29
Pacto Internacional de Derechos Civiles y Políticos, adoptado y abierto para firmas, ratificación y
adhesión por Resolución 2200A (XXI) de la Asamblea General el 16 de diciembre de 1966, entrada en
vigor el 23 de marzo de 1976, disponible en <http://www2.ohchr.org/spanish/law/ccpr.htm>.
24
20
Artículo 14,30 y la Convención de las Naciones Unidas para los Derechos del Niño, en
su Artículo 1631 adoptan el mismo lenguaje.32
A nivel regional, varios tratados hacen de estos derechos legalmente exigibles. El
Artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y
Libertades Fundamentales 1950 (CEDHLF) establece:
1 Toda persona tiene derecho al respeto de su vida privada y familiar, de su
domicilio y de su correspondencia.
2 No podrá haber injerencia de la autoridad pública en el ejercicio de este
derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y
constituya una medida que, en una sociedad democrática, sea necesaria para la
seguridad nacional, la seguridad pública, el bienestar económico del país, la
defensa del orden y la prevención de las infracciones penales, la protección de
la salud o de la moral, o la protección de los derechos y las libertades de los
demás.33
El Convenio creó la Comisión Europea de Derechos Humanos y la Corte Europea de
Derechos Humanos para supervisar su cumplimiento. Ambas han sido activas en el
cumplimiento de los derechos a la privacidad y consecuentemente han observado las
protecciones del Artículo 8 de manera extensiva y han interpretado sus limitaciones de
manera restringida.34 La Comisión determinó en 1976:
Para diversos escritores anglosajones y franceses, el derecho al respeto a la
"vida privada" es el derecho a la privacidad, el derecho a vivir, hasta el punto
que uno desee, protegido de la publicidad….Sin embargo, en la opinión de la
Comisión, el derecho al respeto a la vida privada no termina ahí. Este
comprende también, hasta cierto grado, el derecho a establecer y desarrollar
relaciones con otros seres humanos, especialmente en el campo emocional para
el desarrollo y realización de la propia personalidad.35
La Corte ha revisado las leyes de los Estados Miembros y ha impuesto sanciones a
varios países por no regular las escuchas telefónicas por parte de los gobiernos y de
particulares.36 Esta también ha revisado casos de acceso de personas a su información
30
Convención Internacional sobre la protección de los derechos de todos los trabajadores migratorios y
de sus familias, aprobada por la Asamblea General por Resolución 45/158 del 18 de diciembre de 1990,
disponible
en
<http://www.unhcr.org/cgibin/texis/vtx/refworld/rwmain/opendocpdf.pdf?reldoc=y&amp;docid=4c0f58af2>.
31
Convención de los Derechos del Niño, adoptada y abierta a la firma, ratificación e incorporación por la
Asamblea General por Resolución 44/25 del 20 de noviembre de 1989, entrada en vigor 2 de septiembre
de 1990, disponible en <http://www2.ohchr.org/spanish/law/crc.htm>.
32
Vea en general, Lee Bygrave, Data Protection Pursuant to the Right of Privacy in Human Rights
Treaties, 6 International Journal of Law and Information Technology 247-284 (1998), disponible en
<http://folk.uio.no/lee/oldpage/articles/Human_rights.pdf>.
33
Consejo de Europa, Convenio para la Protección de los Derechos Humanos y las Libertades
Fundamentales, (ETS No: 005) abierto para firma el 4 de noviembre de 1950, entrada en vigor el 3 de
septiembre de 1950, disponible en <http://www.echr.coe.int/NR/rdonlyres/1101E77A-C8E1-493F-809D800CBD20E595/0/ESP_CONV.pdf>.
34
Nadine Strossen, Recent United States and International Judicial Protection of Individual Rights: A
Coparative Legal Process Analysis and Proposed Synthesis, 41 Hastings Law Journal 805 (1990).
35
X contra Iceland, 5 Eur. Comm'n H.R. 86.87 (1976).
36
European Court of Human Rights, Case of Klass and Others: Judgment of 6 September 1978, Series A
No. 28 (1979). Malone v. Commissioner of Police, 2 All E.R. 620 (1979). Vea la Nota, Secret
Surveillance and the European Convention on Human Rights, 33 Stanford Law Review 1113, 1122
(1981).
21 personal en archivos gubernamentales para garantizar que existen procedimientos
adecuados con este propósito.37 Esta ha hecho extensivas las protecciones del Artículo 8
más allá de las acciones gubernamentales a aquellas ejecutadas por particulares donde
parecía que el gobierno debió haber prohibido dichas acciones.38
Otros tratados regionales están también empezando a ser utilizados para proteger la
privacidad. El Artículo 11 de la Convención Americana sobre Derechos Humanos
estipula el derecho a la privacidad en términos similares a los de la Declaración
Universal.39 En 1965, la Organización de Estados Americanos proclamó la Declaración
Americana de los Derechos y Deberes del Hombre, la cual estableció la protección de
varios derechos humanos, entre ellos el de privacidad.40 La Corte Interamericana de
Derechos Humanos ha empezado a ocuparse de problemas de privacidad en sus casos.
La Evolución de la Protección de Datos
El interés en el derecho a la privacidad se incrementó en las décadas de 1960 y 1970
con el advenimiento de la tecnología de la información. El potencial de vigilancia de
poderosos sistemas de computación impulsaron las exigencias por normas específicas
que rijan la recolección y el manejo de información personal. La génesis de la
legislación moderna en esta área puede ser rastreada hasta la primera ley de protección
de datos en el mundo promulgada en el Estado Federado de Hesse en Alemania en
1970. Ello fue seguido por leyes nacionales en Suecia (1973), los Estados Unidos de
América (1974), Alemania (1977), y Francia (1978).41
Dos instrumentos internacionales fundamentales, se desarrollaron a partir de estas leyes.
La Convención para la Protección de las Personas con respecto al Tratamiento
Automatizado de Datos de Carácter Personal del Consejo de Europa en 198142 y las
Directrices que Gobiernan la Protección de la Privacidad y el Intercambio
Transfronterizo de Datos Personales de la Organización para la Cooperación y el
Desarrollo Económicos (OCDE)43 fijan normas específicas que se ocupan del manejo
de datos electrónicos. Estas normas, describen a la información personal como datos a
los que se les suministra protección desde su recolección hasta su almacenamiento y
difusión.
La locución "protección de datos" varía en distintas declaraciones y leyes. Sin embargo,
todas exigen que la información personal deba ser:
•
obtenida de manera justa y legal;
•
utilizada sólo para el específico propósito original;
•
adecuada, relevante y no excesiva con relación a su propósito;
37
Judgment of 26 March 1987 (Leander Case).
Id. páginas 848-49.
39
Suscrita el 22 de noviembre de 1959 entró en vigor el 18 de Julio de 1978, O.A.S. Treaty Series No.
40
O.E.A. Res XXX, adoptada por la Novena Conferencia de Estados Americanos, 1948 OEA/Ser/.
L./V/I.4 Rev (1965).
41
Un excelente análisis de estas leyes se encuentra en David Flaherty, Protecting Privacy in Surveillance
Societies (University of North Carolina Press 1989).
42
ETS
No.
108,
Estrasburgo,
1981,
disponible
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/convenios/comm
on/pdfs/convenio_108_consejo_europa.pdf>.
43
OECD, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data"
(1981),
disponible
en
<http://www.oecd.org/document/18/0,3343,en_2649_201185_1815186_1_1_1_1,00.html>.
38
22
•
exacta y actualizada;
•
accesible al sujeto;
•
mantenida de forma segura; y
•
destruida después de que haya logrado su propósito.
Estos dos acuerdos han tenido un profundo efecto en la promulgación de leyes
alrededor del mundo. Casi treinta países han suscrito la convención del Consejo de
Europa y muchos otros están planeando hacerlo pronto. Las Directrices de la OCDE
también han sido ampliamente utilizadas en la legislación nacional, incluso fuera de los
Estados Miembros de la OCDE.
Razones para Adoptar Leyes Integrales
Existen tres grandes razones para la tendencia a favor de leyes integrales de privacidad
y protección de datos. Muchos países están adoptando estas leyes por una o más
razones.
Para reparar antiguas injusticias. Muchos países, especialmente en Europa Central,
América del Sur y en el Sur de África, están adoptando leyes para reparar las
violaciones a la privacidad que ocurrieron bajo anteriores regímenes autoritarios.
Para promover el comercio electrónico. Muchos países, especialmente en Asia, han
desarrollado o están desarrollando leyes en un esfuerzo para promover el comercio
electrónico. Estos países reconocen que los consumidores están preocupados con el
incremento de la disponibilidad de sus datos personales, particularmente con los nuevos
medios de identificación y formas de transacción. Estos países también reconocen que
los consumidores están inquietos con la posibilidad de que su información personal sea
susceptible de ser enviada al exterior. Las leyes de privacidad están siendo introducidas
como parte de un paquete de leyes dirigidas a facilitar el comercio electrónico por
medio de la fijación de reglas uniformes.
Para garantizar leyes que sean consistentes con aquellas paneuropeas. La mayoría
de los países en Europa Central y Oriental están adoptando nuevas leyes basadas en el
Convenio del Consejo de Europa No. 108 y la Directiva de Protección de Datos de la
Unión Europea. Muchos de estos países esperan ser parte de la Unión Europea en un
futuro cercano. Países de otras regiones están adoptando nuevas leyes o actualizando
antiguas para garantizar que el comercio no sea afectado por las exigencias de la
Directiva de la Unión Europea.
Directivas de Protección de Datos de la Unión Europea
En 1995, la Unión Europea promulgó la Directiva de Protección de Datos con el fin de
armonizar las leyes de los Estados Miembros, estipulando niveles coherentes de
protección para los ciudadanos y garantizando el libre flujo de datos personales dentro
de la Unión Europea. La directiva fijó una línea base común de privacidad que no sólo
refuerza la actual ley de protección de datos, sino que también establece una gama de
nuevos derechos. Esta se aplica al procesamiento de la información personal en archivos
electrónicos y físicos.44
44
Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
ciruculación de estos datos, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/95-46ce/dir1995-46_part1_es.pdf>.
23 Un concepto clave en el modelo europeo de protección de datos es su "exigibilidad."
Los titulares de la información tienen derechos establecidos en normas explícitas. Todos
los países de la Unión Europea tienen un comisionado de protección de datos o una
agencia encargada de hacer cumplir las normas. Se espera que los países con los que
Europa hace negocios precisen estipular un nivel similar de supervisión.
Los principios básicos establecidos por la Directiva son: el derecho a saber donde se
originaron los datos; el derecho de tener rectificados los datos imprecisos; el derecho a
un recurso ante la autoridad en el caso de un procesamiento ilegal de los datos; y el
derecho a negar el permiso para la utilización de datos en algunas circunstancias. Por
ejemplo, los individuos tienen el derecho sin cargo alguno de decidir no participar en la
recepción de material de mercadeo directo. La Directiva contiene protecciones
reforzadas sobre el uso de datos personales sensibles relativos, por ejemplo, a la salud,
la vida sexual o sus creencias religiosas o filosóficas. En el futuro, el uso comercial o
gubernamental de tal información en general requerirá de un consentimiento "explícito
e inequívoco" del titular de la información.
La Directiva de 1995 impone la obligación sobre los Estados Miembros de garantizar
que la información personal correspondiente a ciudadanos europeos tenga el mismo
nivel de protección cuando se exporte, y procese en países fuera de la Unión Europea.
Este requisito ha ocasionado una creciente presión fuera de Europa para aprobar leyes
de privacidad. Aquellos países que se rehúsen a adoptar leyes adecuadas de privacidad
serían incapaces de conducir la transmisión de cierto tipo de flujos de información con
Europa, particularmente si estos involucran datos sensibles.
En 1997, la Unión Europea complementó la Directiva de 1995 con la introducción de la
Directiva de Privacidad de las Telecomunicaciones.45 Esta Directiva estableció
protecciones específicas que cubren la telefonía, la televisión digital, las redes móviles y
otros sistemas de telecomunicaciones. Ésta impone una amplia gama de obligaciones a
las empresas portadoras y proveedoras de servicios para asegurar la privacidad de las
comunicaciones de los usuarios, incluyendo las actividades relacionadas a Internet. La
norma cubre áreas que, hasta entonces, habían caído en los vacios de las leyes de
protección de datos. El acceso a los datos de facturación fue severamente restringido, lo
mismo que las actividades de mercadeo. Se requirió que la tecnología de identificación
de llamadas incorpore una opción para bloqueo por línea del número de transmisión. Se
requirió que la información recolectada en la entrega de una comunicación se purgue
una vez que fuese completada la llamada.
En julio de 2000, la Comisión Europea expidió una propuesta para una nueva directiva
sobre privacidad en el sector de las comunicaciones electrónicas. La propuesta fue
introducida como parte de un paquete más grande de directivas de telecomunicaciones
dirigidas a reforzar la competencia dentro del mercado europeo de las comunicaciones
electrónicas. Como se propuso originalmente, la nueva directiva habría reforzado los
derechos a la privacidad de los individuos por medio de la ampliación de las
protecciones que ya estaban en vigor para las telecomunicaciones a una categoría más
amplia, y más tecnológicamente neutral de "comunicaciones electrónicas." Sin
embargo, durante el proceso, el Consejo de Ministros empezó a presionar por la
inclusión de unas disposiciones de retención de datos, que requerían a los Proveedores
45
Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de Diciembre de 1997 relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las
telecomunicaciones
(Directiva),
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0001:ES:PDF>.
24 del Servicio de Internet y a los operadores de telecomunicaciones el almacenar registros
de todas las llamadas telefónicas, correos electrónicos, faxes, y actividad en Internet
para propósitos de mantenimiento del orden público. Estas propuestas fueron
fuertemente resistidas por la mayoría de los miembros del Parlamento. En julio de 2001,
la Comisión de las Libertades Civiles del Parlamento Europeo aprobó el borrador de la
directiva sin la retención de datos, estableciendo que:
La Comisión de las Libertades Civiles (Comisión LIBE) se expresó a favor de
una regulación estricta del acceso a datos personales de los ciudadanos, tales
como el tráfico de las comunicaciones y la ubicación de datos, por parte de las
fuerzas del orden. Esta decisión es trascendental debido a que de esta manera el
Parlamento Europeo bloquea los esfuerzos realizados por los Estados de la
Unión Europea en el Consejo para poner a sus ciudadanos bajo una generalizada
y omnipresente vigilancia, siguiendo el modelo Echelon.
Sin embargo, luego de los eventos del 11 de septiembre, el clima político cambió y el
Parlamento estuvo bajo presión creciente por parte de los Estados Miembros para
adoptar la propuesta del Consejo sobre la retención de datos. El Reino Unido y los
Países Bajos, en particular, cuestionaron si las normas de privacidad propuestas todavía
iban en la dirección de "un justo balance entre la privacidad y las necesidades de las
fuerzas del orden a la luz de combate contra el terrorismo."46 El Parlamento resistió
firme y hasta algunas semanas antes del voto final del 30 de mayo de 2002, la mayoría
de los Miembros del Parlamento se opusieron a cualquier forma de retención de datos.
Finalmente, después de mucha presión por parte del Consejo de Europa y de los
gobiernos de la Unión Europea, y una buena labor de cabildeo por parte de dos
miembros españoles del Parlamento Europeo,47 los dos principales partidos (PPE y
PSE, los partidos de centro derecha y de centro izquierda respectivamente) alcanzaron
un acuerdo para votar en favor de la posición del Consejo.
El 25 de junio de 2002 el Consejo de la Unión Europea adoptó la Directiva de
Privacidad y de Comunicaciones Electrónicas tal como se votó en el Parlamento.48 Bajo
los términos de la nueva Directiva, los Estados Miembros podrían ahora aprobar leyes
autorizando la retención de los datos de tráfico y de ubicación de todas las
comunicaciones que ocurran a través de teléfonos móviles, el servicio de mensajes
cortos (SMS), teléfonos fijos, faxes, correos electrónicos, canales de conversación,
Internet, o cualquier otro mecanismo de comunicación electrónica. Tales requerimientos
pueden ser implementados para propósitos que varíen desde la seguridad nacional hasta
la prevención, investigación y procesamiento de infracciones criminales.
El 15 de marzo de 2006, el Consejo de la Unión Europea adoptó una Directiva sobre
Retención obligatoria de Datos de tráfico de Comunicaciones, la cual exige a los
Estados Miembros requerir a los proveedores de comunicaciones a retener datos de
comunicaciones por un periodo entre 6 meses a 2 años. Los Estados Miembros tuvieron
plazo hasta el 16 de septiembre de 2007 para trasladar las exigencias de la Directiva en
46
Jelle van Buuren, "Telecommunication Council Wants New Investigation Into Privacy Rules," Heise
Online, 17 de octubre de 2001.
47
Respectivamente, los Miembros del Parlamento Europeo Ana Palacio Vallelersundi y Elena Paciotti,
miembros del PPE (Partido Popular Europeo/Democratacristianos) y PSE (Socialdemócratas) partidos
políticos.
48
Directiva 2002/58/CE del Parlamento Europeo y del Consejo del 12 de Julio de 2002 relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre privacidad y comunicaciones electrónicas), disponible en
<http://www.eurowind.net/Sitio2004/LOPD/Descargas/Directiva-2002-58-CE.pdf>.
25 leyes nacionales; sin embargo, una postergación de 18 meses, hasta marzo de 2009, está
disponible. Dieciséis de los 27 Estados Miembros de la Unión Europea han declarado
que postergarán la implementación de la retención de datos de tráfico de Internet por el
periodo adicional.49 La implementación de la Directiva de Retención de Datos continua
siendo controversial.
En otras áreas, la Directiva de Privacidad y de Comunicaciones Electrónicas ha tenido
un resultado más favorable. Por ejemplo, añade nuevas definiciones y protecciones para
las "llamadas," "comunicaciones," "datos de tráfico" y "datos de ubicación" con el fin
de mejorar el derecho a la privacidad y el control en todos los tipos de procesamiento de
datos de los consumidores. Estas nuevas disposiciones aseguran la protección de toda la
información ("tráfico") transmitida a través de Internet, prohíbe el mercadeo comercial
no solicitado por correo electrónico ("correo comercial no solicitado o spam") sin
previo consentimiento, y protege a los usuarios de teléfonos móviles del rastreo y la
vigilancia de su ubicación precisa. La directiva también les da a los abonados a todos
los servicios de comunicación electrónica (tales como el Sistema Global para
Comunicaciones Móviles (GSM, en inglés) y el correo electrónico) el derecho a estar o
no enlistados en un directorio público.
La iniciativa de privacidad de la APEC
Las 21 economías de la APEC (Foro de Cooperación Económica Asia-Pacífico)
iniciaron el año 2003 el desarrollo de un estándar de privacidad del Asia-Pacífico, y en
2004 podrían desarrollar un procedimiento para el tratamiento de los problemas de
limitación de exportación de datos.50 Ésta podría tornarse en la iniciativa internacional
más significativa sobre privacidad desde la aparición de la Directiva de Protección de
Datos de la Unión Europea a mediados de la década de 1990. En febrero de 2003,
Australia presentó una propuesta para el desarrollo de los Principios de Privacidad de la
APEC, utilizando las Directrices de la OCDE sobre Protección de la Privacidad y Flujos
Transfronterizos de Datos Personales (1980)51 que ya cuentan con más de 20 años,
como punto de partida.52 Un Sub-grupo de Privacidad, fue establecido con la
participación de Australia, Canadá, China, Hong Kong, Japón, Corea, Malasia, Nueva
Zelanda, Tailandia y los Estados Unidos de América. En marzo de 2004, la Versión 9
de los Principios de Privacidad de la APEC fue publicada como borrador de consulta
pública.53 Los Ministros de la APEC respaldaron el Marco de Privacidad de la APEC en
Noviembre de 2004. Los mecanismos de implementación, entre ellos el mecanismo
vinculado al flujo transfronterizo de datos se halla actualmente bajo consideración pero
todavía ningún borrador se ha hecho público.
El aspecto positivo de la iniciativa de privacidad de la APEC es que esta tiene el
potencial para alentar el desarrollo de muy sólidas leyes de privacidad en aquellas
49
Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la
directiva
2002/58/CE,
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>.
50
Para información sobre APEC y sus 21 economías miembros vea la página web de la Secretaría de
APEC <http://www.apec.org/About-Us/APEC-Secretariat.aspx>.
51
OCDE, Paris, 1980 <http://www.oecd.org/home/0,2987,en_2649_201185_1_1_1_1_1,00.html>.
52
Estos documentos pueden obtenerse en <http://www.apecsec.org.sg/> [visitado en 2007] en el
Directorio de Publicaciones/Publicaciones y Biblioteca/Comercio Electrónico.
53
<http://wayback.archive.org/web/*/http://export.gov/apececommerce/privacy/consultation-draft.pdf>.
Vea en general <http://www.export.gov/apececommerce/> [visitado en 2007].
26
economías de la APEC que actualmente proporcionan poca protección de la privacidad
(la mayoría), y ayudar a encontrar un balance regional entre la protección de la
privacidad y los beneficios económicos del comercio que involucra datos personales. El
aspecto negativo es que a la vez presenta peligros potenciales considerables a largo
plazo para la protección regional de la privacidad si este se vuelve un medio por el cual
las economías del APEC acepten una norma de segunda categoría. A nivel mundial, un
alto estándar de la norma de APEC podría ser un medio para resolver los problemas
internacionales de exportación de datos, pero un bajo estándar de la norma de APEC
podría arraigar una confrontación sobre la privacidad entre Europa y el Asia-Pacífico.
La historia de la iniciativa de la APEC hasta la fecha muestra que los peligros son tan
grandes como los potenciales beneficios, pero un resultado valioso para la protección de
la privacidad todavía es posible.
Las críticas a los Principios de la APEC enfatizan que estos ni siquiera alcanzan el nivel
de la norma de la OCDE de hace más de 20 años, en tanto que debería incluir algunos
refuerzos significativos donde las directrices de la OCDE actualmente son muy
débiles.54 Tanto la Australian Privacy Foundation (APF) como la Asian Pacific Privacy
Charter Council (APPCC)55 han identificado56 muchas debilidades importantes.57
El Sub-Grupo de Privacidad esta también considerando elaborar Mecanismos de
Implementación, los cuales en sus primeros borradores (Versión 3) tenían debilidades
cardinales en comparación con anteriores instrumentos internacionales de privacidad.58
Estas propuestas iniciales generan dudas sobre si el proceso seguido por la APEC será
capaz o no de proteger adecuadamente los derechos humanos en toda la región AsiaPacífico.
Protección de Datos Iberoamericana
Los problemas regionales de privacidad también están bajo consideración en América
Latina. En 2007, en un seminario realizado en Colombia, representantes de doce países
54
Vea la serie de artículos de Graham Greenleaf en <http://www.bakercyberlawcentre.org/appcc/> los
cuales rastrean estas críticas a través de sucesivas versiones de los principios de la APEC
55
El APPCC es un grupo regional experto formado en el 2003 para desarrollar normas independientes
para la protección de la privacidad en la región Asia-Pacífico, con el fin de influir en la aprobación de
leyes de privacidad y de acuerdos internacionales en la región en concordancia con dichas normas. Vea
<http://www.bakercyberlawcentre.org/appcc/>.
56
Vea
<http://www.privacy.org.au/Papers/APEC0403.html>
(APF)
y
<http://www.bakercyberlawcentre.org/appcc/> (APPCC).
57
Las categorías de "excepciones nacionales" no están rigurosamente fijadas, y deben al menos ser
identificadas en términos generales; existen controles ineficaces sobre el alcance particular de todas las
"excepciones nacionales;" una notificación a ser distribuida a los individuos de quienes se recolecta
información no se solicita claramente; la recolección no esta limitada al mínimo de información necesaria
para el propósito; los usos secundarios están permitidos por propósitos "compatibles," un argumento poco
convincente; la elevación de una "opción" (o consentimiento) a un Principio distinto facilita la
transformación de la privacidad en una mercancía; las razones de "marca registrada comercial" no deben
ser una excepción para el acceso y la corrección; la "Maximización de Beneficios" no debe volverse un
Principio; la Especificación de los Principios de Propósito de la OCDE, la Apertura y la Limitación de la
Exportación de Datos faltan y su contenido debe ser restablecido; al menos un Principio de Supresión
adicional debe añadirse para un grupo mínimo de Principios.
58
La implementación nacional por ley no se requiere, con economías a las que se les permite escoger que
opciones de implementación son suficientes para dar efecto al fundamento de los Principios. No existe
una identificación de las circunstancias en las cuales las restricciones de la exportación de datos
personales pueden ser legítimas (contra OCDE). El método más enérgico de evaluación de la no
conformidad nacional en consideración es "la auto evaluación de las economías asociada con la
evaluación entre pares."
27 de América Latina, además de España y Portugal, hicieron hincapié en la necesidad de
implementar medidas de armonización para la protección de datos personales que
podrían permitir el libre flujo de información, por tanto facilitar el comercio. Los
diferentes niveles de protección de datos en América Latina y Europa son un obstáculo
para las actividades económicas que requieran un flujo constante de información, y
particularmente debido a que muy pocos países de Latinoamérica cuentan con
legislación en esta área. Las directrices y principios básicos de la protección de datos
que son tradicionalmente utilizados en los acuerdos internacionales en el área, tales
como los principios vinculados al propósito y la calidad de los datos, y los derechos de
acceso, corrección, cancelación y oposición de los titulares de los datos, fueron
establecidos y se acordó que estos serían traspuestos a leyes nacionales.59
Supervisión y Comisionados de Privacidad y
Protección de Datos
Un aspecto esencial de cualquier régimen de protección de datos es la supervisión. En la
mayoría de los países con una ley integral de protección de datos o privacidad, existe un
funcionario o una agencia oficial que supervisa el cumplimiento de la ley. Los poderes
de estos funcionarios, Comisionado, Defensor del Pueblo o Secretario General, varía
ampliamente de país a país. Muchos países entre ellos Alemania y Canadá, también
tiene funcionarios u oficinas a nivel estatal o provincial.
De acuerdo al Artículo 28 de la Directiva de Protección de Datos de la Unión Europea,
todos los países de la Unión Europea deben contar con un organismo de cumplimiento
independiente. De acuerdo a la Directiva, a estas agencias se les está dando poderes
considerables: los gobiernos deben necesariamente consultar al organismo cuando el
gobierno redacta legislación vinculada al procesamiento de información personal; los
organismos también tienen el poder para conducir investigaciones y tiene derecho a
acceder a información relevante para sus investigaciones; imponer reparaciones como el
ordenar la destrucción de información o la prohibición de su procesamiento, e iniciar los
procedimientos legales, escuchar quejas y emitir informes. El funcionario es también
generalmente responsable de la educación del público y de las alianzas internacionales
relativas a protección y transferencia de datos. Muchas autoridades también mantienen
el registro de controladores de datos y de bases de datos. Estos deben aprobar las
licencias para controladores de datos.
Muchos países que no cuentan con una ley integral todavía tienen un comisionado. Uno
de los principales poderes de estos funcionarios es el de dirigir la atención pública en
áreas problemáticas, incluso cuando no cuentan con ninguna autoridad para solucionar
el problema. Ellos pueden hacer esto a través de la promoción de códigos de práctica y
del aliento a asociaciones industriales para adoptarlos. Ellos también pueden utilizar sus
informes anuales para señalar problemas. Por ejemplo, en Canadá, el Comisionado
Federal de Privacidad anunció en su informe de 2000 la existencia de una amplia base
de datos mantenida por el gobierno federal. Una vez que el problema se hizo público, el
Ministro desmanteló la base de datos.
En varios países, este funcionario también se ocupa de hacer cumplir la Ley de Libertad
de Información de la jurisdicción. Entre estos países se encuentran Hungría, Estonia,
59
Dataprotectionreview.eu, “Spanish Data Protection Agency: Representatives of different institutions
establish guidelines for the regulation of data protection in Iberoamerica,” 25 de junio de 2007,
<http://www.dataprotectionreview.eu/>.
28
Tailandia, Alemania y el Reino Unido. A nivel sub-nacional, muchos de los
Comisionados Alemanes de Provincias (Länder, en alemán) han recibido recientemente
poderes de comisionado de información, y la mayoría de las agencias provinciales de
Canadá se ocupan tanto de la protección de datos como de la libertad de información.
Un problema importante en muchas agencias alrededor del mundo es la falta de recursos
para conducir adecuadamente la supervisión y la aplicación. Muchos son agobiados con
los sistemas de licenciamiento, que utilizan muchos de sus recursos. Otros tienen mucho
trabajo atrasado relacionado a quejas o son incapaces de conducir un número importante
de investigaciones. Muchos de los que se iniciaron con financiamiento adecuado
encuentran que sus presupuestos han sido recortados unos cuantos años después.
La independencia también es un problema. En muchos países, la agencia está bajo el
control del brazo político del gobierno o es parte del Ministerio de Justicia y no tiene el
poder o el deseo de fomentar la privacidad o de criticar propuestas invasivas de la
privacidad. En Japón y en Tailandia, la agencia de supervisión está bajo el control de la
Oficina del Primer Ministro. En Tailandia, el director fue transferido en 2000 después
de los conflictos con la Oficina del Primer Ministro. En 2001, Eslovenia enmendó su
Ley de Protección de Datos con objeto de establecer una autoridad supervisora
independiente y de ese modo garantizar el cumplimiento de la Directiva de Protección
de Datos. Esta fue anteriormente responsabilidad del Ministro de Justicia.
Finalmente, en algunos países que no cuentan con una oficina separada, el rol de
investigación y cumplimiento de las leyes se realiza por parte de un Defensor del
Pueblo especializado en derechos humanos o por parte de un parlamentario oficial.
Flujos Transfronterizos de Datos y Paraísos de Datos
La facilidad con la que se transmiten los datos electrónicos a través de las fronteras
genera la preocupación de que las leyes de protección de datos puedan ser burladas a
través de la simple transferencia de información personal a terceros países, donde las
leyes de los países de origen no se aplican. Estos datos podrían ser entonces procesados
sin limitaciones en esos países, frecuentemente llamados "paraísos de datos."
Por esta razón, la mayoría de las leyes de protección de datos incluyen restricciones
para la transferencia de información a terceros países a menos que la información sea
protegida en el país de destino. Por ejemplo, el Artículo 12 de la Convención de 1981
del Consejo de Europa pone restricciones a la transmisión transfronteriza de datos
personales.60 De manera similar, el Artículo 25 de la Directiva Europea impone la
obligación a los Estados Miembros a garantizar que toda información personal
vinculada a ciudadanos europeos esté protegida por ley cuando sea exportada, y
procesada en países fuera de Europa. Esta disposición establece que:
Los Estados Miembros deben estipular que la transferencia de datos personales
a un tercer país que los este procesando o tenga la intención de procesarlos
después de transferidos, sólo debe realizarse si el tercer país en cuestión
asegura un nivel adecuado de protección.
Este requerimiento ha traído como consecuencia una creciente presión fuera de Europa
para la aprobación de enérgicas leyes de protección de datos. Aquellos países que se
60
Consejo de Europa, Convención para la Protección de Individuos con relación al Procesamiento
Automático
de
Datos
Personales
1981,
disponible
en
<http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm>.
29
rehúsan a adoptar significativas leyes de privacidad serán incapaces de conducir cierto
tipo de transferencia de información con Europa, particularmente si ésta involucra datos
sensibles. La resolución sobre el sistema de protección de la privacidad de un tercer país
es expedida por la Comisión Europea. El principio dominante en este proceso de
determinación es que el nivel de protección en el país receptor debe ser "adecuado" en
vez de "equivalente." Por tanto, se espera un alto nivel de protección de parte del tercer
país, aunque los dictados precisos de la Directiva no necesitan ser acatados.
El 26 de julio de 2000, la Comisión Europea dictaminó que Suiza y Hungría proveían
una "adecuada" protección a la información personal y por tanto todas las trasferencias
de información personal a estos países podría continuar.61 En enero de 2002, la
Comisión Europea reconoció que la Ley Canadiense de Protección de Información
Personal y Documentos Electrónicos (PIPEDA, en inglés), provee protección adecuada
para determinadas transferencias de datos personales desde la Unión Europea a Canadá.
La decisión de la Comisión sobre lo adecuado de una legislación no cubre los datos
personales que poseen el sector federal o los organismos provinciales o la información
en poder de organizaciones personales y utilizadas para propósitos no comerciales, tales
como datos en manos de organizaciones de caridad o recolectadas en el contexto de una
relación laboral.62 En 2003, la Comisión dictaminó que las leyes de protección de datos
de la Argentina eran adecuadas, y lo mismo se dictaminó para las leyes de Guernsey.63
En 2004, la Comisión estimó adecuadas las leyes de protección de datos de la Isla de
Man.64 La Comisión está actualmente examinando los esquemas de protección de la
privacidad en muchos países que no pertenecen a la Unión Europea, entre ellos Nueva
Zelanda, Australia, y China (Hong Kong).
Otra manera posible de proteger la privacidad de la información transferida a países que
no proveen una "adecuada protección" es el confiar en un contrato privado que contenga
cláusulas contractuales estándar de protección de datos. Este tipo de contratos obligaría
al procesador de datos a respetar las prácticas de información justas, tales como el
derecho a ser avisado, al consentimiento, al acceso y a recursos legales. En el caso de
transferencia de datos desde la Unión Europea, el contrato tendría que cumplir con la
prueba estándar de "adecuación", con el fin de satisfacer la Directiva de Protección de
Datos.65 Diversos modelos de cláusulas que podrían ser incluidas en tales contratos
fueron esbozados en un estudio conjunto del Consejo de Europa, la Comisión Europea y
la Cámara Internacional de Comercio.66 En un informe de junio de 2000 (ver más
61
Vea European Commission Press Release, "Data protection: commission adopts decisions recognizing
adequacy of regimes in United States, Switzerland and Hungary," 27 de Julio de 2000.
62
Decisión de la Comisión del 20 de diciembre de 2001, Diario Oficial de las Comunidades Europeas L
2/13,
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:002:0013:0016:ES:PDF>.
63
Decisión de la Comisión C(2003) 1731 del 30 de junio de 2003 - OJ L 168, 5.7.2003, disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/adequacy/decision-c2003-1731/decisionargentine_es.pdf>; Decisión de la Comisión del 21 de noviembre de 2003 relativa a la carácter adecuado
de la protección de los datos personales en Guernsey - OJ L 308, 25.11.2003, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:308:0027:0028:ES:PDF>.
64
Decisión de la Comisión 2004/411/CE del 28 de abril de 2004 relativa al carácter adecuado de la
protección de los datos personales en la Isla de Man página 48, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:151:0052:0055:ES:PDF>.
65
Vea
European
Union,
DG
Justice,
"International
transfers",
disponible
en
http://ec.europa.eu/justice/data-protection/document/international-transfers/index_en.htm>.
66
Model contract to ensure equivalent protection in the context of transborder data flows with
explanatory report (1992). Study made jointly by the Council of Europe, the Commission of the European
Communities and International Chamber of Commerce (Estudio Conjunto del Consejo de Europa, de la
Comisión de las Comunidades Europeas y de la Cámara Internacional de Comercio) (2 de noviembre de
30
abajo), el Parlamento Europeo acusó a la Comisión Europea de una "seria omisión" al
fracasar en elaborar un borrador de cláusulas contractuales estándar que los ciudadanos
europeos podrían invocar en las cortes de terceros países antes de que la Directiva de
Datos entrara en vigor.67 El informe recomendaba que éste se hiciera antes del 30 de
septiembre de 2000.68 En julio de 2001, la Comisión publicó una decisión final
aprobando la norma de las cláusulas contractuales.69 Durante el procesamiento del
borrador, los Estados Unidos de América criticaron los contratos estándar como
"excesivamente gravosos" e "incompatibles con las operaciones en la realidad."70
La transferencia de registros de viaje, vinculados a ciudadanos europeos, al gobierno de
los Estados Unidos de América, generó preocupación particular debido a que todavía no
ha habido una determinación acerca de que los Estados Unidos de América
proporcionen un nivel “adecuado” de protección de datos. El Consejo Europeo
recientemente adoptó un acuerdo entre la Unión Europea y los Estados Unidos de
América en relación a la transferencia de información de los registros de nombres de
pasajeros de todos los viajeros de vuelos que tengan como origen la Unión Europea y
que aterricen en los Estados Unidos de América.71 El acuerdo ha sido recibido con
duras críticas por parte del Parlamento Europeo.72
Acuerdo de Puerto Seguro entre la Unión Europea y los Estados
Unidos de América
Aunque la Comisión nunca emitió una opinión formal sobre lo adecuado de la
protección de privacidad en los Estados Unidos de América, hubo serías dudas sobre si
1992).
Disponible
en
<http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/ModelContract_1992.pdf>.
67
Resolución del Parlamento Europeo sobre el Borrador de la Decisión de la Comisión sobre la
Adecuación de la Protección Prevista por los Principios de Privacidad de Puerto Seguro y las Preguntas
más Comunes relacionadas, publicado por el Departamento de Comercio de los Estados Unidos,
disponible en <http://epic.org/privacy/intl/EP_SH_resolution_0700.html>.
68
Para una guía general sobre el rol de los contratos revise el Grupo de Trabajo sobre Protección de
Datos del Artículo 29 de la Unión Europea, "Transferencia de datos personales a terceros países:
Aplicación de los Artículos 25 y 26 de la directiva sobre protección de datos de la Unión Europea," 24 de
julio
de
1998,
disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_es.pdf>.
69
La Comisión Aprueba la Norma de las Cláusulas Contractuales para la Transferencia de Datos a Países
que no pertenezcan a al Unión Europea, Comunicado de Prensa del Directorio de Mercado Interno, 18 de
julio de 2001, disponible en <http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses2.htm>
[visitado en 2007].
70
"Bush Administration Criticizes European Union Privacy Rules," EPIC Alert 8.06, 29 de marzo de
2001 <http://www.epic.org/alert/EPIC_Alert_8.06.html>.
71
Decisión 2007/551/PESC/JAI del Consejo de 23 de julio de 2007 relativa a la firma en nombre de la
Unión Europea, de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el
tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías
aéreas al Departamento de Seguridad del Territorio Nacional de los Estados unidos (Acuerdo PNR 2007),
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016:0017:ES:PDF>. Acuerdo entre la
Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del
registro de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio
Nacional
de
los
Estados
Unidos
(Acuerdo
PNR).
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>. Un acuerdo de 2004
sobre la misma materia fue declarado inválido por el Tribunal de Justicia Europeo en 2006. Vea
Parlamento contra Consejo, C-317/04 and C-318/04,
72
Resolución conjunta sobre el Acuerdo PNR con los Estados Unidos de América. 10 de julio de 2007,
disponible
en
<http://quintessenz.org/doqs/000100003894/2007_07_11_EUparl_PNR_joint%20resolution.pdf>.
31 el enfoque de privacidad sectorial y de autorregulación de los Estados Unidos pasaría
los estándares sobre adecuación fijada por la Directiva. La Unión Europea comisionó a
dos eminentes profesores de leyes de los Estados Unidos, quienes escribieron un
informe detallado sobre el estado de las protecciones de privacidad en los Estados
Unidos de América y señalaron los múltiples vacíos en sus normas de protección.73
Los Estados Unidos de América cabildearon intensamente en la sede de la Unión
Europea y en sus países miembros para que éstos encontraran adecuado su sistema. En
1998, los Estados Unidos de América empezaron a negociar un acuerdo de "Puerto
Seguro" con la Unión Europea con el fin de garantizar la transmisión transfronteriza
continua de datos personales. La idea del "Puerto Seguro" fue que las compañías de los
Estados Unidos voluntariamente se podrían autocertificar para adherirse a un conjunto
de principios de privacidad elaborados por el Departamento de Comercio de los Estados
Unidos y la Junta Directiva de Mercado Interno de la Comisión Europea. Estas
compañías contarían entonces con una presunción de adecuación y podrían continuar
recibiendo datos personales desde la Unión Europea. Las negociaciones sobre la
elaboración de los principios de Puerto Seguro duraron cerca de dos años y estuvieron
sujetas a ácidas críticas por parte de defensores de la privacidad y de los
consumidores.74 A inicios de julio, el Parlamento Europeo aprobó una enérgica
resolución en la que se señalaba que el acuerdo debía ser renegociado con el fin de
proveer una adecuada protección.75
El 26 de julio de 2000, la Comisión aprobó el acuerdo.76 Sin embargo, la Comisión,
prometió reabrir las negociaciones sobre el acuerdo si los recursos disponibles para los
ciudadanos europeos resultaban inadecuados. A los Estados Miembros de la Unión
Europea se les dio 90 días para poner en vigor la decisión de la Comisión y las
compañías de los Estados Unidos de América empezaron a adherirse al Acuerdo de
Puerto Seguro en noviembre de 2000. Existe un periodo de gracia indeterminado para
las compañías signatarias de los Estados Unidos para implementar los principios.
Los principios requieren a todas las organizaciones signatarias el proveer a las personas
una notificación "clara y inequívoca” del tipo de información que recolectan, el
propósito para el cual podría ser utilizado, y cualquier tercero a quien esta información
podría ser revelada. Esta notificación debe ser dada al momento de la recolección de
cualquier información personal o "posteriormente tan pronto como sea posible." Las
personas deben tener la posibilidad de escoger (excluirse) en la recolección de datos
cuando la información vaya a ser revelada a un tercero o utilizada para un propósito
incompatible. En el caso de información sensible, los individuos deben necesariamente
consentir (aceptar) expresamente la recolección. Las organizaciones que deseen
transferir datos a terceros pueden hacerlo si el tercero se suscribe al acuerdo de Puerto
Seguro o si este tercero firma un acuerdo para proteger los datos. Las organizaciones
deben tomar precauciones razonables para proteger la seguridad de la información ante
la pérdida, mal uso y acceso no autorizado, revelación, alteración y destrucción. Las
73
Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law (Michie 1996).
Vea p.ej., los Comentarios Públicos Recibidos por del Departamento de Comercio de los Estado Unidos
en Respuesta a los Documentos de Puerto Seguro 5 de abril de 2000. Disponible en
<http://www.ita.doc.gov/td/ecom/Comments400/publiccomments0400.html>.
75
Resolución del Parlamento Europeo, supra.
76
Decisión de la Comisión sobre la adecuación de la protección conferida por los principios de puerto
seguro. Principio de Privacidad y Preguntas Frecuentes relacionadas formuladas por el Departamento de
Comercio
de
los
Estados
Unidos
de
América,
disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
74
32 organizaciones deben proveer a las personas el acceso a cualquier información personal
que estas tengan sobre ellas, con la opción de corregir, enmendar, o borrar dicha
información cuando esta sea inexacta. Este derecho sólo se otorgará si la carga o el
costo de proveer el acceso a la información no sean desproporcionados en relación con
los riesgos a la privacidad de la persona o cuando los derechos de otras personas
distintas a este no sean violados. En términos de cumplimiento, las organizaciones
deben proporcionar necesariamente el acceso a mecanismos de remediación
independientes, accesibles y con costos razonables que puedan investigar quejas y
disponer indemnizaciones de daños. Estos deben necesariamente proporcionar
procedimientos de seguimiento del cumplimiento y deben necesariamente cumplir con
las sanciones por no acatar los principios.
Los defensores de la privacidad y los grupos de consumidores tanto en los Estados
Unidos de América como en Europa son muy críticos con la decisión de la Comisión
Europea de aprobar el acuerdo, el cual afirman, no cumplirá con brindar a los
ciudadanos europeos la adecuada protección a sus datos personales.77 El acuerdo
descansa en un sistema auto regulatorio por el cual las compañías simplemente
prometen no violar sus prácticas de privacidad declaradas. Existe poca labor de
verificación de cumplimiento o de evaluación sistemática de su observancia. La
categoría de Puerto Seguro se otorga al momento de la autocertificación. No existe
ningún derecho individual al cual recurrir o derecho a compensación en caso de
violación de la privacidad. Existe un periodo de gracia indeterminado para las
compañías signatarias de los Estados Unidos de América para implementar los
principios. El acuerdo sólo se aplicará para las compañías supervisadas por la Comisión
Federal de Comercio y por el Departamento de Transportes (excluyendo a los sectores
financieros y de telecomunicaciones) y existen excepciones especiales otorgadas para la
información de registros públicos protegida por la legislación de la Unión Europea.
En febrero de 2002, la Comisión Europea publicó un informe de la operación en la
práctica del Acuerdo de Puerto Seguro entre los Estados Unidos de América y la Unión
Europea.78 Este fue el primer informe para evaluar el éxito del acuerdo. Este concluyó
que todos los elementos esenciales del acuerdo estaban en orden y que existía una
estructura para que los individuos pudieran presentar sus quejas si sentían que sus
derechos habían sido violados. Sin embargo, el informe encontró que no había
suficiente transparencia entre las organizaciones que se han adherido al Acuerdo de
Puerto Seguro y que no todos los habilitados para la resolución de controversias, a
cargo de hacer cumplir el Acuerdo de Puerto Seguro, cumplen en realidad con los
principios de privacidad establecidos en el mismo acuerdo. Se esperaba que la
Comisión publique una evaluación completa del acuerdo en el 2003, pero el informe
todavía no ha sido publicado.
En julio de 2002, el Grupo de Trabajo del Artículo 29 sobre Protección de Datos
publicó un documento de trabajo sobre el funcionamiento del acuerdo. En este, el
77
Vea, p.ej. la antigua "TACD Statement on U.S. Department of Commerce Draft International Safe
Harbor Privacy Principles and FAQs" (Doc Ecom-20-00), 30 de marzo de 2000. Disponible en
<http://web.archive.org/web/20010208134255/http://www.tacd.org/ecommercef.html>.
78
Documento de trabajo de los servicios de la Comisión sobre la aplicación de la Decisión Nº
520/2000/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46 del Parlamento
Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro
para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el
Departamento de Comercio de Estados Unidos de América (Febrero de 2002). Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
33 Grupo de Trabajo expresó su intención de estudiar el acuerdo en mayor detalle con
particular énfasis en los "posibles vacíos entre los principios…y las prácticas de
implementación" y también "los requerimientos de transparencia a ser cumplidos por las
organizaciones." El Grupo de Trabajo hizo un llamado a todas las autoridades,
organizaciones y compañías interesadas a mejorar el cumplimiento y el conocimiento
del Acuerdo.79
En junio de 2006, la Comisión inició una investigación sobre la transferencia de datos
financieros personales desde el consorcio bancario SWIFT con sede en Bruselas. Ante
la solicitud del Departamento del Tesoro de los Estados Unidos de América, SWIFT
transmitió sistemáticamente información sobre transacciones financieras de millones de
clientes de bancos europeos.80 Al parecer el Departamento del Tesoro de los Estados
Unidos de América dirigía periódicamente órdenes judiciales a SWIFT en los Estados
Unidos de América. La Comisión expresó su sorpresa acerca de la exportación de
información de ciudadanos belgas a los Estados Unidos de América y su revelación a
las autoridades de ese país cada vez que una persona realizaba una transacción de pago
internacional.81 La Comisión afirmó que estas prácticas violaban normas fundamentales
de la legislación de protección de datos belga y europea. Esta opinión posteriormente
fue confirmada por una opinión del Grupo de Trabajo del Artículo 29.82
La Comisión recibió una carta del Primer Ministro de Bélgica solicitando consejo sobre
un posible acuerdo con los Estados Unidos de América sobre la transferencia de datos
SWIFT al Departamento del Tesoro de los Estados Unidos de América. En su segunda
opinión la Comisión le recordó al gobierno belga los principios fundamentales con
relación a las transferencias de datos personales entre Europa y los Estados Unidos de
América y le sugirió una serie de posibles acciones.83 En junio de 2007, el Consejo de
Europa y los Estados Unidos de América alcanzaron un acuerdo sobre la transferencia
de información financiera personal desde la sede del SWIFT hacia los Estados Unidos
de América.84 La SWIFT se unió al Acuerdo de Puerto Seguro.85
79
“Proyecto de documento de trabajo sobre funcionamiento del acuerdo de puerto seguro”, Grupo de
Trabajo sobre Protección de Datos del Artículo 29, 11194/02/Es, 2 de julio de 2002.Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_es.pdf>.
80
<http://www.swift.com/home/index.page?lang=es>.
81
Decisión
Nr.
37/2006,
disponible
en
<http://www.privacycommission.be/fr/docs/Commission/2006/avis_37_2006.pdf> (en francés).
82
Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de
Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial
Telecommunication
SWIFT),
22
de
noviembre
de
2006.
Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>.
83
Opinión
Nº
47/2006
del
20
de
diciembre
de
2006,
disponible
en
<http://www.privacycommission.be/fr/docs/Commission/2006/avis_47_2006.pdf> (en francés).
84
Tratamiento y protección de datos personales exigidos por el Departamento del Tesoro dela sede de
operaciones en Estados Unidos de América de la Sociedad de Telecomunicaciones Financieras
Interbancarias Mundiales (SWIFT) 28 de junio de 2007, disponible en <http://epic.org/privacy/pdf/swiftagmt-2007.pdf>.
85
“SWIFT finaliza mejoras de transparencia y consigue adscribirse a Safe Harbor,” 20 de Julio de 2007,
disponible
en
<http://www.swift.com/about_swift/legal/compliance/statements_on_compliance/swift_completes_transp
arency_improvements_and_files_for_safe_harbor/index.page?lang=es>.
34 B. Temas sobre Privacidad
(Extracto de: Privacidad y Derechos
Humanos 2006 )
Sistemas de Identificación y Cédulas de
Identidad
Las cédulas de identidad son utilizadas de una forma u otra virtualmente en todos los
países del mundo. El tipo de cédula, sus funciones y su integridad varían enormemente.
Mientras que en muchos países, se cuenta con cédulas de identidad oficiales,
obligatorias y nacionales, que son utilizadas para una variedad de propósitos, muchos
países no cuentan con ellas. Entre estos últimos se encuentran Australia, Canadá,
México, Nueva Zelanda y los Estados Unidos de América. Entre los países que cuentan
con dicho documento tenemos a Argentina, Bélgica, Egipto, Francia, Alemania, Grecia,
China (Hong Kong), Malasia86.
A escala nacional los sistemas de identificación se establecen por diversas razones. La
raza, la política y la religión a menudo conducen a la utilización de cédulas de
identidad.87 El miedo a la insurgencia, a las diferencias religiosas, a la inmigración, o al
extremismo político han sido todos motivadores comunes del establecimiento de
sistemas de identificación que buscan forzar a los indeseables en un Estado a registrarse
con el gobierno, o hacerlos vulnerables al aire libre sin los documentos pertinentes.
En los últimos años la tecnología ha evolucionado rápidamente permitiendo la creación
de archivos electrónicos y la construcción de grandes bases de datos comerciales y
estatales. Un identificador nacional contenido en una cédula de identidad permite
capturar información sobre una persona, que se halla en diferentes bases de datos, con el
fin de que ellas puedan ser fácilmente enlazadas y analizadas a través de técnicas de
análisis de datos. Las cédulas de identidad también se están volviendo "más
inteligentes" – la tecnología para construir microprocesadores del tamaño de un sello
postal y de ponerlas en cédulas del tamaño adecuado para ser guardadas en una billetera
se ha vuelto más accesible. Esta tecnología permite aplicaciones múltiples en tarjetas de
86
Julia Scheeres, "ID Cards Are de Rigueur Worldwide," Wired News, 25 de Septiembre 2001.
Disponible en <http://www.wired.com/politics/law/news/2001/09/47073>; Sun Microsystems, Nota de
Prensa, "Belgium E-Government Initiative Starts 1st Phase of Deployment of Sun's Java-Technology
Enabled Smart Cards," 10 de abril de 2003, disponible en <http://www.thefreelibrary.com/Belgium+EGovernment+Initiative+Starts+1st+Phase+of+Deployment+of...-a0131728933>; Raja M, "Smart Cards
Make Inroads into Asia," Asia Times, 2 de octubre de 2004, disponible en
<http://www.atimes.com/atimes/South_Asia/FJ02Df03.html>.
87
Richard Sobel, The Degradation of Political Identity Under a National Identification System, 8 Boston
University Journal of Science & Technology Law, 37, 48 (2002), disponible en
<http://www.bu.edu/law/central/jd/organizations/journals/scitech/volume81/sobel.pdf>. Vea también
National Research Council, "IDs - Not that Easy: Questions about Nationwide Identity Systems," 2002,
disponible en <http://www.nap.edu/catalog.php?record_id=10346#toc>.
35 crédito, carnés de biblioteca, carnés de servicio de salud, permisos de conducir e
información del programa de beneficios del gobierno que podrían ser todas ellas
almacenadas en una misma cédula de identidad conjuntamente con una clave de acceso
o un identificador biométrico. Los gobiernos de Finlandia, Malasia y Singapur ya han
experimentado con tales carnés de identidad "inteligentes".
Las propuestas para establecer una cédula de identidad nacional han generado siempre
protestas en muchos países. El Gobierno Laborista en el Reino Unido intentó establecer
una nueva cédula de identidad con un registro centralizado de información biométrica.
Después de más de 7 años de debate y de una nueva ley promulgada, la cédula y el
registro nacional fueron desmantelados y destruidos por el nuevo gobierno en el 2010.
Las protestas masivas contra la Cédula Australiana en 1987 casi condujeron al colapso
del gobierno.88 Australia está debatiendo actualmente legislación para implementar la
Cédula de Acceso, la cual se supone reemplazaría a 17 distintas cédulas de identidad
utilizadas para diversos beneficios gubernamentales, entre ellos los de discapacidad,
desempleo, cuidados médicos y de veteranos; pero los críticos la llaman cédula de
identidad nacional.89 Los grupos tales como la Australian Privacy Foundation y
Electronic Frontiers Australia están luchando contra la implementación de la Cédula de
Acceso.90 Australia también está compilando una base de datos masiva, la cual incluye
datos biométricos, vinculados a documentos de identidad y documentos para no
ciudadanos.91
En varios países, estos sistemas han sido impugnados con éxito sobre bases
constitucionales de privacidad. En 1998, la Corte Suprema de Filipinas dispuso que un
sistema nacional de cédulas de identidad, transgredía el derecho constitucional a la
privacidad.92 En 1991, el Tribunal Constitucional de Hungría dictaminó que una ley que
crea un número de identificación personal multiusos viola el derecho constitucional a la
privacidad.93 La Constitución Portuguesa de 1997 dispone que "la asignación de un
único número nacional a cualquier ciudadano debe estar prohibida".94
En otros países, la oposición a las cédulas de identidad combinada con el alto costo
económico y otras dificultades logísticas de implementación de los sistemas ha derivado
en su retiro. Los proyectos de cédulas de identidad en Corea del Sur y en Taiwán
también fueron detenidos después de protestas generalizadas. En los Estado Unidos de
88
Graham Greenleaf, "The Australia Card: Towards a National Surveillance System," Law Society
Journal of New South Wales, Volumen 25, Numero 9 (Octubre de 1987), disponible en
<http://www2.austlii.edu.au/itlaw/articles/GGozcard.html>.
89
Australian Government's Access Card website, disponible en www.accesscard.gov.au> [visitado en
2007]; Sandra Rossi, "Future Uncertain for Australia's Smartcard," Computerworld Australia, 27 de
marzo de 2007. Disponible en <http://www.itworldcanada.com/news/future-uncertain-for-australiassmartcard/00468>.
90
Australian Privacy Foundation http://www.privacy.org.au/Campaigns/ID_cards/HSAC.html; Electronic
Frontiers Australia <http://www.efa.org.au/Issues/Privacy/accesscard.html>.
91
Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de Julio
de
2007.
Disponible
en
<http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>.
92
Ople contra Torres, G.R. 127685, 23 de Julio de 1998, disponible en
<http://www.lawphil.net/judjuris/juri1998/jul1998/gr_127685_1998.html> (sentencia de la Corte
Suprema de Filipinas sobre el Sistema de Identificación Nacional).
93
"Constitutional Court Decision No. 15-AB of 13 April 1991," disponible en
<https://www.privacyinternational.org/article/hungarian-constitutional-court-decides-identity-numbers>.
94
Articulo 35 (5), Constitución de la República Portuguesa 7ma. Revisión constitucional aporbada en el
2005.
Disponible
en
inglés
en
<http://app.parlamento.pt/site_antigo/ingles/cons_leg/Constitution_VII_revisao_definitive.pdf>.
36
América los planes de convertir la licencia de conducir estatal en un sistema nacional de
identificación se han estancado debido a la férrea resistencia de una amplia coalición de
grupos de la sociedad civil.95 Aunque la Ley de Identificación Real (REAL ID Act) fue
probada en los Estados Unidos de América en Mayo de 2005,96 los estados y las
organizaciones públicas se han revelado frente al plan.97 16 Estados han aprobado
normativa que rechaza la Identificación Real y también existen proyectos de ley en
ambas cámaras legislativas de los Estados Unidos de América que repelerían la Ley que
crea el sistema nacional de identificación.98 En este momento, parece improbable que la
Identificación Real sea implementada en este país.
Biométrica
La biométrica es la identificación o verificación de la identidad de una persona con base
en características fisiológicas o de comportamiento.99 Esta información es utilizada para
autenticar o verificar que una persona es la que dice ser (una coincidencia de uno a uno)
por comparación de las características previamente almacenadas con las nuevas
características proporcionadas. También puede utilizarse para propósitos de
identificación cuando las características nuevas se comparan con todas las
características almacenadas (una coincidencia de uno a varios). La nueva tecnología
biométrica intenta automatizar el proceso de identificación o de verificación
convirtiendo a la característica biométrica en un algoritmo, la cual se utilizaría entonces
para propósitos de emparejamiento. Las técnicas de emparejamiento o coincidencia
computarizadas producen necesariamente falsos positivos, cuando una persona es
identificada incorrectamente como alguien más, o se dan falsos negativos, cuando una
persona que se supone debe ser identificada por el sistema, no es correctamente
identificada. Los dos rangos de errores son dependientes, por ejemplo la reducción de
los falsos positivos incrementará el número de falsos negativos. El nivel de tolerancia se
ajusta dependiendo de la necesidad de seguridad de la aplicación.
Las más populares formas de identificación biométrica son las huellas dactilares, o el
escaneado de la retina/iris, la geometría de la mano, el reconocimiento de voz, y la
digitalización (almacenamiento electrónico) de imágenes. La tecnología está ganando
interés por parte de los gobiernos y de las compañías debido a que, a diferencia de otras
formas de identificación tales como los carnés o los documentos, sería más difícil de
alterar o falsificar con nuestros propios rasgos físicos y de comportamiento. Sin
embargo, importantes dudas quedan, sobre la efectividad de las técnicas de
emparejamiento biométrico automático, particularmente para aplicaciones a gran
95
Vea en general la página web de EPIC National ID Cards and REAL ID Act. Disponible en
<http://epic.org/privacy/id_cards/>.
96
Ley de Identificación Real (REAL ID Act), Public Law Número 109-13, 119 Stat. 231 (2005),
disponible en <http://epic.org/privacy/id_cards/real_id_act.pdf>.
97
Sitio web de la Campaña Deten la IDentificación Real (Stop REAL ID)
<http://privacycoalition.org/stoprealid/>; EPIC y 24 Expertos en Privacidad y Tecnología, Comentan
sobre los Proyectos de Regulación de la Identificación Real, 8 de mayo de 2009, disponible en
<http://epic.org/privacy/id_cards/epic_realid_comments.pdf>; American Civil Liberties Union
<http://www.realnightmare.org/>.
98
Vea en general, la página web de EPIC sobre la Cédula Nacional de Identidad y la Ley de
Identificación Real (National ID Cards and REAL ID Act) en la sección sobre Normatividad Estatal
contra la Identificación Real (State Anti-REAL ID Legislation) <http://epic.org/privacy/id_cards/#state>.
99
Vea en general la página web de EPIC sobre Identificadores Biométricos (Biometric Identifiers)
<http://epic.org/privacy/biometrics/>.
37 escala.100 Los críticos también alegan que una amplia utilización de la tecnología de
identificación biométrica puede remover el velo del anonimato o del seudo anonimato
en la mayoría de las transacciones diarias a través de la creación de un rastro electrónico
de los movimientos de las personas y de sus hábitos.101
Planes biométricos están siendo implementados alrededor del mundo. La tecnología es
ampliamente usada en pequeños entornos para el control del acceso a lugares seguros
tales como instalaciones nucleares o bóvedas de bancos. Esta también está siendo
utilizada cada vez más para aplicaciones más amplias tales como puntos de venta
minoristas agencias del gobierno, centros de cuidado infantil, las fuerzas policiales y
cajeros automáticos. Varios países han creado pasaportes biométricos que también
permiten el uso de la tecnología de Identificación por Radiofrecuencia (RFID). España
ha iniciado un programa nacional de toma de huellas dactilares para otorgar beneficios a
los desempleados y derechos en centros de atención médica. Rusia ha anunciado planes
para un sistema nacional electrónico de toma de huellas digitales para bancos. A los
jamaiquinos se les solicita el someterse a la exploración de sus huellas digitales en una
base de datos antes de calificar para votar en las elecciones. En Francia y Alemania, se
están realizando pruebas con equipos que ponen la información de las huellas digitales
en las tarjetas de crédito. Muchos fabricantes de computadoras están considerando
incluir lectores biométricos en sus sistemas para propósitos de seguridad.
Las autoridades y los defensores vinculados a la privacidad objetan cada vez más el
libre uso de la biométrica para fines de identificación. En marzo de 2006, el Supervisor
Europeo de Protección de Datos Peter Hustinx criticó el incremento en el uso de
identificadores biométricos y de bases de datos por parte de los gobiernos.102 Afirmó
que los identificadores de huellas dactilares y ADN son demasiado inexactos.
Asimismo, hizo un llamado para una más enérgica legislación sobre protección de datos
para estas grandes bases de datos. EPIC reiteró estos riesgos, en sus comentarios a la
Comisión Federal de Comercio durante una consulta en el 2007 sobre las “Nuevas
Direcciones de la Autenticación de Identidad”, recomendando a la Comisión la revisión
de posibles soluciones o de medidas para mitigar estos problemas.103 La Comisionada
de Información y Privacidad de Ontario, Dr. Ann Cavoukian, sugirió que los
biométricos pueden ser desplegados de manera que incremente la privacidad que
minimice el potencial de vigilancia y abuso, maximice el control personal, y garantice
plena funcionalidad de los sistemas en los cuales se están utilizados datos
biométricos.104
100
Deutsche Bank Research, "Biometrics – Hype and Reality," 22 de mayo de 2002, disponible en
<http://www.dbresearch.com/PROD/999/PROD0000000000043270.pdf>.
101
Roger Clarke, "Biometrics and Privacy," 15 de abril de 2001, disponible en
<http://www.rogerclarke.com/DV/Biometrics.html>.
102
Peter Hustinx, Supervisor Europeo de Protección de Datos, "Comments on the Communication of the
Commission on Interoperability of European Databases" 10 de marzo de 2006, disponible en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/
2006/06-03-10_Interoperability_EN.pdf>; Jo Best, Biometrics Unreliable, Says EU Privacy Head,"
CNET News.com, 15 de marzo de 2006 <http://news.cnet.com/2100-1029_3-6050024.html>.
103
Comisión Federal de Comercio de los Estados Unidos de América, "Proof Positive: New Directions
for
ID
Authentication,"
23-24
de
abril
de
2007
<http://www.ftc.gov/bcp/workshops/proofpositive/index.shtml>; EPIC, Comentarios a la Comisión
Federal
de
Comercio,
23de
marzo
de
2007,
disponible
en
<http://epic.org/privacy/id_cards/epic_ftc_032307.pdf>.
104
Ann Cavoukian & Alex Stoianov, "Biometric Encryption: A Positive Sum Technology that Achieves
Strong Authentication, Security AND Privacy," Comisionado de Información y Privacidad de Ontario, 14
38
Los problemas de privacidad también surgen con el uso de sistemas biométricos durante
tiempos de guerra. En julio de 2007, informes de prensa revelaron que las tropas de los
Estados Unidos de América estaban utilizando escáneres móviles para obtener huellas
dactilares, escaneados de ojos y otros datos personales de cientos de miles de iraquíes.
Aunque el General David Petraeus, comandante de la Fuerza Multinacional en Iraq,
afirmó que el propósito era el de identificar insurgentes, las tropas de los Estados
Unidos de América están interceptando a iraquíes en sus casas, puntos de control,
centros laborales, y "en varios barrios dentro y alrededor de Bagdad, las tropas han ido
de casa en casa recogiendo datos."105 En julio de 2007 en una carta al Secretario de
Defensa Robert Gates, EPIC, Privacy International, y Human Rights Watch le hicieron
saber que un nuevo sistema de identificación biométrica contraviene las normas
internacionales de privacidad y podrían conducir a futuras represalias y matanzas.106
Los grupos citaron el riesgo particular de exigencias de identificación en regiones del
mundo afectadas por divisiones étnicas o religiosas.107 Un año antes, en julio de 2006,
milicianos chiitas establecieron un punto de control falso y mataron hasta 50 sunitas
después de examinar sus documentos de identificación. Los grupos también se
refirieron a un informe del Consejo Científico de la Defensa del Pentágono de marzo de
2007 que afirmaba que el uso militar de datos biométricos generaba preocupaciones
sustanciales sobre la privacidad.108 El informe categorizó como particularmente
invasivos los sistemas obligatorios en los cuales los registros incluyen datos fisiológicos
de ciudadanos y empleados, y que son recolectados por parte de una institución del
sector público, y son mantenidos en bases de datos por un periodo indeterminado. Sin
embargo, esta es precisamente la clase de sistema de identificación que actualmente
opera en Iraq. En su informe de enero de 2007 el Consejo de Derechos Humanos, el
Relator Especial de las Naciones Unidas advirtió que una amplia creación de perfiles
antiterrorista, particularmente aquellos que incluyen datos sobre origen étnico, son
susceptibles de abuso y violan las normas de no discriminación y varios otros derechos
humanos.109
La forma más controversial biométrica – la identificación del ADN – se está
beneficiando de la nueva tecnología de exploración que puede automáticamente
emparejar en minutos una muestra de ADN con las existentes en una gran base de datos.
de marzo de 2007, disponible en <http://www.ipc.on.ca/english/Resources/Discussion-Papers/DiscussionPapers-Summary/?id=608>.
105
Thomas Frank, "U.S. is Building Database on Iraqis," USA Today, 12 de Julio de 2007, página A1,
disponible en <http://www.usatoday.com/news/world/iraq/2007-07-12-iraq-database_N.htm>.
106
Carta de EPIC, Human Rights Watch y Privacy International al Secretario de Defensa de los Estados
Unidos
de
América
Robert
Gates,
27
de
julio
de
2007,
disponible
en
<http://epic.org/privacy/biometrics/epic_iraq_dtbs.pdf>.
107
Hussein Kadhim & Jenan Hussein, "Iraqis' Phony IDs Mask Links to Shiites, Sunni. McClatchy
Newspapers,
24
de
junio
de
2007,
disponible
en
<http://nl.newsbank.com/nlsearch/we/Archives?p_product=ST&p_theme=st&p_action=search&p_maxdocs=200&s_dispstring=Iraqi
s%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%20AND%20date%28all%29&p_field_ad
vanced-0=&p_text_advanced0=%28Iraqis%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%29&xcal_numdocs=20&p_p
erpage=10&p_sort=YMD_date:D&xcal_useweights=no>.
108
Grupo de Trabajo del Consejo Científico de la Defensa de los Estados Unidos de América, "Report on
Defense
Biometrics,"
marzo
de
2007,
disponible
en
<http://epic.org/privacy/biometrics/defscibd_0307.pdf>.
109
Martin Scheinin, Relator Especial de las Naciones Unidas sobre la Promoción y Protección de los
Derechos Humanos y de las Libertades Fundamentales en la lucha contra el Terrorismo, "Informe al
Consejo de Derechos Humanos de las Naciones Unidas," enero de 2007, disponible en <http://daccessdds-ny.un.org/doc/UNDOC/GEN/G07/105/10/PDF/G0710510.pdf?OpenElement>.
39
Las fuerzas policiales en muchos países entre ellos Canadá, Alemania, y los Estados
Unidos han creado bases de datos nacionales de ADN. Las muestras son tomadas
regularmente de un gran grupo de personas. Inicialmente, estos fueron individuos
convictos por crímenes sexuales. Luego estas fueron ampliadas a personas convictas por
otros crímenes violentos y luego a los detenidos. Ahora, muchas jurisdicciones están
recolectando muestras de todos los individuos arrestados, aún por las infracciones
menos significativas. El ex alcalde de Nueva York, Rudolf Giuliani, incluso propuso
que fuera colectado el ADN de todos los niños al momento del nacimiento. En
Australia, el Reino Unido y los Estados Unidos, la policía ha estado pidiendo que todos
los individuos en un área en particular voluntariamente proporcionen muestras o
afronten el ser considerados sospechosos. El Fiscal General de los Estado Unidos
Ashcroft ha testificado que ha solicitado al FBI el incremento de la capacidad de su
base de datos de 1.5 millones a 50 millones de perfiles.110
Al mismo tiempo, los datos de ADN han sido utilizados como evidencia exculpatoria en
muchos juicios penales. Más de 200 personas condenadas a la pena capital en los
Estados Unidos de América han sido exoneradas como resultado de pruebas de ADN.111
Preguntas claves de política sobre el sistema de justicia penal se vinculan a la
disponibilidad de fondos para permitir probar la inocencia.
Pasaportes Biométricos
El Acta Patriótica Estadounidense aprobada por el Congreso de los Estados Unidos de
América, después de los eventos del 11 de septiembre de 2001, incluyó el requerimiento
de que el Presidente certificara un estándar de tecnología biométrica para su uso en la
identificación de extranjeros que busquen ser admitidos en los Estados Unidos de
América, dentro de dos años. El calendario para su implementación fue acelerado por
otra norma, la poco conocida Ley de Reforma de Mejora de la Seguridad de las
Fronteras 2002. Parte de esta segunda ley incluye la búsqueda de la cooperación
internacional con este estándar. El incentivo para la cooperación internacional fue claro:
"Para el 26 de octubre de 2004, para que un país se considere elegible para la
participación en el programa de exención de visado, su gobierno debe certificar que
tiene un programa para expedir para sus ciudadanos, pasaportes capaces de ser leídos
por máquinas, que estos sean resistentes a alteraciones y que incorporen identificadores
biométricos y de autenticación que satisfagan los estándares de la Organización de la
Aviación Civil Internacional (OACI)."
Estas leyes le dieron velocidad a los estándares que se estaban considerando en la OACI
para los países solicitantes de la exención de visado (entre ellos muchos países de la
UE, Australia, Brunei, Islandia, Japón, Mónaco, Nueva Zelanda, Noruega, Singapur, y
Eslovenia) para implementar un sistema biométrico en sus Documentos de Viaje
capaces de ser Leídos por Maquinas (MRTDs), es decir, los pasaportes. La falta de ello,
presumiblemente, significara la remoción del programa.
El desplazar la decisión a la OACI empujó a la política mucho más allá de los países del
Programa de Exención de Visa, La OACI ya fija las normas internacionales para
pasaportes y la OACI ha estado investigando los pasaportes biométricos desde 1995.
Desde entonces las tecnologías han cambiado lo suficiente como para permitir que el
110
Transcripción del Fiscal General, Conferencia de Prensa – Iniciativas ADN, 4 de marzo de 2002,
Centro de Conferencias DOJ.
111
The Innocence Project (Proyecto Inocente) disponible en <http://www.innocenceproject.org/>.
40
reconocimiento facial, las huellas dactilares y el escaneado de iris sean considerados
para su implementación en pasaportes estándar.
Los propósitos principales del uso de sistemas biométricos, de acuerdo a la OACI, son
los de permitir la verificación ("confirmación de la identidad por comparación de
detalles de identidad de las personas alegando ser un individuo especifico comparado
con detalles previamente archivados sobre dicho individuo"112) y la identificación ("la
determinación de la posible identidad por comparación de los detalles de identidad de la
persona que se presenta comparados con los detalles previamente archivados de cierto
número de individuos"113). Los efectos benéficos colaterales abarcan la información
avanzada de los pasajeros a los puertos de entrada, y el rastreo electrónico del uso del
pasaporte.
En mayo de 2003, el reconocimiento facial emergió como el candidato principal.
Problemas de Propiedad Intelectual impidieron que el escaneado del iris fuera aceptado;
al tiempo que se creía que el reconocimiento facial era más socialmente aceptado. Las
múltiples aplicaciones de la biométrica eran también consideradas, y permitidas.
Aunque el uso de una sola tecnología biométrica por todos los Estados era preferible
para la OACI para asegurar la interoperabilidad, "sin embargo, también se reconoce que
algunos Estados pueden concluir que es deseable el utilizar dos sistemas biométricos en
el mismo documento."114 La Unión Europea (UE) ya está discutiendo el solicitar las
huellas dactilares en los pasaportes.
La OACI es consciente. Sin embargo, reconoce que existen temas contenciosos legales
involucrados con la infraestructura para estos pasaportes, incluyendo la colisión entre
los objetivos de un sistema biométrico centralizado de ciudadanos y la protección de las
leyes de privacidad, y con las "prácticas culturales." No sólo esto involucra un almacén
central de datos de huellas digitales y fotos (y de escáneres de rostros) que pueden ser
exploradas para compararlas con otra base de datos para propósitos distintos, sino que
esta información sensible puede ser transferida a otros países cuando se requiera
verificación en los controles de frontera. La OACI prevé que esta información puede ser
retenida por estos otros países. En esencia, esto podría transformarse en una base de
datos de información personal distribuida a nivel mundial.
Algo que puede ser importante recordar al momento de la implementación nacional es
que, se permite cierta flexibilidad por parte de la OACI. Algunos estados pueden
interpretar los estándares de la OACI para requerir bases de datos centralizadas.115
La OACI hace hincapié en una base de datos central que permita una confirmación
adicional de seguridad, pero no va tan lejos como para requerir tales sistemas. Puede ser
interesante ver si los gobiernos nacionales retirarán esta opción, o si ellos más bien
cambiarán sus leyes nacionales para permitir un almacenamiento centralizado, como se
permite en otros documentos de la OACI. La UE ya está avanzando hacia un registro
112
Vease ICAO - Biometrics Deployment of Machine Readable Travel Documents ICAO TAG
MRTD/NTWG Technical Report: Development and Specification of Globally Interoperable Biometric
Standards for Machine Assisted Identity Confirmation using Machine Readable Travel Documents,
Montreal: ICAO, 12 mayo 2003.
113
Ibid.
114
Ibid.
115
Vea en general OACI. Biométrica Utilización de Documentos de Viaje capaces de ser Leídos por
Máquinas ICAO TAG MRTD/NTWG Informe Técnico: Desarrollo y Especificación de Estándares
Biométricos Mundialmente Interoperativos para la Confirmación de la Identidad Asistida por Máquina
utilizando Documentos de Viaje capaces de ser Leídos por Máquinas, Montreal: OACI, 12 de mayo de
2003.
41 centralizado de los sistemas biométricos utilizados en el proceso de inscripción para
pasaportes.
Huellas Dactilares
Las huellas dactilares son los identificadores biométricos más utilizados a nivel
mundial. Los fabricantes de aparatos electrónicos han empezado a añadir escáneres de
huellas dactilares a las computadoras, discos duros, memorias USB, y otros, como un
dispositivo de seguridad.116 En el otoño de 2006, Suecia probó un sistema que
emparejaba a los viajeros aéreos con su equipaje a través del uso de huellas
dactilares.117 En enero de 2005, las propiedades de Walt Disney World empezaron a
utilizar escáneres de huellas dactilares como medio de rastrear a los clientes que
ingresaban a sus parques temáticos.118 Las huellas dactilares están siendo cada vez más
utilizadas en las cédulas de identificación.119
La toma de huellas dactilares a niños en edad escolar ha proliferado en el Reino Unido
en medio de mucho debate. El uso generalizado en el Reino Unido contrasta con aquel
de China (Hong Kong) y del resto de China, que han prohibido la toma de huellas
dactilares de niños en edad escolar.120 En julio de 2007, la Agencia Británica de
Comunicaciones y Tecnología Educativa (BECTA) publicó guías para los colegios del
Reino Unido, “BECTA Guidance on the Use of Biometric Systems in Schools” (Guías
BECTA sobre el uso de Sistemas Biométricos en Colegios”).121 La BECTA explicó que
la obtención de huellas dactilares de niños en edad escolar se halla dentro de los
alcances de la Ley de Protección de Datos de 1998, y que se debe tener cuidado si tales
datos son obtenidos, y “los colegios tiene el deber de garantizar que todo los datos
personales que tienen se mantengan seguros.”122 Al mismo tiempo, la Oficina del
Comisionado de la Información del Reino Unido también emitió una guía sobre
recolección de datos biométricos de niños en edad escolar, los cuales pueden tener hasta
5 años. La Oficina estuvo de acuerdo en que dicha recolección estaba dentro de los
alcances de la Ley de Protección de Datos de 1998 y les comunicó a los colegios que
estos “deben explicar las razones para introducir el sistema, cómo se utiliza la
información personal y cómo se mantiene segura.”123 Debido a que algunos niños no
116
Agam Shah, "Keeping Data Secure with Biometrics," PC World, 22 de junio de 2007, disponible en
<http://www.washingtonpost.com/wp-dyn/content/article/2007/06/22/AR2007062201584.html>.
117
"New Tricks with Biometrics," CNN, 28 de septiembre de 2006, disponible en
<http://edition.cnn.com/2006/TRAVEL/09/27/biometrics.SAS/index.html>.
118
Vea en general la página web de EPIC sobre Theme Parks and Privacy (Parques Temáticos y
Privacidad). Disponible en <http://epic.org/privacy/themepark/>.
119
Vea en general, la página web de EPIC sobre la Cédula Nacional de Identidad y la Ley de
Identificación Real (National ID Cards and REAL ID Act) en <http://epic.org/privacy/id_cards/> y la
página web de Privacy International sobre Cédula Nacional de Identidad (National ID Cards) en
<https://www.privacyinternational.org/category/issues/national-id-cards-0?page=8>.
120
Mark Magnier, "Campaign of Shame Falls Flat in China," Los Angeles Times, 18 de diciembre de
2006; Mark Ballard, "Halt to School Fingerprinting," Register, 9 de noviembre de 2006
<http://www.theregister.co.uk/2006/11/09/hongkong_kiddyprinting/>.
121
British Educational Communications and Technology Agency, "BECTA Guidance on the Use of
Biometric
Systems
in
Schools,"
julio
de
2007,
disponible
en
<http://archive.teachfind.com/becta/schools.becta.org.uk/uploaddir/downloads/becta_guidance_on_biometric_technologies_in_schools.pdf>.
122
Id.
página
8;
Ley
de
Protección
de
Datos
de
1998,
disponible
en
<http://www.legislation.gov.uk/ukpga/1998/29/contents>.
123
Oficina del Comisionado de la Información del Reino Unido, "The Use of Biometrics in Schools,"
Julio
de
2007,
disponible
en
42 estarían en la capacidad para entender las implicaciones de la toma de huellas dactilares,
en dichos casos el colegio debe informarle plenamente y obtener el consentimiento de
los padres; sino el colegio estaría violando la Ley de Protección de Datos.124 No se sabe
si los padres entienden plenamente que, cuando se investiga un delito, la policía del
Reino Unido está permitida para acceder a las bases de datos biométricos de los
colegios sin la autorización paterna.125
Tradicionalmente, los datos biométricos de huellas dactilares han sido utilizados en las
investigaciones de las fuerzas del orden sobre delitos; utilizados en laboratorios y en
tribunales para identificar delincuentes. Sin embargo, las fuerzas del orden han
empezado a utilizar las bases de datos de huellas dactilares fuera de estos contextos. En
Australia y en el Reino Unido, la policía ahora cuenta con escáneres portátiles de
huellas dactilares de modo que puedan identificar rápidamente a personas en la calle,
tales como conductores a los que se les hace detener a un lado de la vía por alguna
infracción de tránsito o a peatones “sospechosos” de delitos.126 La policía “obtiene” el
permiso de los sospechosos, pero la voluntariedad de tal permiso es sospechosa, y luego
busca coincidencias en una base de datos que contiene 6.5 millones de huellas
dactilares. El dispositivo biométrico portátil utilizado por la policía de Australia es
fabricado por una compañía electrónica francesa llamada "Sagem" y puede almacenar
hasta 100,000 huellas dactilares.127
También ha habido una expansión del intercambio internacional de datos de huellas
dactilares. Filipinas y los Estados Unidos de América están cooperando en una base de
datos conjunta.128 En enero de 2007, los Ministros de Asuntos Internos de los
signatarios del Tratado de Prüm acordaron compartir el acceso a sus bases de datos de
huellas dactilares y de vehículos motorizados.129 Austria, Bélgica, Francia, Alemania,
Luxemburgo, Países Bajos, y España firmaron el tratado en el 2005. Italia, Finlandia,
Portugal, Rumania, Eslovenia, Suecia y Rumania también dieron a conocer
formalmente su deseo de firmar.
<http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/fingerprinti
ng_final_view.pdf>.
124
Id.
125
David Smith, Comisionado Adjunto, Oficina del Comisionado de la Información del Reino Unido,
Testimonio en una Audiencia sobre la Sociedad Vigilante ante la Comisión de Asuntos Internos de la
Casa
de
los
Comunes,
1
de
mayo
de
2007
disponible
en
<http://www.publications.parliament.uk/pa/cm200607/cmselect/cmhaff/uc508-i/uc50802.htm>.
126
"Motorists to Give Fingerprints," BBC News, 22 de noviembre de 2006
<http://news.bbc.co.uk/2/hi/uk_news/6170070.stm>.
127
Michael Crawford, "Australian State Police Eye Fingerprint Biometrics," Computerworld Australia,
14
de
octubre
de
2005,
disponible
en
<http://www.computerworld.com/s/article/105427/Australian_state_police_eye_fingerprint_biometrics?ta
xonomyId=017>.
128
"Philippine, U.S. Police Cooperate in Fingerprint Database," People's Daily Online, 7 de junio de 2006
<http://english.peopledaily.com.cn/200606/07/eng20060607_271844.html>.
129
Ministro del Interior Federal Aleman, Nota de Prensa, "Informal Meeting of Ministers for Justice and
Home Affairs: Home Affairs Ministers Back Initiative to Create a Pan-European Network of Police
Databases for More Effective Crime Control," ("Reunión Informal de Minsitros de Justicia y del Interior:
Los Ministros del Interior respaldan la iniciativa de crear una red pan-Europea de base de datos de la
policía para un control más eficaz del Crimen")
15 de enero de 2007,disponible en
<http://www.eu2007.de/en/News/Press_Releases/January/0115JIRatPK1.html>; Carta de la Presidencia
al Consejo de la Unión Europea, "Integration of the Prüm Treaty into the Union Legal Order,"
("Integración del Tratado de Prüm en el Orden Legal de la Unión") 9 de febrero de 2007, disponible en
<http://www.statewatch.org/news/2007/feb/eu-prum-6220-07.pdf>.
43 En febrero de 2007, la Comisión Europea reveló que uno de sus "acciones principales
previstas para el 2008" era "la implementación de una base de datos centralizada de
huellas dactilares".130 La propuesta por una base de datos masiva de huellas dactilares
de todos los 27 países de la UE motivó acusaciones de "Gran Hermano Europa" ("Big
Brother Europe"). La base de datos incluiría las huellas dactilares de sospechosos y de
personas liberadas sin cargos, así como de aquellos convictos por delitos.131 El costo y
alcance de la base datos de huellas dactilares masiva a nivel de toda la UE está siendo
evaluado, pero el objetivo era el de crear la base de datos a finales de 2008. Quedan aún
dudas sobre si los terceros países, tales como los Estados Unidos de América, tendrían
acceso a este repositorio centralizado de las huellas dactilares de los ciudadanos de la
UE.
En junio de 2007, el Supervisor Europeo de Protección de Datos Peter Hustinx envió
una carta a los Ministros de Justicia y del Interior de Portugal criticando estas medidas
recientes.132 (Portugal asumió la Presidencia del Consejo de la Unión Europea el 1 de
julio de 2007.) El ofreció su asistencia, declarando que "Parece que el número de
acuerdos sobre nuevas medidas antiterroristas ha sido concluido sin considerar
plenamente el impacto de estas sobre los derechos fundamentales."133 El Supervisor
Hustinx también afirmó que, "Temo que mensajes como el de 'ningún derecho a la
privacidad hasta que la vida y la seguridad estén garantizados' están evolucionando en
un mantra que sugiere que los derechos fundamentales y las libertades son un lujo que
la seguridad no puede afrontar. Yo contradigo esa visión y hago hincapié que no hay
duda en se pueden tomar medidas antiterroristas efectivas dentro de los límites de la
protección de datos."134
Los países están utilizando cada vez más huellas dactilares para la seguridad de sus
fronteras. Australia, Malasia, Singapur, los Estados Unidos de América, el Reino
Unido, entre otros, recolectan huellas dactilares en sus fronteras.135 El programa de
seguridad de fronteras de los Estados Unidos de América US-VISIT requiere a los
130
Comunicación de la Comisión al Consejo, el Parlamento Europeo, la Comisión Europea Económica y
Social y la Comisión de las Regiones, "Estrategia de Política Anual para el 2008," página 12, 21 de
febrero de 2007, disponible en <http://ec.europa.eu/atwork/synthesis/doc/aps_2008_en.pdf>.
131
David Charter, "Central Fingerprint Database Plan Draws Fire from All Over EU," Times Online, 16
de marzo de 2007 <http://www.openeurope.org.uk/media-centre/article.aspx?newsid=1813>.
132
Carta del Supervisor Europeo de Protección de Datos Peter Hustinx al Ministero de Justicia de
Portugal Alberto Costa, "Presidency Work Programme and the Protection of Individuals with Regard to
the Processing of Personal Data and the Free Movement of Such Data," ("Programa de la Presidencia
sobre Trabajo y Protección de Personas con Relación al Tratamiento de Datos de Carácter Personal y del
Libre Movimiento de tales Datos")
12 de junio de 2007, disponible en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/
2007/07-06-11_Letters_portuguese_presidency_EN.pdf>.
133
Ibid.
134
Ibid.
135
Vivian Yeo, "Singapore Unveils Biometric Passport," CNet News.com, 31 de marzo de 2006
<http://news.cnet.com/2100-1029_3-6056746.html>; "Singapore Advocates Using Biometrics in Border
Control,"
People's
Daily
Online,
26
de
marzo
de
2007
<http://english.people.com.cn/200703/26/eng20070326_361093.html>; Darren Pauli, "Aussies to
Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de julio de 2007
<http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>; UK Home
Office, Press Release, "New Powers to Capture Foreign Nationals' Biometrics," 19 de diciembre de 2006,
<http://www.itsecurity.com/press-releases/press-release-home-office-biometrics-121906/>;
Dewan
Rakyat, "Biometric Way to Monitor Foreign Workers," Star Online.com, 26 de junio de 2007. Disponible
en
<http://startechcentral.com/tech/story.asp?file=/2007/6/26/technology/20070626115333&sec=technology> [visitado
en 2007].
44 extranjeros que ingresen o salgan del país presentar información biográfica detallada,
las huellas dactilares de los 10 dedos, y una fotografía digital; este es uno de los más
grandes programas de recolección de datos biométricos en el mundo.136 En diciembre
de 2006, el Ministerio del Interior del Reino Unido anunció un plan para "[registrar]
datos biométricos de cada uno de los habitantes de las 169 nacionalidades existentes
fuera de la [Zona Económica Europea] que estén postulando a un trabajo, estudio o
estadía en el Reino Unido por más de seis meses, y para las personas de las 108
nacionalidades que postulan para visitar el Reino Unido," a ser implementado en el
2008.137 El Reino Unido planea registrar las huellas dactilares y las imágenes faciales y
también planea empezar a emitir documentos de identidad biométricos para extranjeros
en 2008.
Escaneo de Retina e Iris
Los escaneos de retina e iris son tecnologías diferentes, aunque a menudo se piensa que
son las mismas. Con los escaneos de retina, un haz de luz infrarroja se refleja a través
de la pupila y la luz reflejada y el patrón de vasos sanguíneos en el ojo es medido y
capturado por una cámara.138 No existen dos patrones iguales, incluso entre el ojo
derecho e izquierdo, o gemelos idénticos, y estos no cambian con la edad. Sin embargo,
los críticos se han referido al proceso de captura de datos como invasivo y que la
tecnología es susceptible de causar enfermedades, tales como glaucoma o cataratas.139
También, los críticos han señalado que los escaneos de retina contienen abundantes
datos sobre la salud de la persona. "Muchos problemas de salud se reflejan en los ojos,
creando un potencial para pruebas no invasivas para todo desde consumo de cocaína
hasta anemia de células falciformes. Enfermedades infecciosas tales como la malaria,
SIDA, sífilis, la enfermedad de Lyme, y varicela todos reflejados en tus ojos.
Curiosamente lo mismo ocurre con el embarazo."140
Con los escaneos de iris, una cámara de video se utiliza para tomar una foto del iris.141
Los inconvenientes son que el movimiento, los lentes y los lentes de contacto de colores
pueden cambiar el patrón creado para una persona; los parpados y las pestañas
oscurecen parte de la superficie del iris; y, debido a que el escaneo está sustentado en el
tamaño de la pupila, las drogas que dilatan el ojo podrían anular un escaneo de iris.
Los escaneos de iris se están utilizando de manera creciente en los programas para
viajeros. Los programas de viajeros frecuentes que involucran la recolección y uso de
escaneos de iris incluyen: al Privium de Amsterdam,142 Viajero Registrado de los
136
Vea en general la página web de EPIC sobre el Programa US-VISIT <http://epic.org/privacy/usvisit/>.
137
UK Home Office, "Strategic Action Plan for the National Identity Scheme - Safeguarding Your
Identity,"
19
de
diciembre
de
2006,
disponible
en
<http://webarchive.nationalarchives.gov.uk/+/http://www.homeoffice.gov.uk/documents/strategic-actionplan.pdf>; UK Home Office, Press Release, "New Powers to Capture Foreign Nationals' Biometrics," 19
de diciembre de 2006 <http://www.publicservice.co.uk/news_story.asp?id=2263>.
138
Vea en general la página web de EPIC sobre Identificadores Biométricos
<http://epic.org/privacy/biometrics/>.
139
"The Identity Project: An Assessment of the UK Identity Cards Bill & Its Implications," (London
School of Economics & Political Science, 21 de marzo de 2005, disponible en
<http://eprints.lse.ac.uk/684/>.
140
Courtney Ostaff, "Retinal Scans Do More Than Let You In the Door," Physorg.com, 31 de agosto de
2005 <http://www.physorg.com/news6134.html>.
141
Id.
142
"New Tricks with Biometrics," CNN, 28 de septiembre de 2006, disponible en
<http://edition.cnn.com/2006/TRAVEL/09/27/biometrics.SAS/index.html>.
45 Estados Unidos de América,143 miSenseplus del Reino Unido.144 Australia,145
Alemania,146 y el Reino Unido147 están recolectando escaneos de iris de los visitantes y
los Estados Unidos de América está considerando añadir escaneos de iris a su programa
de seguridad de fronteras US-VISIT.148 Los escaneos de iris también son utilizados en
exceso en otros ámbitos. Los colegios en los Estados Unidos de América y en el Reino
Unido están recolectando escaneos de iris.149 A los médicos en Australia del Sur se les
puede pronto exigir enviar escaneos de iris y de huellas dactilares para acceder a los
registros médicos en los hospitales.150 Funcionarios de los Estados Unidos de América
han creado el Registro y Sistema de Identificación de Delincuentes Sexuales (SORIS,
en inglés), el cual almacena imágenes de los irises de los delincuentes sexuales.151
Geometría de Manos (Impresiones Palmares)
La biométrica de la geometría de manos o de las “impresiones palmares” está
aumentando de popularidad. "Las texturas de las líneas principales, arrugas y surcos de
las impresiones palmares, contienen información diferenciadora que puede ser extraída
para fines de verificación."152 En Japón, las personas pueden retirar dinero de los
Cajeros Automáticos (ATM) utilizando escáneres de impresiones palmares.153 Las
bibliotecas japonesas utilizan escáneres de impresiones palmares para consignar la
salida de libros.154 En el 2006, la policía del Reino Unido creó una base de datos de
143
Vea en general EPIC, Spotlight on Surveillance, "Registered Traveler Card: A Privatized Passenger
ID," octubre 2005 <http://epic.org/privacy/surveillance/spotlight/1005/>.
144
Dean Irvine, "Heathrow Tests Biometrics," CNN, 6 de diciembre de 2006
<http://edition.cnn.com/2006/TRAVEL/12/06/heathrow.fingerprints/index.html>.
145
Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de
Julio de 2007 <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>.
146
"Look Me in the Eye," Deutsche Welle, 13 de febrero de 2004 <http://www.dwworld.de/dw/article/0,,1113690,00.html>.
147
Jeremy Kirk, "Government Tests Biometrics at Border Control Points," IDG News Service, 3 de mayo
de 2007 <http://www.computerworlduk.com/news/it-business/2864/government-tests-biometrics-atborder-control-points/>.
148
Michael Arnone, "US-VISIT Chief Wants Tougher Border Security," FCW.com, 18 de abril de 2006
<http://fcw.com/404.aspx?404;http://fcw.com/article94113-04-18-06-Web.aspx>; vea también la página
web de EPIC sobre el Programa US-VISIT <http://epic.org/privacy/us-visit/> (documentos obtenidos por
EPIC al amparo de la Ley de Libertad de Información muestran que el gobierno de los Estados unidos de
América está considerando los escaneos de iris, el reconocimiento de voz para la seguridad de fronteras).
149
Laura Clark, "Children as Young as Five To Be Fingerprinted in Schools," Daily Mail, 23 de Julio de
2007
<http://www.dailymail.co.uk/news/article-470344/Children-young-fingerprinted-schools.html>;
"Eye
Scan
Technology
Comes
to
Schools,"
ABC
News,
25
de
enero
de
<http://abcnews.go.com/GMA/story?id=1539275>; "Eye Scan To Order School Dinners," BBC News,
July 8, 2003 <http://news.bbc.co.uk/2/hi/uk_news/england/wear/3056162.stm>.
150
Ben Woodhead, "Fingerprints and Iris Scans As Hospitals Tighten Security," Australian, 3 de Julio de
2007 <http://www.prisonplanet.com/articles/july2007/030707_b_Fingerprints.htm>.
151
Lynn Waddell & Arian Campo-Flores, "Iris Scans: Keeping an Eye on Sex Offenders," Newsweek, 24
de julio de 2006, disponible en <http://www.thedailybeast.com/newsweek/2006/07/23/iris-scans-keepingan-eye-on-sex-offenders.html>.
152
Michael KO Goh, Tee Connie, et al, Multimedia University, Malaysia. "A Fast Palm Print Verification
System," International Conference on Computer Graphics, Imaging and Visualisation, 2006, disponible
en <http://www.computer.org/portal/web/csdl/doi/10.1109/CGIV.2006.7>.
153
Kenji Hall, "Biometrics: Vein Scanners Show Promise," BusinessWeek.com, 6 de febrero de 2007
<http://www.businessweek.com/globalbiz/content/feb2007/gb20070206_099354.htm?chan=search>.
154
Martyn Williams, "Japanese Library to Use Palm-Vein for Book Check-Out," IDG News Service, 26
de diciembre de 2005, disponible en <http://www.infoworld.com/d/security-central/japanese-library-usepalm-vein-book-check-out-897>.
46
impresiones palmares.155 La policía canadiense también está buscando crear tal base de
datos.156 En el Aeropuerto Ben Gurion, el único aeropuerto internacional del país, los
viajeros pueden identificarse a sí mismo por medio de sus impresiones palmares en más
de 20 módulos.157
Reconocimiento de Voz
La tecnología de reconocimiento de voz identifica a las personas a través de sus
distintos patrones vocales. Los cuatro millones de clientes del Dutch International Bank
ABN Amro ahora pueden acceder a servicios automatizados de banca por teléfono por
medio del sistema biométrico de verificación de voz del banco.158 Las compañías de
tarjetas de crédito están evaluando utilizar la tecnología de reconocimiento de voz para
permitir realizar pagos a sus clientes.159 En febrero de 2007, la Corporación Microsoft
tuvo que arreglar un problema en su sistema operativo Vista porque las características
de reconocimiento de voz podrían ser utilizadas por otros para borrar archivos
maliciosamente.160 La tecnología tiene sus puntos débiles. EPIC asevera que "el
reconocimiento de voz se desequilibra por el ruido de fondo, y cuando se utiliza un
teléfono análogo o celular. Dado que es imposible engañar a un sistema de
reconocimiento de voz a través de la suplantación o la imitación, entonces es factible
utilizar una grabadora para cometer fraude."161
155
Andy McCue, "Police Get National Biometric Palm Print Database," Silicon.com, 23 de marzo de
2006
<http://www.silicon.com/management/public-sector/2006/03/23/police-get-national-biometricpalm-print-database-39157511/>.
156
"Winnipeg Police Angling for Palm-Print Software," CBC News, 15 de enero de 2007 disponible en
<http://www.cbc.ca/news/canada/manitoba/story/2007/01/15/palm-print.html>.
157
Brian Robinson, "Israel Uses Hands-on Approach for Trusted Travelers," FCW.com, 29 de agosto de
2005 <http://fcw.com/articles/2005/08/29/israel-uses-handson-approach-for-trusted-travelers.aspx>.
158
Linda More, "Case Study: ABN Amro: Dutch International Bank ABN Amro Is Using Biometric
Voice Verification Security for Its Customers," 19 de abril de 2007, Computing.co.uk
<http://www.computing.co.uk/ctg/analysis/1823699/case-study-abn-amro>.
159
"Now pay your credit card bills the secure way with your voiceprint," Malaysia Sun, 20 de Julio de
2007 <http://story.malaysiasun.com/index.php/ct/9/cid/d805653303cbbba8/id/266566/cs/1/>.
160
"Vista Has Speech Recognition Hole," BBC News, 17 de febrero de 2007
<http://news.bbc.co.uk/2/hi/technology/6320865.stm>.
161
Declaración de Marc Rotenberg, Director Ejecutivo de la Electronic Privacy Information Center, y de
Carla Meninsky, EPIC Asociada IPIOP, en la Audiencia Conjunta sobre Robo de Identidad que involucra
a Ancianos como Victimas ante la Comisión Especial sobre Envejecimiento (18 de julio de 2002),
disponible en <http://epic.org/privacy/biometrics/testimony_071802.html>.
47 Privacidad en el Centro Laboral
Los trabajadores alrededor del mundo son frecuentemente sujetos a cierto tipo de
vigilancia por parte de sus empleadores.162 Los empleadores supervisan los procesos de
trabajo con propósitos de control de calidad y de ejecución. Ellos recolectan
información personal de los empleados por diversas razones, tales como asistencia
sanitaria, impuestos y verificación de antecedentes.
Tradicionalmente, esta vigilancia y recolección de información en el centro laboral
implica alguna forma de intervención humana o el consentimiento, o al menos el
conocimiento, de los empleados. Sin embargo, la cambiante estructura y naturaleza del
lugar de trabajo ha conducido a prácticas más invasivas y a menudo de vigilancia
encubierta lo que pone en tela de juicio los derechos más básicos de los trabajadores a la
privacidad y a la dignidad dentro del centro laboral. Los progresos en la tecnología han
facilitado un crecimiento en el nivel de vigilancia automatizada. Ahora la supervisión
del desempeño del empleado, su comportamiento y sus comunicaciones puede ser
llevada a cabo por medios tecnológicos, con mayor facilidad y eficiencia. La tecnología
que actualmente se está desarrollando es extremadamente poderosa y puede ampliarse a
cada aspecto de la vida del trabajador. Los programas de software pueden registrar los
golpes de teclado en las computadoras y monitorear imágenes exactas de la pantalla, los
sistemas de manejo de telefonía pueden analizar el patrón del uso de teléfonos y el
destino de las llamadas, y las cámaras miniatura y las credenciales "inteligentes" pueden
monitorear el comportamiento del empleado, sus movimientos e incluso su orientación
física.
Los avances en la ciencia han desplazado también las fronteras de lo que son los
detalles personales y la información que un empleador puede adquirir de un empleado.
Las pruebas psicológicas, pruebas generales de inteligencia, pruebas de desempeño,
pruebas de personalidad, verificación de la honradez y de antecedentes, pruebas de
consumo de drogas y pruebas medicas son utilizadas rutinariamente en el lugar de
trabajo, en los métodos de reclutamiento y evaluación. Desde el descubrimiento del
ADN, también ha habido un incremento en el uso de pruebas genéticas, al permitir a los
empleadores acceder a los más íntimos detalles del cuerpo de una persona con el fin de
predecir la susceptibilidad a enfermedades, y condiciones médicas, o incluso de
comportamiento. El éxito del Proyecto Genoma Humano probablemente hará esta clase
de pruebas más frecuentes. Actualmente, las pruebas genéticas son muy costosas para
muchos empleadores, y no se utilizan frecuentemente como otras formas de prueba
médica o de consumo de drogas.163 El Artículo 21 de la Carta de los Derechos
Fundamentales de la Unión Europea dispone explícitamente que "cualquier
discriminación basada en . . . características genéticas . . . debe ser prohibida."164
162
Para una útil visión general de los temas de privacidad en el centro laboral, mayormente en los Estados
Unidos de América, véase en general la página de Privacidad en el Centro Laboral de la Electronic
Privacy Information Center (EPIC) <http://epic.org/privacy/workplace/>.
163
Aunque no son económicamente accesibles, la posibilidad de evaluación genética para el empleo ha
impulsado a algunas compañías como la IBM a asegurar a sus empleados que no utilizará datos médicos
para fines de evaluación de personal. Steve Lohr, "IBM pledges to assure privacy of employees' genetic
profile," ("IBM promote garantizar la privacidad del perfil genético de sus empelados) N.Y. Times 10 de
octubre de 2005.
164
Artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Disponible en
<http://www.europarl.europa.eu/charter/pdf/text_es.pdf>.
48
La recolección de información personal y el uso de tecnología de vigilancia por parte de
los empleadores, a menudo se justifican con el argumento de la salud y la seguridad, las
relaciones con los clientes o las obligaciones legales. Sin embargo, de acuerdo a un
reciente estudio de la Privacy Foundation, es en realidad el bajo costo de las tecnologías
de vigilancia más que cualquier otra cosa lo que contribuye al incremento en la
vigilancia.165 En muchos casos, la vigilancia en el centro laboral puede comprometer
seriamente la privacidad y la dignidad de los empleados. Las técnicas de vigilancia
pueden ser usadas para acosar, discriminar y crear dinámicas perjudiciales en el centro
laboral.
Antecedentes Jurídicos
Los defensores de la privacidad han mantenido por largo tiempo que la notificación de
la vigilancia o de una política de vigilancia debe, como mínimo, ser exigida antes de
que los empleadores puedan comprometerse en tales actividades invasivas. Los
defensores respaldan enérgicos principios de privacidad en el centro laboral como es el
caso del "Código de Práctica sobre la Protección de los Datos Personales de los
Trabajadores" de la Organización Internacional del Trabajo, la cual protege los datos
personales del trabajador y el fundamental derecho a la privacidad en la era
tecnológica.166 Estas guías fueron emitidas por la Organización Internacional del
Trabajo en 1997, siguiendo tres estudios generales sobre las leyes internacionales de
privacidad de los trabajadores.167 Los principios generales de este código son:
•
los datos personales deben ser utilizados en forma legítima y justa; sólo por
razones directamente relacionados al empleo del trabajador y sólo para el
propósito para el cual fueron originalmente recolectados;
•
los empleadores no deben recolectar datos personales sensibles (p.ej., referentes
a la vida sexual, política, religiosa, o relativa a otras creencias; o pertenencia a
un sindicato o condenas criminales de un trabajador) a menos que esa
información sea directamente pertinente para la decisión de empleo y sea
recolectada de conformidad con la legislación nacional;
•
los polígrafos, equipos de verificación de la verdad o cualquier otro
procedimiento similar no deben ser utilizados;
•
los datos médicos sólo deben ser recolectados de conformidad con la legislación
nacional y los principios de confidencialidad médica; la investigación de
antecedentes genéticos debe estar prohibida o limitada a los caso explícitamente
autorizados por la legislación nacional; y las pruebas de consumo de drogas sólo
deben ser llevadas a cabo de conformidad con la ley nacional y la práctica de las
normas internacionales;
•
los trabajadores deben estar informados por adelantado de cualquier monitoreo,
y cualquier recolección de datos resultante de dicho monitoreo no debe ser el
único factor en la evaluación del desempeño de los mismos;
165
The Privacy Foundation, The Extent of Systematic Monitoring of Employee E-mail and Internet Use,
9 de Julio de 2001 <http://www.sonic.net/~undoc/extent.htm>.
166
"Protection of workers' personal data," ("Protección de los datos personales de los trabajadores")
Código de Práctica de la OIT , Ginebra, Organización Internacional del Trabajo (1997).
167
Organización Internacional del Trabajo, Compendio de Condiciones de Trabajo: Privacidad de los
Trabajadores Parte I: Protección de Datos Personales 10 (2) (1991); Privacidad de los Trabajadores Parte
II: Monitoreo y Vigilancia en el Centro Laboral (1993) 12(1); y Privacidad de los Trabajadores Parte III:
Pruebas en el Centro Laboral, 12(2) (1993).
49
•
los empleadores deben garantizar la seguridad de los datos personales ante
perdida, acceso no autorizado, uso, alteración o revelación; y
•
los empleados deben ser informados regularmente de cualquier dato manejado
sobre ellos y debe permitírseles el acceso a dichos datos.168
El código no crea legislación internacional y no es de efecto vinculante. Este fue
pensado para ser utilizado "en el desarrollo de legislación, regulaciones, acuerdos
colectivos, reglas de trabajo, políticas y medidas prácticas."169 Sin embargo,
lamentablemente, las leyes difieren mucho de un país a otro, y en algunos países hay
pocas restricciones legales sobre vigilancia en el centro laboral. En los Estados Unidos de América, por ejemplo, los tribunales han sido usualmente
lentos para reconocer el derecho de los trabajadores a la privacidad. Todavía no ha
habido ninguna sentencia satisfactoria y uniforme sobre el nivel de privacidad que
tienen derecho los empleados y de qué manera dicha privacidad debe ser protegida.
Muchos creen que ya que los empleadores tienen la titularidad o el "control" sobre las
premisas del trabajo, y de sus contenidos e instalaciones, los empleados renuncian a
todos sus derechos y expectativas a la privacidad y a ser libres de la invasión de la
misma.170 Otros simplemente evitan el problema haciendo que sus empleados
consientan la vigilancia, el monitoreo y la pruebas como condición de empleo.171
Los empleados del sector público de los Estados Unidos de América están protegidos
por varias leyes. La Cuarta Enmienda se aplica no sólo a los funcionarios encargados de
hacer cumplir las leyes, sino también a los funcionarios gubernamentales y también a
los empleados. El derecho constitucional a la privacidad de la información, reconocida
en Whalen contra Roe,172 puede proteger a los empleados ante la revelación por parte
del empleador de su información personal. Otras leyes que podrían proteger la
privacidad de empleados públicos incluyen las disposiciones constitucionales
pertinentes, leyes federales y estatales sobre interceptación, la Ley de los
Estadounidenses con Discapacidades (ADA, en inglés), la Ley Federal de Privacidad, y
las demandas por agravios, en el derecho anglosajón, a la privacidad. Además,
dependiendo del tipo de contrato laboral que gobierne el acuerdo laboral, los
empleados públicos pueden tener derecho a recurso amparándose en las
compensaciones contractuales. Sin embargo, la mayoría de los acuerdos laborales son
168
Protección de los datos personales de los trabajadores, supra.
Id.
170
Los empleados que no cuenten con interés posesorio en el centro laboral no pueden tener una
expectativa razonable de privacidad en dicho lugar. Ver p.ej. Hall contra el Estado, 258 Ga. App. 502,
574
S.E.2d
610
(2002)
(Disponible
en
inglés
en
<http://www.lexisone.com/lx1/caselaw/freecaselaw?action=OCLGetCaseDetail&format=FULL&sourceI
D=bdjgjj&searchTerm=ehiS.hHEa.aadj.eeid&searchFlag=y&l1loc=FCLOW>); McInnis contra el
Estado,
657
S.W.2d
113
(Tex.
Crim.
App.
1983).
Disponible
en
<http://174.123.24.242/leagle/xmlResult.aspx?xmldoc=1983770657SW2d113_1758.xml&docbase=CSL
WAR1-1950-1985>.
171
Una investigación realizada por la American Management Association (AMA) halló que entre los
empleadores incursos en monitoreo y vigilancia, la gran mayoría informa a sus empleados que el uso de
páginas web, correo electrónico, y golpes de teclado están siendo rastreados. AMA "2006 Workplace EMail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-Mail, IM & Blog Violators."
("2006 Investigación en el Centro Laboral sobre Correo Electrónico, Mensajería Instantánea y Blogs: Los
Jefes combaten el Riesgo Despidiendo a los transgresores del Correo Electrónico, la Mensajería
Instantánea y los Blogs"), disponible en <http://press.amanet.org/press-releases/28/2006-workplace-email-instant-messaging-blog-survey-bosses-battle-risk-by-firing-e-mail-im-blog-violators/>.
172
Whalen
contra
Roe
429
U.S.
589
(1977).
Disponible
en
inglés
en
<http://supreme.justia.com/us/429/589/case.html>.
169
50
considerados "a voluntad," lo que significa que los empleados pueden ser despedidos
por cualquier razón o por ninguna, siempre que se les dé el aviso con la anticipación
debida. Una excepción a esta regla general es que el empleado no puede ser despedido
por una razón que viole normas de orden público, tal como por no cumplir con un
procedimiento invasivo de la privacidad. En caso que esto ocurra, los empleados pueden
presentar una demanda judicial por despido injusto en violación de normas de orden
público. Los trabajadores del sector privado de los Estados Unidos de América tienen algunas,
pero no todas las protecciones proporcionadas a los empleados del sector público. La
Cuarta Enmienda y muchas constituciones estatales no se aplican a los trabajadores
privados. Sin embargo, las leyes federales de interceptación se aplican tanto a los
empleados públicos como a los privados. Los trabajadores del sector privado pueden a
su vez entablar un recurso por invasiones a la privacidad al amparo de la Ley de los
Estadounidense con Discapacidades (ADA), violaciones a las teorías del contrato y
daños a la privacidad.
A nivel internacional, las regulaciones que gobiernan la compilación y el uso de los
datos personales de los empleados varían significativamente. En los países europeos, la
recolección y el procesamiento de la información personal está protegida por las
Directivas de Protección de Datos y de Privacidad de la Telecomunicaciones de la
UE.173 Sin embargo, esa última Directiva dispone la confidencialidad de las
comunicaciones para sistemas "públicos" y por tanto no cubriría los sistemas en manos
de privados en el lugar de trabajo.174 Sin embargo, los principios colocados en estas
directivas son de alcance general y su aplicación a problemas de privacidad en el centro
laboral no son siempre claros.
No obstante, muchos países europeos tienen sólidos códigos laborales y leyes sobre
privacidad que directa o indirectamente prohíben o restringen este tipo de vigilancia.175
Las Constituciones de Bélgica, Finlandia, Alemania, Grecia, los Países Bajos y España
contienen un derecho general a la protección de la privacidad en la vida privada.
Dinamarca y Suecia cuentan con derechos constitucionales explícitos a la protección de
la privacidad relativa al tratamiento electrónico de datos.176 En Finlandia, una nueva ley
sobre Protección de Datos en la Vida Laboral entró en vigor en octubre de 2004. La
nueva ley incluye la prohibición de pruebas rutinarias sobre consumo de drogas,
restricciones al derecho a la video vigilancia y la garantía de privacidad limitada con
relación a los correos electrónicos para los trabajadores.177 Bélgica cuenta con un
convenio colectivo que protege la privacidad en línea de los empleados.178 En junio de
173
Vea "Data Protection at Work: Commission Proposes New EU Framework to European Social
Partners," European Commission (2002)
174
Directiva relativa al Tratamiento de Datos Personales y a la Protección de la Intimidad en el Sector de
las Telecomunicaciones (Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de diciembre
de
1997),
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0008:ES:PDF>.
175
Para un resumen de los países europeos y de sus marcos legales para la protección de la privacidad de
los empleados, diríjase a Catherine Delbar, et al, "New technology and respect for privacy at the
workplace," ("Nuevas tecnologías y respeto a la privacidad en el centro laboral") 2003, disponible en
<http://www.eurofound.europa.eu/eiro/2003/07/study/tn0307101s.htm>.
176
Id.
177
European Industrial Relations Observatory On-line (EIRO), "New rules on workplace privacy come
into
force,"
15
de
febrero
de
2005,
<http://www.eurofound.europa.eu/eiro/2005/02/inbrief/fi0502201n.htm>.
178
Delbar, "New technology and respect for privacy at the workplace," supra.
51 2005, el Comisionado de Privacidad del Reino Unido publicó el “The Employment
Practices Data Protection Code," ("Código de Prácticas de Protección de Datos en el
Puesto de Trabajo"), una guía práctica para las relaciones empleador-empleado.179 Una
disposición significativa exige que cualquier registro de enfermedades y accidentes, que
detalle la causa médica de cualquier ausencia, sea mantenida separada de los registros
médicos que no revelan condiciones médicas.180
En mayo de 2002, el Grupo sobre Protección de Datos del Artículo 29 de la Unión
Europea emitió un documento de trabajo sobre monitoreo y vigilancia de
comunicaciones electrónicas en el centro laboral. El documento fija principios que los
empleadores deben tomar en cuenta cuando estén tratando datos personales de los
trabajadores. Estos principios incluyen: finalidad (los datos deben ser recolectados para
un propósito legitimo y especifico); transparencia (los trabajadores deben saber que
datos sobre ellos están colectando los empleadores); y seguridad (el empleador debe
implementar las medidas de seguridad en el lugar de trabajo para garantizar la seguridad
de los datos personales de los trabajadores).181 Actualmente tanto la Organización
Internacional del Trabajo (OIT) y el Consejo de Europa han establecido guías
específicas que establecen la protección de datos en las relaciones de empleo.182
Además, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea
se refiere a la protección de datos personales, y los Artículos 21, 26 y 31 contienen
disposiciones pertinentes a la protección de los datos privados de los empleados.183
En algunas partes del mundo las disfunciones dentro de los sistemas legales, o un
inadecuado Estado de derecho han llevado a un desconocimiento de los derechos
fundamentales de los empleados. Ejemplos de ello incluyen a Cisjordania y la Franja de
Gaza,184 África Subsahariana185 y China.186 Tailandia también ha estado bajo fuego por
vigilar fuertemente el uso de Internet de sus ciudadanos.187
179
Comisionado de Protección de Datos, Código de Practicas en el Puesto de Trabajo, junio de 2005.
Id.
181
Grupo de Trabajo sobre Protección de Datos del Artículo 29, Documento de trabajo relativo a la
vigilancia de las comunicaciones electrónicas en el lugar de trabajo, 5401/01/ES/Final WP 55, 29 de
mayo
de
2002,
disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp55_es.pdf>.
182
"La Protección de Datos en el Trabajo: la Comisión Propone un Nuevo Marco Comunitario a los
Interlocutores
Sociales
Europeos,"
disponible
en
<http://europa.eu/rapid/pressReleasesAction.do?reference=IP/02/1593&format=HTML&aged=1&langua
ge=ES&guiLanguage=en>.
183
Id.
184
ILO, "The situation of workers of the occupied Arab territories," 2007, disponible en
<http://www.ilo.org/public/english/standards/relm/ilc/ilc96/pdf/rep-i-a-ax.pdf>.
185
Vea en general OIT, "The Decent Work Agenda in Africa: 2007-2015," ("La Agenda de Trabajo
Decente en Africa: 2007-2015" Abril de 2007, disponible en <http://www.ilo.org/wcmsp5/groups/public/--dgreports/---dcomm/---webdev/documents/publication/wcms_082282.pdf> (donde
se debate la
necesidad de erradicar el trabajo infantil previo a la implementación de las normas laborales).
186
El Proyecto Escudo Dorado (Golden Shield Project) de China pretende crear una red de vigilancia a
nivel integral, complementada con reconocimiento vocal y facial, sistema de Circuito Cerrado de
Televisión (CCTV), tarjetas inteligentes, y tecnología de vigilancia de Internet. Este proyecto afectará
todos los aspectos de la vida de un ciudadano. Vea Clive Thompson, "Google's China Problem (and
China's Google Problem)," ("El Problema de China para Google (y el Problema de Google para China")
N.Y. Times, 23 de abril de 2006.
187
"Thailand: Military-Backed Government Censors Internet," Human Rights Watch, 24 de mayo de
2007, disponible en <http://www.hrw.org/en/news/2007/05/22/thailand-military-backed-governmentcensors-internet>.
180
52 Vigilancia en el Centro Laboral
Los empleadores están optando cada vez más por la video vigilancia para monitorear las
actividades de sus trabajadores. Al responder la pregunta de si es permisible el uso de la
video vigilancia por parte de un empleador, las cortes de los Estados Unidos de
América han examinado las expectativas de privacidad de los empleados en el área que
está siendo monitoreada, así como han considerado cualquier ley o regulación aplicable
que gobierne tal registro. Las cortes federales han sostenido casi unánimemente que la
video vigilancia sin audio no está prohibida por el Título I de la Ley de Privacidad de
las Comunicaciones Electrónicas (ECPA) de 1986.188 Pero que la video vigilancia que
incluya la capacidad de registrar las conversaciones violaría el Titulo I. La video
vigilancia silenciosa está sujeta a las protecciones de la Cuarta Enmienda ante registros
excesivos, pero al menos un tribunal ha sostenido que la Cuarta Enmienda es sólo
aplicable si un empleado tiene una expectativa razonable de privacidad en el área que
está vigilada.189 Si los empleados no tienen una expectativa razonable de privacidad en
el área bajo observación – tal como en un área de casilleros que puede ser vista por
cualquiera que ingrese – la Cuarta Enmienda no está siendo transgredida, sin importar la
naturaleza del registro.
A nivel internacional, la video vigilancia es utilizada en forma generalizada por distintas
razones. Australia gasta mucho más dinero per cápita que otras naciones
industrializadas en equipos de video vigilancia.190 Su Ley de Video Vigilancia en el
Centro Laboral de 1998 regula el uso de videocámaras. Una modificación a la Ley se
aprobó en el 2005, para ampliar el alcance de la ley e incluir la vigilancia por correo
electrónico, Internet y dispositivos de rastreo.191 La video vigilancia se justifica como
medida de seguridad para disuadir el robo, vandalismo u otras intrusiones no
autorizadas, y para monitorear el cumplimiento de los empleados de los procedimientos
sanitarios y de seguridad, así como el desempeño en general. Sin embargo, el Estado de
Victoria en Australia aprobó una ley para frenar la video vigilancia de parte de los
empleadores, prohibiendo la vigilancia en lavatorios, baños y vestuarios.192 De manera
similar la Agencia de Protección de Datos de Irlanda emitió guías no vinculantes
prohibiendo el uso de Circuito Cerrado de Televisión (CCTV) en lavatorios.193
La vigilancia del lugar de trabajo en Nueva Zelanda es preeminente, y de acuerdo a un
informe emitido por la Oficina del Comisionado de Privacidad a menudo ocurre más
allá del alcance de la ley debido a la desregulación del mercado laboral.194 La actual
política en Nueva Zelanda, es permitir negociaciones respecto de la vigilancia de los
lugares de trabajo en respeto a acuerdos laborales entre empleadores y empleados en
vez de establecer una legislación que regule tales actividades, aunque la ley de empleo y
188
18 U.S.C. §§ 2510-2522.
Thompson contra Johnson County Community College, 930 F. Supp. 501 (D. Kan. 1996).
190
"Report 98, Surveillance: an interim report," Law Reform Commission Publications (2001)
<http://www.lawlink.nsw.gov.au/lrc.nsf/pages/r98chp07>.
191
Workplace
Surveillance
Bill
2005
(NSW),
disponible
en
<http://www.parliament.nsw.gov.au/prod/parlment/NSWBills.nsf/0/941266A03EB10718CA256FF60024
2EDB>.
192
"Bosses Face New Privacy Laws in Toilets," The Age, 1 de Julio de 2007.
193
Irish Data Protection Commissioner, "Use of CCTV in Business Premises, Including Toilet Areas,"
Disponible en <http://www.dataprotection.ie/viewdoc.asp?DocID=410&m=f> [visitado en 2007]
194
"Workplace Monitoring, Surveillance "Common,'" News From the Office of The Privacy
Commissioner,
Issue
No.
30,
Ene
–
Feb.
1999.
Disponible
en
<http://web.archive.org/web/20071011181749/http://www.knowledgebasket.co.nz/privacy/semployf.html>.
189
53 los términos contractuales empleados de una oferta justa ofrecen a los empleados
algunas protecciones. Los empleadores en Nueva Zelanda tienen derecho a dar pasos
razonables para monitorear el desempeño de los trabajadores, para salvaguardar las
condiciones de trabajo, y para asegurar su posición en el mercado. A los empleados, a
su turno, se les da generalmente protecciones para salvaguardar su persona, propiedad y
conversaciones privadas y creencias, y están provistos con las facultades necesarias para
enmendar hechos irrelevantes, imprecisos o incompletos que se consideren en las
decisiones laborales.
Los biométricos han sido introducidos en los centros laborales en Nueva Zelanda con
pocos problemas. En un caso, la New Zealand Engineering Printing and Manufacturing
Union se quejó al Comisionado de Privacidad sobre la introducción, por parte de una
compañía, de tecnología de escaneo de dedos para controlar el tiempo. El Comisionado
de Privacidad se formó la opinión de que la recolección de información personal de los
empleados por este medio era tanto legal como necesaria en términos de los principios
de privacidad de la información.195 Sin embargo, la introducción de tecnología de
escaneo de dedos podría ser ilegal en circunstancias en las que el empleador viole
disposiciones contractuales o reglamentarias que implican la consulta a los empleados
involucrados.196
Monitoreo del Desempeño
El monitoreo automatizado se ha vuelto cada vez más común en los últimos años.
Incluso en centros laborales con personal altamente especializado en tecnología de la
información, los empleadores reclaman el derecho de espiar cada detalle del desempeño
de un trabajador. Los modernos sistemas de redes pueden interrogar a las computadoras
para determinar qué tipo de software está siendo utilizado, cuan a menudo y de qué
manera. Un seguimiento auditado general da a los administradores un perfil de cada
usuario, un panorama de cómo están interactuando los trabajadores con sus máquinas.
Los programas de software pueden también dar a los administradores control total
central de la PC de un individuo. Un administrador puede ahora remotamente modificar
o suspender programas en cualquier máquina, mientras que al mismo tiempo lee y
analiza el tráfico de correos electrónicos y la actividad en Internet. Un informe reciente
de la American Management Association (Asociación Estadounidense de
Administración) encontró que casi ochenta por ciento de las más grandes compañías de
los Estados Unidos de América monitorean a los empleados en el trabajo por medio de
la revisión de sus comunicaciones tales como conversaciones telefónicas, archivos de
computadora, correos electrónicos y conexiones de Internet o mediante el uso de video
vigilancia para evaluación del desempeño y con propósitos de seguridad.197
Los chips de identificadores por radiofrecuencia (RFID) pueden ser implementados para
rastrear la ubicación de los empleados.198 En Suecia, los trabajadores mineros portan
chips RFID en sus uniformes. En caso de accidentes, el chip informará sobre la
ubicación del minero a los equipos de rescate. En Japón, los empleadores utilizan los
chips para monitorear el desempeño de los empleados. En la Ciudad de México,
dieciocho funcionarios gubernamentales recibieron implantes con identificadores por
195
Case Note 33623 [2003] NZPrivCmr 5.
OCS Limited contra Service and Food Workers Union Nga Ringa Tota Inc., WN WC 15/06 (31 de
agosto de 2006].
197
American Management Association, "2005 Electronic Monitoring and Surveillance Study," 2005,
disponible en <http://www.epolicyinstitute.com/survey2005Summary.pdf>.
198
Vea VeriChip Corporation <http://www.positiveidcorp.com/index.html>.
196
54 radiofrecuencia (RFID) para acceder a áreas restringidas.199 Estambul aprobó
recientemente un contrato sobre RFID para instalar chips en sus vehículos
municipales.200 El Grupo de Trabajo sobre Protección de Datos del Artículo 29 de la
Unión Europea examinó el tema de los RFID en el centro laboral en un documento de
trabajo publicado en enero de 2005.201 El Grupo recomendó una mayor visibilidad para
los empleados y otros del chip RFID, un incremento en la seguridad de los datos
personales, así como el derecho de los empleados a corregir los datos almacenados.
Un empleador puede monitorear el nivel de uso de una computadora por medio de la
vigilancia de los golpes de teclado que un trabajador realiza. Muchas tecnologías están
disponibles para monitorear y analizar el desempeño de los trabajadores con tecnologías
de la información (IT). Algunas permiten a los administradores de redes observar la
pantalla de un empleado en tiempo real, explorar archivos de datos y correos
electrónicos, analizar el desempeño a partir de los golpes en el teclado, e incluso
sobrescribir contraseñas.202 Una vez que esta información es recolectada, puede ser
analizada por programas estándar de procesamiento para determinar el perfil de
desempeño del trabajador. Estos productos de monitoreo son vendidos a muy bajos
precios y se han infiltrado en el mercado. Estos programas de espionaje se han vuelto
populares no sólo entre empleadores sino en las fuerzas del orden, abogados
particulares, investigadores y amantes sospechosos.
En aquellos lugares en el que el personal tiene mayor movilidad, las compañías están
utilizando actualmente una variedad de tecnologías GPS para rastrear sus movimientos
geográficamente.203 Algunos hospitales en los Estados Unidos de América ahora
solicitan a las enfermeras que utilicen sus credenciales en sus uniformes de modo que
puedan ser ubicadas permanentemente.204 Los avances en esta área ahora permiten a las
compañías transportadoras colocar un mecanismo electrónico (descrito como un sistema
de comunicaciones móviles basado en satélites geoestacionarios)205 en los camiones los
cuales envían la información de retorno a una terminal central que tiene la ubicación
exacta del vehículo permanentemente. De esta manera, las compañías transportadoras
pueden garantizar que los vehículos no están tomando otras rutas ni desviaciones fuera
de la ruta prescrita. En China, un hombre presentó una demanda contra su empleador
por espiarlo por medio de la capacidad de rastreo GPS de su teléfono celular.206 En
Corea del Sur, los empleados han acusado a Samsung de rastrear sus movimientos por
medio del descifrado de las transmisiones de sus teléfonos celulares.207 Finalmente una
199
ILO, World of Work Magazine, "RFID and Surveillance in the Workplace," Abril 2007, páginas 1619.
200
"Istanbul Municipality Selects Alien RFID Solution," Digital Media Asia, 6 de junio de 2007.
201
Article 29, Data Protection Working Party, "Working document on data protection issues related to
RFID technology," Enero 2005.
202
Vea en general, Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006,
<https://www.privacyrights.org/fs/fs7-work.htm>.
203
Murray Singerman, GPS Invasion of Worker Privacy, 37 Jun. Md. B.J. 54 (Mayo/Junio 2004).
204
"Monitoring Shrinks Worker Privacy Sphere," Eric Auchard, Reuters, 29 de mayo de 2001.
205
"Bulkmatic Equips Fleet with OmniTRACS System," Qualcomm Nota de Prensa del 19 de diciembre
de 1996. Disponible en <http://www.qualcomm.com/news/releases/1996/12/19/bulkmatic-equips-fleetomnitracs-system>.
206
Raymond Li, "Firm accused of spying on worker," South China Post, 12 de mayo de 2007.
207
"Civic Groups to Select Worst Privacy Offenders for This Year," The Korea Times, 19 de noviembre
de 2005.
55 compañía israelí instalará chips de GPS en 3,500 buses con el fin de monitorear su
ubicación en tiempo real.208
Monitoreo Telefónico
La vigilancia telefónica se ha vuelto endémica en todo el sector público y privado. En
los Estados Unidos de América, los empleadores tienen una amplia libertad para
monitorear las llamadas de los empleados con "fines comerciales."209 Las compañías
están utilizando ampliamente la tecnología de análisis telefónico. A los trabajadores de
la central de llamadas de British Telecom se les presenta regularmente una hoja de
análisis general, mostrándoles su desempeño en relación a otros trabajadores. Los
trabajadores de reservaciones de las aerolíneas en los Estados Unidos de América y en
otras partes del mundo portan auriculares telefónicos que monitorean la duración y
contenido de las llamadas telefónicas, así como la duración de sus descansos para ir al
baño y para almorzar.210
En abril de 2007, el Tribunal Europeo de Derechos Humanos emitió una sentencia
vinculada al derecho a la privacidad de los empleados en la correspondencia enviada
desde su centro laboral. En el caso Copland contra el Reino Unido, el Tribunal
determinó que el monitoreo del teléfono, correo electrónico o de Internet de un
empleado público, obstaculiza el derecho a la privacidad garantizado por el Artículo 8
del Convenio Europeo de Derechos Humanos.211 El Artículo 8 estipula que "todos
tienen derecho al respeto a su vida privada individual y familiar, la de su hogar y de su
correspondencia." La sentencia prohíbe la vigilancia de las comunicaciones privadas en
el centro laboral si no existe base jurídica para tal monitoreo.
Monitoreo del Correo Electrónico, el Uso de Internet y de Blogs
2 12
Las computadoras y las redes son particularmente propicias para la vigilancia. En el
2005 el American Management Association halló que el 76% de los empleadores
monitoreaba el uso de Internet, y 55% retenía y revisaba los mensajes de correo
electrónico de sus empleados.213 Estos porcentajes obviamente crecen radicalmente
cuando se hacen verificaciones al azar de vigilancia. Los empleadores pueden
monitorear los mensajes de correo electrónico por medio de una revisión aleatoria de
transmisiones de correo electrónico, o al revisar específicamente las transmisiones de
208
Ran Rimon, "3,500 Egged Buses to Get GPS," Financial Times Information Ltd., 15 de noviembre de
2006.
209
Al amparo de la ley federal, los empleadores pueden monitorear las llamadas no previstas de los
empleados, pero una vez se percate que la llamada es de naturaleza personal, el monitoreo debe detenerse.
Watkins v. L.M. Berry & Co., 704 F.2d 577, 583 (11th Cir. 1983).
210
Laura Pincus Hartman, "The Economic and Ethical Implications of New Technology on Privacy in the
Workplace," Business and Society Review, 22 de marzo de 1999.
211
Copland
v.
United
Kingdom,
[2007]
ECHR
253,disponible
en
<http://www.bailii.org/eu/cases/ECHR/2007/253.html>.
212
Para un vistazo general de la prevalencia del monitoreo de las computadores, el uso de Internet, y del
uso del correo electrónico en los Estados Unidos de América, vea Oficina General de Contabilidad de los
Estados Unidos de América, Privacidad de los Empleados: Monitoreo del Uso de Computadoras y
Políticas de Compañías Seleccionadas (Computer-Use Monitoring and Policies of Selected Companies)
(2002).
213
AMA, "2005 Estudio de Monitoreo y Vigilancia Electrónica," supra. Además, en el 2001 la Privacy
Foundation encontró que catorce millones de empleados en los Estados Unidos de América estaban
sujetos a esta clase de vigilancia de modo permanente. Vea Privacy Foundation, "El Alcance del
Sistemático Monitoreo del Uso del Correo Electrónico y de Internet, 9 de julio de 2001.
<http://www.sonic.net/~undoc/extent.htm>.
56 ciertos empleados, o por medio de la selección de términos clave para marcar los
correos electrónicos. En el último caso, un software analiza el tráfico completo de
correos electrónicos frase por frase y obtiene conclusiones de si un mensaje es o no de
naturaleza comercial legítima de la compañía. Éste puede ser programado para buscar
palabras clave específicas y frases "perjudiciales". Algunos programas pueden incluso
utilizar algoritmos para analizar patrones de comunicaciones y convertirlas en
imágenes. Los monitores pueden entonces ver las imágenes para seguir los patrones de
tráfico y detectar si datos sensibles están o no en riesgo.
Muchos empleadores confían en el software de monitoreo remoto de mensajes de correo
electrónico. Con unas cuantas pulsaciones en su teclado pueden ver cada correo
electrónico que los empleados envían o reciben y determinar si son "legítimos" o no.
Los administradores dan una serie de razones para instalar tal software. Algunos dicen
que es para proteger los secretos comerciales o prevenir incidentes de acoso sexual.
Otros quieren impedir mensajes sobredimensionados que atoren las redes y que utilicen
demasiado ancho de banda. Otros simplemente no desean que los empleados
"malgasten" el tiempo en la compañía utilizando sus sistemas para actividades
personales. En un mundo ideal, este monitoreo seguiría el formato convencional, p. ej.,
idéntico al control de calidad que se ha aplicado a la correspondencia enviada afuera
con el membrete de la compañía. Sin embargo, la velocidad y la eficacia del correo
electrónico significan que la comunicación digital involucra una vasta intersección con
la correspondencia personal. Éste incluso tiene características más en común con un
memorando interno, para el cual siempre ha habido menos monitoreo y gestión.214
En Nueva Zelanda, se acepta que los empleadores puedan monitorear el uso de Internet
y despedir a empleados por mal uso del mismo,215 y tal mal uso podría incluso tener
implicancias penales.216 En el lado opuesto, Francia ha establecido políticas estrictas
que protegen la privacidad del uso de correo electrónico de los empleados. La Corte
Suprema de Francia sostuvo que los empleadores no tiene el derecho de abrir ningún
mensaje de sus empleados. La Corte dictaminó en un caso entre Nikon y un exempleado que la compañía no tiene el derecho automático para buscar en la bandeja de
entrada de un correo electrónico.217
En los Estados Unidos de América, pocas leyes regulan el monitoreo del correo
electrónico y del uso de Internet de los empleados. Los tribunales en general fallan a
favor del monitoreo del empleado.218 Sin embargo, [A1] hay una tendencia creciente
entre las compañías para despedir o demandar a los empleados por divulgar “secretos
comerciales” de la compañía o por difamar a la compañía en las salas de chat. Estos se
han venido a conocer como los casos "Juan Pérez" ("John Doe"). Debido a que la
mayoría de las personas se conecta a las salas de chat de manera anónima o utiliza un
sobrenombre, una vez que la compañía observa que cierto participante en una sala de
chat se involucra en lenguaje "inapropiado", estos pueden citar judicialmente a los
servicios de tablones de mensajes tales como Yahoo! o American Online, para obtener
214
Id.
Vea Bisson & Ors contra Air New Zealand Ltd., CA 98/06 [3 July 2006] P. Montgomery
(investigando la identidad de los empleados que accedieron a sitios pornográficos cuando todos los
empleados compartían información de usuarios); Cliff & Groom v. Air New Zealand Ltd., AC 47/06
[23 de agosto de 2006] Shaw J. (mantener esos datos alegando que el mal uso de Internet puede en vez de
ello ser el resultado de avisos emergentes y otros accesos no manuales).
216
Vea "Man convicted of theft for internet use at work," Northern Advocate, 22 de agosto de 2006.
217
Nikon v. Onof, Decision No. 4164, 2 octubre, 2001 (99-42.942).
218
Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006, supra.
215
57 la identidad de un participante específico. Los proveedores de servicios a menudo se
niegan a entregar información de identificación cuando se presenta un requerimiento sin
ninguna notificación a la persona. El número de estos casos está creciendo rápidamente
y amenaza no sólo la privacidad de los empleados sino también sus derechos al
anonimato y a la libertad de expresión.219
A medida que crece la blogósfera, la conjunción entre "bloguear" en el trabajo y
"bloguear" se hace oscura.220 En los Estados Unidos de América, los empleados creen
erróneamente que la Primera Enmienda les otorga el derecho a publicar libremente sus
ideas en páginas web personales.221 Sin embargo, la Primera Enmienda no protege a los
empleados en compañías privadas en los casos de uso a voluntad.222 La falta de una
guía legal ha forzado a algunos empleadores a despedir empleados "blogueros" por
publicaciones de naturaleza no laboral en sus blogs (bitácoras) personales, por miedo a
que dichos empleados puedan revelar información confidencial o hablar mal, en línea,
de la compañía.223 Otros empleadores, en cambio, prohíben completamente, a su
personal, el uso de blogs o adoptan guías para "bloguear".224 Actualmente, los
empleados despedidos por blogueros no tienen derecho a indemnizaciones legales.225
Aunque estos casos son más prevalentes en los Estados Unidos de América, en el 2006,
una expatriada británica que vive en Francia también fue despedida por ser la autora de
un blog personal anónimo. Una corte francesa falló a su favor.226 Ella, es la segunda
ciudadana británica despedida por "bloguear".227
La popularidad de los sitios de redes sociales ha distorsionado más la línea entre el
centro laboral y la persona en privado. En los Estados Unidos de América, los
empleadores ahora verifican los perfiles en línea de los candidatos en los sitios de redes
sociales antes de alcanzarles una oferta de empleo.228 Las fotos que muestran a un
empleado potencial involucrado en actividades personales tales como consumo de
219
Actualmente existen casos pendientes sobre este tema que incluyen a Swiger contra Allegheny
Energy, Inc., 2007 U.S. Dist. LEXIS 8610 (E.D. Pa. 4 de abril de 2007) (refutando el uso de una citación
por parte de la compañía para determinar la identidad de un empleado participante en un tablon de
mensajes, y despedir posteriormente al empleado al descubrir su identidad) y H.B. Fuller Co. contra Doe,
2007 Cal. App. LEXIS 894 (Sup. Ct. of Santa Clara Cty., 31 de mayo de, 2007) (intentando descubrir la
identidad de un mensaje anónimo de un participante en un tablón de mensajes basado solamente en los
hechos de la denuncia).
220
AMA, 2006 Workplace E-Mail, Instant Messaging, & Blog Survey: Bosses Battle Risk by Firing EMail, IM, & Blog Violators, 11 de Julio de 2006, ("2006 Investigación en el Centro Laboral sobre Correo
Electrónico, Mensajería Instantánea y Blogs: Los Jefes combaten el Riesgo Despidiendo a los
transgresores del Correo Electrónico, la Mensajería Instantánea y los Blogs"), disponible en
<http://press.amanet.org/press-releases/28/2006-workplace-e-mail-instant-messaging-blog-survey-bossesbattle-risk-by-firing-e-mail-im-blog-violators/>.
221
Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de
2005 <https://www.eff.org/wp/blog-safely>.
222
Id.
223
Todd Wallack, "Beware if your blog is related to work," San Francisco Chronicle, 24 de enero de
2005.
224
IBM, Blogging guidelines <http://www.ibm.com/blogs/zz/en/guidelines.html>.
225
Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de
2005, supra.
226
Bobbie Johnson, "Briton sacked for writing Paris blog wins tribunal case," Guardian International, 30
de marzo de 2007.
227
Angela Doland, "Sacre blog! Fired gossip sues in Paris," Chicago Tribune, 21 de Julio de 2006.
228
Alan Finder, "For Some, Online Persona Undermines a Resume," N.Y. Times, 11 de junio de 2006.
58 drogas, alcohol o proezas sexuales pueden dañar las posibilidades futuras de dicho
candidato.229
Pruebas de Consumo de Drogas
Actualmente se está produciendo una creciente cantidad de pruebas de consumo de
drogas en muchos países. El número de las compañías que están utilizando ésta prueba
ha crecido en proporción al decrecimiento del costo de la prueba. Para muchos
empleados, la prueba de consumo de drogas es ahora una parte común de la vida
laboral. Las compañías rutinariamente administran las pruebas en la etapa de
reclutamiento o en periodos intermitentes durante la jornada, aún cuando no hay
evidencia de mala conducta, bajo rendimiento o cualquier otra razón que haga sospechar
uso de drogas. Existen miles de equipos fáciles de usar, disponibles en el mercado
actualmente, los cuales pueden detectar trazos de droga en minutos sin la necesidad de
un laboratorio. La mayoría de estas pruebas analizan las muestras de cabello u orina
para detectar trazos de drogas tales como anfetaminas, marihuana, cocaína, opiáceas y
meta anfetaminas.
A nivel internacional, el uso y las justificaciones para el uso de pruebas de consumo de
droga en lugares de trabajo varían de un país a otro. En los países europeos, uno de los
argumentos más frecuentemente utilizados para las pruebas de consumo de drogas en
lugares de trabajo y uno de los menos controversiales es que la prueba es un medio para
garantizar la seguridad de los empleados. En Francia, Noruega y los Países Bajos, sólo
los trabajadores en puestos tradicionalmente sensibles de seguridad, o aquellas
posiciones que incluyan acceso a materiales peligrosos o información clasificada, están
sujetos a la prueba en cualquiera de sus formas.230 Correspondientemente hay menos
pruebas y más restricciones legales en estos países. En los Países Bajos, la aplicación de
la prueba antes de contratar a alguien es ilegal, y en Francia sólo el médico ocupacional
puede decidir conducir pruebas de consumo de drogas, más no el empleador.231 Por otro
lado, las pruebas de consumo de drogas en el centro laboral son moneda común en las
compañías británicas y suecas, en donde los trabajadores con todo tipo de
responsabilidades pasan la prueba con el fin de garantizar la "seguridad del negocio."232
Un tema principal de ética generado por la prueba de consumo de droga es que tal
proceso equivale a una injustificada invasión de la privacidad. La mayoría de las guías
para la prueba de consumo de droga en centros laborales, tales como los Principios
Guías en las Pruebas de Drogas y Alcohol de la OIT 1996, requieren que el
consentimiento informado del trabajador sea obtenido antes de administrar la prueba.
Los opositores a la prueba, tales como la Comisión Federal Alemana de Protección de
Datos y el Comisionado Suizo de Protección de Datos, argumentan que debido a que los
trabajadores son dependientes de sus empleadores, un consentimiento significativo para
una prueba de consumo de drogas en el centro laboral no es posible.233 Esta política no
es seguida en algunos países. En el Reino Unido, la falta de cumplimiento del
229
Para mayor información sobre redes sociales y sus implicaciones en la privacidad, vea la sección de
Redes Sociales de Privacy and Human Rights.
230
Behrouz Shahandeh & Joannah Caborn, "Ethical Issues in Workplace Drug Testing in Europe,"
SafeWork: ILO Geneva (febrero, 2003) <http://www.ilo.org/safework/lang--en/index.htm>.
231
Id.
232
Id.
233
Id.
59 requerimiento para la prueba de consumo de drogas que este incluido en un acuerdo
laboral puede ser interpretada como una infracción disciplinaria.234
Algunas constituciones europeas, por ejemplo la de Bélgica y Finlandia, sostienen que
los derechos fundamentales tales como el derecho a la privacidad son indivisibles y que
un individuo no puede consentir prescindir de estos derechos.235 Los temas de
privacidad implícitos en la esfera de la prueba para consumo de drogas en el lugar de
trabajo se hallan dentro de las grandes preocupaciones sobre protección de datos. Los
procesos de la prueba implican la recolección de datos sensibles tanto en el uso de
drogas como de medicación tomada, la cual puede influir en los resultados de la prueba.
La recolección y el almacenamiento de tal información está por tanto, no sólo sujeta a
un estricto control en muchos países europeos, sino también sujeta a normas europeas
tales como las Directivas de Protección de Datos y Privacidad de las
Telecomunicaciones de la UE y el Código de Práctica sobre la Protección de los Datos
Personales de los Trabajadores de la OIT 1996.236 En algunos países europeos, la
tensión entre la necesidad de una seguridad en el lugar de trabajo y la protección de la
información personal se resuelve reforzando el rol del médico ocupacional. En
Finlandia, Francia, Bélgica, Alemania y Austria, los resultados de las pruebas de drogas
son comunicados al médico ocupacional, no al empleador. El doctor es el único
autorizado a informar al empleador si la persona es adecuada o no para el trabajo; no
que resultados reveló la prueba de drogas.
Las pruebas de consumo de drogas son imprecisas y pueden a menudo conducir a
resultados falsos y engañosos. [A3] Pruebas altamente sensibles pueden ser positivas
incluso cuando la droga buscada no está presente. Algunos afirman que resultados
positivos pueden ser producto de un remanente después de prueba positiva fuerte
realizada anteriormente o de errores humanos, tales como contaminación debido a una
deficiente limpieza del equipo.237 Otros resaltan que ciertas sustancias legales pueden
también producir resultados positivos de consumo de drogas ilegales. Por ejemplo, ha
habido informes de que el uso de inhaladores Vick producen resultados positivos para
pruebas de anfetaminas y meta anfetaminas, medicinas antiinflamatorias comunes como
el Ibuprofeno han resultado en resultados positivos de consumo de marihuana, e incluso
trazos de morfina han sido detectados como semillas de amapola.238
Otros temas que plantean preocupaciones de privacidad en los centros laborales son los
requerimientos de los empleadores para que los trabajadores completen pruebas
médicas, cuestionarios y pruebas poligráficas. En los Estados Unidos de América, el
uso de pruebas de polígrafos por parte de los empleadores ha sido limitado por normas
federales. El Congreso aprobó la Ley de Protección Poligráfica del Empleado
(EPPA),239 la cual hace ilegal para los empleadores del sector privado el solicitar a
actuales o futuros trabajadores el pasar una prueba de detector de mentiras. La norma
exceptúa a los empleados públicos en los niveles federal, estatal y local. Sin embargo,
existen algunas pocas excepciones a la EPPA. Por ejemplo, los empleadores puedes
234
Id.
Id.
236
Id.
237
John P. Morgan, "Problems of Mass Urine Screening for Misused Drugs," Journal of Psychoactive
Drugs. Volume 16(4) 305-317 (1984).
238
National Academy of Sciences, "Under the Influence? Drugs and the American Work Force," 1994.
Vea también ACLU, "Drug Testing: A Bad Investment," septiembre 1999, disponible en
<http://www.aclu.org/drug-law-reform/drug-testing-bad-investment>.
239
29 U.S.C. §§ 2001-2009.
235
60
usar polígrafos como parte de una investigación en marcha que involucre pérdidas
económicas o daños al negocio del empleador y los empleadores que proporcionan
servicios de seguridad están exceptuados.
A nivel internacional, existen pocas leyes de privacidad en centros laborales que
específicamente traten el uso de polígrafos en el contexto laboral. En Europa, pruebas
de honradez a través de medios mecánicos, tales como polígrafos o analizadores de
acentos de voz, o por medio de cuestionarios que se esfuerzan en evaluar la actitud del
trabajador frente a la honestidad, no están expresamente reguladas.240 En otros lugares,
las pruebas mecánicas de honestidad están prohibidas por reglamento como en el
territorio canadiense de New Brunswick y Ontario y también están prohibidas en el
estado australiano de Nueva Gales del Sur.241
En Hong Kong, la Corte Distrital les concedió a tres hombres pagos por daños después
que la Comisión de Igualdad de Oportunidades concluyera que habían sido despedidos
por tener una predisposición genética a la esquizofrenia.242 La Cámara de
Representantes de los Estados Unidos de América aprobó recientemente una Ley de No
Discriminación por Información Genética, con el objeto de prohibir a los empleadores y
a las compañías de seguros discriminar basados en la genética.243 El proyecto de ley
ahora se halla en el Senado. Varios países europeos han introducido también la
prohibición a las compañías de seguros de utilizar pruebas genéticas predictivas para
decidir las primas. Zimbabwe, Rumania y las Bahamas prohíben pruebas obligatorias de
HIV en el contexto laboral.244
Muchos empleadores africanos conducen evaluaciones de salud previas a la
contratación de empleados que incluyen pruebas de HIV.245 Los países del Occidente
Africano como Kenya y Tanzania prohíben por ley la evaluación de HIV, pero Uganda
no cuenta con una ley equivalente.246 En el Oeste de África, Nigeria247 y Camerún248
han adoptado políticas dirigidas a tratar la epidemia de HIV al tiempo de proteger a los
empleados infectados de acciones discriminatorias.
240
Propuestas para la agenda de la 87ma Sesión (1999) de la Conferencia, ante el Organismo de Gobierno
de
la
OIT,
GB.267/2,
267ma
Sesión,
Geneva,
noviembre
1996
<http://www.ilo.org/public/english/standards/relm/gb/docs/gb267/gb-2.htm>.
241
Id.
242
"China Is Thwarted by Jobs Ruling: Hong Kong Judge's Decision on Gene Data Hailed as Civil Rights
Landmark", The Observer, 1 de octubre de 2000.
243
Genetic Information Non-Discrimination Act of 2007 (GINA), H.R. 493, 110th Cong. (2007).
244
"Equality at work: Tackling the challenge," OIT, 2007.
245
Center for Global Development, Does the Private Sector Care About AIDS?, 20 de enero de 2006,
disponible en <http://www.cgdev.org/content/publications/detail/5850>.
246
"Does the Private Sector in East Africa Care About AIDS?," The East African, 31 de enero de 2006.
247
Vea "FG approves workplace policy on HIV/AIDS," This Day, 13 de mayo de 2007.
248
Vea Zekeng L. et al., "Scaling-Up HIV/AIDS Prevention and Care in Cameroon: Lessons Learned by
the ational AIDS Control Committee (NACC)," International Conference on AIDS, July 11-15, 2004;
"Gov't Tackles HIV/Aids in the Workplace," Cameroon Tribune, 17 de enero de 2006.
61 Sitios de Redes Sociales y Comunidades
Virtuales
Las redes sociales son creaciones pre-tecnológicas que los sociólogos llevan analizando
décadas. Pero con el surgimiento de Internet, las redes sociales y las redes tecnológicas
se han vuelto indisolublemente ligadas, de modo que el comportamiento en las redes
sociales puede ser rastreado en una escala jamás vista anteriormente.249 Los sitios de
redes sociales tales como Facebook, MySpace y Orkut son herramientas, para usuarios
en línea, cada vez más populares de comunicación, entretenimiento y de generación de
vínculos, para subir, compartir y ver información, fotos y mensajes. Había, hasta el
2006, aproximadamente 200 sitios de redes sociales en Internet.250 En junio de 2007, los
seis más populares sitios de redes sociales atrajeron a un total de casi 274 millones de
visitantes a nivel global.251 Noventa por ciento de los ciudadanos de Corea del Sur entre
los veinticuatro y veintinueve años son miembros de un sitio web coreano,
www.cyworld.com.252 El número de usuarios brasileños de Orkut es del 56% del total
de usuarios, seguido por los Estados Unidos de América e India con 19% y 15%
respectivamente.253 El relacionamiento social se ha vuelto incluso en los sitios de redes
sociales en una plataforma de relacionamiento intercultural dado que los usuarios
individuales añaden a otros provenientes de todas partes del mundo.254
La privacidad es un tema central en el contexto de los servicios de redes sociales.
Algunos sitios de redes sociales se jactan de tener millones de miembros, pero existe
una desconexión entre la percepción sobre la privacidad que tienen los usuarios y
aquella que realmente se da en la práctica.255 La información que los usuarios divulgan
en los sitios de redes sociales, en realidad, nunca es privada. Mientras que más de la
mitad de los usuarios de sitios de redes sociales se preocupan de ser posibles víctimas
de delitos informáticos, éstos continúan sin embargo, publicando información que los
puede poner en riesgo.256 Los sitios de redes sociales hacen extremadamente fácil subir
distintas formas de información personal, entre ellas edad, información de contacto
(incluida dirección domiciliaria y números telefónicos), fotos, orientación sexual y
preferencias musicales.
249
Steve Lohr, "Computing, 2016: What Won’t Be Possible?" New York Times, 31 de octubre de 2006,
disponible
en
<http://www.nytimes.com/2006/10/31/science/31essa.html?ex=1319950800&en=64e41f3ff96acb9d&ei=
5088&partner=rssnyt&emc=rss>.
Vea
también
la
página
web
de
Jon
Kleinberg
<http://www.cs.cornell.edu/home/kleinber/>.
250
OnLine NewsHour: Report, Networking Sites Draw Youth, Ads, 27 de septiembre de 2006
<http://www.pbs.org/newshour/bb/media/july-dec06/facebook_09-27.html>.
251
"Major Social Networking Sites Substantially Expanded Their Global Visitor Base during Past Year,"
ComScore,
julio
2007
<http://www.comscore.com/Press_Events/Press_Releases/2007/07/Social_Networking_Goes_Global>.
252
Rachel Konrad, Korean social networking phenomenon aims to crack American market, 13 de agosto
de 2006 <http://www.usatoday.com/tech/news/2006-08-13-cyworld_x.htm>.
253
Wikipedia, Orkut <http://en.wikipedia.org/wiki/Orkut>.
254
Erick Schonfeld, Cyworld ready to attack MySpace, 27 de julio de 2006,
<http://money.cnn.com/2006/07/27/technology/cyworld0727.biz2/index.htm>.
255
Vea Bruce Schneier, "Facebook and Data Control," 21 de septiembre de 2006
<http://www.schneier.com/blog/archives/2006/09/facebook_and_da.html>.
256
"Social Networking Exposes You to Hackers and Identity Thieves," 2 de agosto de 2007
<http://www.essentialcomputersecurity.com/news/3/social-networking-exposes-you-to-hackers-identitytheives/>.
62
Algunos académicos expertos proponen que la falta de educación acerca de los riesgos
involucrados conduce a los usuarios a concluir que los beneficios de la socialización
superan los potenciales daños.257 Aunque los usuarios pueden sentir que tienen el
control sobre su información personal, en muchos casos el contenido subido por el
usuario en el sitio de redes sociales se convierte en propiedad del sitio.258 Los sitios de
redes sociales crean un repositorio de información personal, y a menudo los sitios no
educan adecuadamente a sus usuarios sobre los riesgos a la seguridad de su
información.259 Incluso si los sitios de redes sociales no proporcionan la información de
sus usuarios a terceras compañías, se presentan problemas de seguridad que dejan
vulnerables a los usuarios, y a menudo, sin saberlo. Aunque incluso pequeñas piezas de
información pueden parecer inocuas, cuando se combinan pueden ofrecer a los ladrones
de identidades un extremadamente alto índice de correlación de identidad. Por ejemplo,
combinaciones simples de fechas de nacimiento y códigos postales pueden ser
suficiente información para identificar adecuadamente a una persona y proporcionar la
base para la obtención de mayor información.
La información personal, una vez hecha pública en Internet, puede volverse en contra de
los usuarios posteriormente. Muchos grupos incluyendo colegios y padres preocupados
están alentando a los estudiantes a restringirse en la subida de información personal a
los sitios de redes sociales debido a que los encargados de seleccionar estudiantes para
las universidades y los empleadores están empezando a realizar "verificaciones de
personalidad" de los postulantes además de verificaciones de antecedentes penales.260
Los países difieren en su postura sobre las verificaciones de personalidad en línea.
Mientras que algunos países concluyen que no hay ningún tema legal inherente a la
investigación en línea sobre un empleado, otros países han establecido barreras legales
para impedir este tipo de actividades. En los Estados Unidos de América, la Corte de
Apelaciones del Circuito Federal de los Estados Unidos de América recientemente
dictaminó que el utilizar Google para investigar a un empleado no viola su "derecho
fundamental a la equidad."261 En contraposición Finlandia ha erigido fuertes
impedimentos legales que le niegan a los empleadores el derecho de realizar
investigaciones en línea de sus empleados o de potenciales empleados. Al amparo de la
Ley de Protección de la Privacidad en la Vida Laboral de Finlandia, un empleador
puede recolectar información sobre sus empleados o los postulantes a puestos de trabajo
principalmente de ellos mismos. Si "otras fuentes" son utilizadas, se debe obtener
primero el consentimiento del empleado.262 En un proceso, un hombre objetó que su
257
Vea en general Danah Boyd, "Identity Production in a Networked Culture: Why Youth Heart
MySpace," 19 de febrero de 2006 <http://www.danah.org/papers/AAAS2006.html>; "Social Network
Users
Have
Ruined
Their
Privacy,
Forever,"
2
de
agosto
de
2007
<http://hexus.net/tech/features/software/7499-social-network-users-ruined-privacy-forever/>;
Susan
Barnes, "A Privacy Paradox: Social Networking in the United States," disponible en
<http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1394/1312>.
258
Schneier, supra.
259
Jones and Soltren, "Facebook: Threats to Privacy," 14 de diciembre de 2005
<http://groups.csail.mit.edu/mac/classes/6.805/student-papers/fall05-papers/facebook.pdf>; see generally
Fernanda B. Viegas, "Digital Artifacts for Remembering and Storytelling," 2005 disponible en
<http://www.danah.org/papers/HICSS-37.pdf>.
260
Amy Hockert, "Employers Use "Facebook" and "MySpace" to Weed Out Applicants," 9 de septiembre
de 2006 <http://www.firstcoastnews.com/news/local/story.aspx?storyid=64453>.
261
Declan McCullagh, "Police Blotter: Fired Federal Worker Sues Over Googling," 9 de mayo de 2007
<http://news.cnet.com/2100-1030_3-6182333.html?part=rss&tag=2547-1_3-0-20&subj=news>.
262
"Don’t Google Job Applicants in Finland," 2 de agosto de 2007 <http://www.linksandlaw.com/newsupdate49-job-applicants-finland.htm>.
63
empleador había utilizado información en su perjuicio que él publicó en un grupo de
noticias cinco años atrás.263
Algunas universidades han expulsado a adolescentes por violar los códigos de conducta
después de descubrir fotos de estudiantes menores de edad posando delante de barriles o
porque habían escrito sobre borracheras.264 Los usuarios de sitios de redes sociales
también deben reconocer que una vez que algo aparece en Internet, es imposible
eliminarlo.265 El copiado y almacenamiento intermitente de páginas web realizado por
sitios como el Internet Archive’s Way Back Machine266 pueden hacer accesible la
información personal por años, incluso después de que el contenido relacionado haya
sido borrado de un sitio "activo".
Los usuarios jóvenes, en particular, están confundidos acerca de lo que es privado y de
lo que es público en Internet, y ello los vuelve gravemente vulnerables. Una reciente
investigación indica que el 36 por ciento de los padres no vigilan el uso de sitios de
redes sociales de sus hijos.267 Los jóvenes usuarios no sólo deben ser educados respecto
de los niveles apropiados de información para compartir, sino que también deben ser
cautelosos sobre a quienes añaden a sus perfiles. Aunque los sitios de redes sociales de
niños tales como el Club Penguin,268 puedan proveer un ambiente, en línea, seguro para
los niños, a los jóvenes se les debe necesariamente enseñar que el intercambio
indiscriminado de información personal es peligroso y deja a los usuarios vulnerables a
los correos comerciales no deseados (spam), al robo de identidad y al acoso de usuarios
desconocidos.269
Algunos académicos expertos sostienen que la privacidad es ampliamente valorada
entre los usuarios de los servicios de redes sociales.270 Este parece ser el caso cuando
casi tres cuartos de millón de usuarios protestaron contra las nuevas características
controversiales añadidas por Facebook en septiembre de 2006.271 Las "actualizaciones
de noticias" ("news feed") de Facebook renueva una lista personalizada de nuevas
historias a lo largo del día, mientras que su "actualización mini" ("mini-feed") muestra
que ha cambiado recientemente en el perfil de una persona y que contenido (notas,
fotos, etc.) han añadido. Luego del anuncio de los lectores de actualizaciones, los
usuarios organizaron un grupo de Facebook llamado "Students Against Facebook News
Feed" ("Estudiantes Contra las Actualizaciones de Noticas de Facebook") y 740,000
usuarios se unieron para protestar contra las características de actualización.
La protesta pública causada por la característica de "actualización" fue una sorpresa
para Facebook. La compañía no pensó que había un problema de privacidad debido a
que sólo estaba combinando datos para hacerles a los usuarios de la red social, su
experiencia más útil y entretenida. Sin embargo, los usuarios objetaron el hecho de que
Facebook permitiera que las Actualizaciones de Noticias empezaran a distribuir su
263
264
Id.
"Teens’
Bold
Blogs
Alarm
Area
Schools,"
17
de
enero
de
2006
<http://www.healthtechzone.com/news/2006/jan/1292401.htm>.
265
"Social Network Users Have Ruined Their Privacy, Forever," supra.
266
"Internet Archive: Wayback Machine," 2 de agosto de 2007 <http://www.archive.org/web/web.php>.
267
Social Networking Exposes You to Hackers and Identity Thieves, supra.
268
Club Penguin <http://www.clubpenguin.com/>.
269
Vea en general Social network users have ruined their privacy, forever. Supra.
270
Vea en general Unit Structures, "You're not My Friend: A New Look at Privacy on Facebook," 31 de
enero de 2007 <http://chimprawk.blogspot.com/2007/01/youre-not-my-friend-new-look-at_31.html>.
271
Facebook CEO: "We Really Messed This One Up", 8 de septiembre de 2006
<http://news.cnet.com/8301-10784_3-6113700-7.html>.
64
información sin ninguna advertencia previa.272 Uno de las preocupaciones principales
de los usuarios fue que no se les había comunicado explícitamente como los lectores de
las actualizaciones trabajaban y cuáles eran sus opciones de privacidad. Facebook forzó
a los usuarios a alterar la configuración de su privacidad después de este hecho y
después de que algunas informaciones habían sido publicadas. Adicionalmente,
Facebook no reconoció que el aumento de información permite la presentación de datos
de manera más digerible, lo cual presenta preocupaciones sobre privacidad únicas.273
Los usuarios movilizados para lograr un cambio pueden tener un enorme impacto en las
normas de privacidad en el mundo en línea.274 La educación de los usuarios con
relación a la discrepancia entre las expectativas de los usuarios sobre la privacidad y la
actual realidad en línea es clave en esta área. Como los indignados usuarios de
Facebook demostraron, un usuario motivado y con una enérgica concepción de sus
derechos puede, en el contexto de las redes sociales, ayudar a cambiar el panorama de la
privacidad en línea.
272
EPIC – Social Networking, Social Networking Privacy, 3
<http://epic.org/privacy/socialnet/default.html>.
273
Bruce Schneier, "Facebook and Data Control," 21 de
<http://www.schneier.com/blog/archives/2006/09/facebook_and_da.html>.
274
Schneier, supra.
65 de
agosto
septiembre
de
2007
de
2006
Vigilancia de las Comunicaciones
La mayoría de los países alrededor del mundo regulan la interceptación de
comunicaciones por parte del gobierno o de individuos y organizaciones privadas. Estos
controles típicamente toman la forma de una disposición constitucional de protección de
la privacidad de las comunicaciones, leyes y regulaciones que implementan dichos
requerimientos.
Ha habido gran presión sobre los países para adoptar leyes de intervención de líneas
telefónicas dirigidas a las nuevas tecnologías. Estas leyes también son en respuesta a
presiones, por parte de las fuerzas del orden y de las agencias de inteligencia, para
incrementar las capacidades de vigilancia. En Japón, la intervención de líneas
telefónicas sólo fue aprobada como un método legal de investigación en 1999. Otros
países tales como Australia, Bélgica, Alemania, Nueva Zelanda, Sudáfrica y el Reino
Unido han actualizado sus leyes para facilitar la vigilancia de las nuevas tecnologías.
Protecciones Legales y Derechos Humanos
Se reconoce a nivel mundial que la intervención de líneas telefónicas y la vigilancia
electrónica son formas altamente intrusivas de investigación que deben sólo ser
utilizadas en circunstancias limitadas e inusuales. Casi todos los principales acuerdos
internacionales sobre derechos humanos protegen el derecho de los individuos ante
vigilancias invasivas injustificadas.
Casi todos los países en el mundo han promulgado leyes sobre la intercepción de
comunicaciones orales, telefónicas, de fax y télex. En la mayoría de los países
democráticos, las interceptaciones son iniciadas por las fuerzas del orden o una agencia
de inteligencia sólo después de haber sido aprobado por un juez o algún otro tipo de
magistrado independiente o un funcionario de alto nivel y generalmente sólo por delitos
graves. Frecuentemente, se debe demostrar que otros tipos de investigación fueron
intentados y no fueron exitosos. Existe alguna divergencia en lo que constituye un
"delito grave" y una aprobación adecuada.
Varios países entre ellos Francia y el Reino Unido han creado comisiones especiales
que revisan el uso de la intervención telefónica y vigilan que no se cometan abusos.
Estos organismos han desarrollado una experiencia en el área que la mayoría de jueces
que autorizan la vigilancia no tienen, al tiempo que tienen la capacidad para conducir
investigaciones posteriores una vez que el caso ha sido cerrado. En otros países, el
comisionado de la privacidad o la autoridad de protección de datos tienen cierta
capacidad para conducir la supervisión de la vigilancia electrónica.
Una importante medida de supervisión que muchos países emplean es el solicitar un
informe anual sobre el uso de la vigilancia electrónica por parte de los departamentos
del gobierno. Estos informes típicamente proporcionan un resumen de detalles sobre el
número de usos de la vigilancia electrónica, los tipos de crímenes para los que fueron
autorizados, su duración y otra información. Esta es una característica común de las
leyes de intervención telefónica en los países de habla inglesa y en muchos otros de
Europa. Los países que publican informes anuales sobre el uso de la vigilancia incluyen
a Australia, Canadá, Francia, Nueva Zelanda, Suecia, el Reino Unido y los Estados
Unidos de América.
66
Estos países reconocen que es necesario permitir a las personas fuera del gobierno el
conocer sobre los usos de la interceptación para limitar los abusos. Estos informes
anuales son ampliamente utilizados en muchos países por los Parlamentarios para
supervisar e incluso por los periodistas, las ONGs y otros para examinar las actividades
encaminadas al cumplimiento de la ley. Los informes han mostrado un incremento en el
uso de la vigilancia en muchos países entre ellos Australia,275 los Estados Unidos de
América y el Reino Unido mientras que otros tales como Canadá se han mantenido
iguales.
Estas leyes están diseñadas para asegurar que actividades legitimas y normales en una
democracia tales como el periodismo, las protestas cívicas, la organización en
sindicatos o la oposición política estén libres de ser sujetos de vigilancias injustificadas
debido a que tienen diferentes intereses y objetivos que aquellos en el poder. Además
garantiza que crímenes relativamente menores, especialmente aquellos que
generalmente no involucrarían telecomunicaciones para su consumación, no sean
utilizados como pretextos para conducir vigilancias intrusivas por razones políticas y de
otra índole.
Sin embargo, los abusos de las intervenciones telefónicas han sido revelados en la
mayoría de los países, algunas veces ocurriendo a gran escala e involucrando miles de
intervenciones ilegales. Los abusos invariablemente afectan a cualquiera que sea "de
interés" para el gobierno. Los objetivos incluyen a políticos de oposición, líderes
estudiantiles y trabajadores de derechos humanos.276 Esto puede ocurrir incluso en los
países más democráticos tales como Dinamarca o Suecia, donde recientemente se reveló
que las agencias de inteligencia estuvieron conduciendo la vigilancia de miles de
activistas de tendencia izquierdista por aproximadamente 40 años. Más recientemente
los escándalos de interceptaciones han involucrado a los gobiernos de Italia y Grecia.
El Comisionado de Derechos Humanos de las Naciones Unidas en 1998 dejó en claro
que las protecciones de los derechos humanos sobre el secreto de las comunicaciones
cubre ampliamente todas las formas de comunicaciones:
En concordancia con las disposiciones del Artículo 17 del Pacto Internacional
de Derechos Civiles y Políticos la integridad y la confidencialidad de la
correspondencia deben ser garantizadas de jure y de facto. La
correspondencia debe ser entregada al destinatario sin intercepción y sin ser
abierta o fuera de ello leída. La vigilancia, ya sea electrónica o de otro tipo,
las intercepciones telefónicas, telegráficas o de otras formas de comunicación,
la intervención telefónica y la grabación de conversaciones debe ser
prohibida.277
Muchos países democráticos alrededor del mundo reconocen la necesidad de mayores
protecciones. Recientemente, el Tribunal Constitucional Federal Alemán ha
considerado si, las leyes sobre interceptación aprobadas en 1998, son o no
constitucionales.278 En marzo de 2004, el Tribunal Constitucional Federal Alemán
275
Agencia de Noticias Reuters "In Australia, Chances Are that Your Phone Is Tapped," 16 de septiembre
de 2002.
276
United States Department of State, Country Report on Human Rights Practices 1997, J30 de enero de
1998.
277
Comisionado de Derechos Humanos de las Naciones Unidas, El derecho a respetar la privacidad, de la
familia, del hogar y de la correspondencia, y la protección del honor y la reputación (Artículo 17), CCPR
Comentario General 16, 8 de abril de 1988.
278
The Associated Press, "Top German Court Hears a Challenge to Eavesdropping," in New York Times,
2 de Julio de 2003.
67 dictaminó279 que porciones significativas de la Grosser Lauschangriff 1998280 las leyes
de interceptación de líneas telefónicas violaban las garantías de dignidad humana y de
inviolabilidad de domicilio bajo los Artículos 1 y 13 de la Constitución, o Ley
Básica.281 El Tribunal mantuvo que ciertas comunicaciones están protegidas por un área
absoluta de intimidad donde los ciudadanos pueden comunicarse en privado y sin temor
de una vigilancia gubernamental.282 Esto incluye las conversaciones con parientes
cercanos, sacerdotes, doctores y abogados en su defensa, pero excluye las
conversaciones sobre crímenes que ya han sido cometidos o el planeamiento de futuros
crímenes. Sin embargo, para justificar la vigilancia entre el objetivo y dichas personas
de confianza, el gobierno debe mostrar que "existe una fuerte razón para creer que el
contenido de la conversación no se encuentra en el ámbito de la intimidad,"283 y que el
crimen es un "delito grave".284 El Tribunal Europeo de Derechos Humanos emitió un
dictamen de similar significancia en 2007. En el caso Copland contra Reino Unido, el
Tribunal sentención que, "La recolección y el almacenamiento de información personal
vinculada al teléfono de la demandante, así como a su correo electrónico y uso de
Internet, sin su conocimiento, califica como una interferencia con su derecho a respetar
su vida privada y su correspondencia dentro del alcance del Artículo 8."285
Normas Legales y Técnicas para la Vigilancia: Construyendo al
Gran Hermano
El gobierno de los Estados Unidos de América ha liderado un esfuerzo a nivel mundial
para limitar la privacidad individual y aumentar la capacidad de sus servicios de policía
y de inteligencia para espiar las conversaciones personales. Esta campaña tiene dos
estrategias. La primera es promover leyes que hagan obligatorio para todas las
compañías, el desarrollar interruptores digitales de teléfonos fijos, celulares o satelitales
y de todas las tecnologías de comunicación en desarrollo incorporando capacidades de
vigilancia en los aparatos; la segunda es limitar el desarrollo y la diseminación de
productos, tanto en hardware como en software, que proporcionen capacidades de
cifrado, una técnica que permite a las personas mezclar sus comunicaciones y archivos
para impedir que otros puedan leerlos.286
Las fuerzas del orden tradicionalmente han trabajo muy de cerca con las compañías de
telecomunicaciones para formular acuerdos que harían a los sistemas de telefonía
"fáciles de ser intervenidos." Estos acuerdos varían desde el hecho de permitir a la
policía el acceso a los intercambios telefónicos, hasta el permitir a la policía instalar
equipo para automatizar la interceptación. Debido a que la mayoría de los operadores de
279
BVerfG, 1 BvR 2378/98 vom 3.3.2004, Absatz-Nr. (1 - 373), disponible en
<http://www.bverfg.de/entscheidungen/rs20040303_1bvr237898.html> (en Alemán).
280
"Grosser Lauschangriff: Definition, Bedeutung, Erklärung im Lexikon", Net Lexicon, disponible en
<http://www.net-lexikon.de/Grosser-Lauschangriff.html> [visitado en 2007].
281
Basic Law for the Federal Republic of Germany, I. Basic Rights, Articles 1, 13, disponible en
<http://www.bundesregierung.de/en/Federal-Government/Function-and-constitutional-ba-,10222/I.Basic-rights.htm>.
282
C. Schröder, "Wiretap in Germany", German American Law Journal: American Edition (11 de marzo
de 2004), disponible en <http://galj.info/2004>.
283
Schröder, Id.
284
"German Legal News - Constitutional Law", University College of London, Faculty of Laws, Institute
of
Global
Law,
disponible
en
<http://www.ucl.ac.uk/laws/global_law/legalnews/german/index.shtml?constitution>.
285
Copland contra Reino Unido, Application no. 62617/00, 3 de abril de 2007,
<http://www.bailii.org/eu/cases/ECHR/2007/253.html>.
286
Véase David Banisar & Simon Davies, "The Code War," Index on Censorship, Enero 1998.
68
telecomunicaciones fueron a su vez monopolios u operados por agencias de
telecomunicaciones gubernamentales, este proceso fue generalmente ocultado del ojo
público.
Luego de la desregulación y de las nuevas participaciones en los Estados Unidos de
América a inicios de la década de 1990, las fuerzas del orden, encabezadas por el FBI,
empezaron a demandar que todos los sistemas de telecomunicaciones actuales y futuros
sean diseñados para garantizar su capacidad de conducir interceptaciones. Luego de
muchos años de cabildeo, el Congreso de los Estados Unidos de América aprobó la Ley
de Asistencia de las Comunicaciones para el Cumplimiento de la Ley (CALEA, en
inglés) en 1994.287 Esta Ley fija los requerimientos legales para los proveedores de
telecomunicaciones y los fabricantes de equipos sobre las capacidades de vigilancia que
deben ser incorporadas en todos los sistemas telefónicos utilizados en los Estados
Unidos. En 1999, por pedido de la Oficina Federal de Investigaciones (FBI), se dio una
orden bajo la CALEA requiriendo a los proveedores que hicieran disponible la
localización física de sus torres de comunicaciones que utilizan los teléfonos celulares
para conectarse al inicio y final de las llamadas.288
Gracias a un intenso cabildeo, los Proveedores de Servicios de Internet (ISPs) en los
Estados Unidos de América fueron exceptuados de la implementación de estos
requerimientos técnicos bajo la CALEA. Sin embargo, los cambios se sienten en el
viento, el FBI está haciendo un llamado a la Comisión Federal de Comunicaciones para
ampliar la ley para reconsiderar las comunicaciones de Voz sobre IP (VoIP), es decir,
las llamadas telefónicas por Internet y considerar a los proveedores como compañías de
telecomunicaciones bajo la CALEA.289 Si estos proveedores son reclasificados,
entonces los requerimientos para las capacidades de interceptación bajo la CALEA
también ser aplicarán a ellos.
La interceptación de contenidos sobre servicios digitales es una práctica legal común en
otros países. En Australia la Ley de Telecomunicaciones 1997 coloca obligaciones
sobre los operadores de telecomunicaciones para asistir completamente a los
organismos encargados de hacer cumplir la ley en la ejecución de sus deberes y de
proporcionar la capacidad de interceptación. Los costos de estas obligaciones son
asumidos por los mismos operadores.290
En el Reino Unido la Ley de Regulación de los Poderes de Investigación 2000 requiere
que los operadores de telecomunicaciones mantengan una "capacidad razonable de
interceptación" en sus sistemas y sean capaces de proporcionar previo aviso ciertos
287
Vea la página web de EPIC sobre interceptación telefónica <http://epic.org/privacy/wiretap/>.
Tercer Informe y Orden adoptada por la Comisión Federal de Comunicaciones, En el Tema de
Asistencia de las Comunicaciones para el Cumplimiento de la Ley, CC Rotulo No. 97-213, FCC 99-230
(1999) (la "Orden"). La Orden fue emitida el 31 de agosto de 1999. Un resumen de la Orden fue
publicado en el Registro Federal el 24 de septiembre de 1999. Vea 64 Fed. Reg. 51710.
289
Carta de EPIC al Honorable Michael K. Powell, Presidente de la Comisión Federal de
Comunicaciones,
15
de
diciembre
de
2003,
disponible
en
<http://www.epic.org/privacy/voip/fccltr12.15.03.html>.
290
Ley de Telecomunicaciones 1997, Partes 14 y 15. Además, la Ley sobre Delitos Informáticos de 2001
permite a los funcionarios ejecutantes el solicitar a una "persona especifica" con "conocimientos de una
computadora o de un sistema de computo" proporcionar la asistencia en el acceso, copiado o conversión
de los datos mantenidos o accesibles desde esa computadora. El incumplimiento de proporcionar la
asistencia es una infracción punible con seis meses de pena carcelaria. Ley sobre Delitos Informáticos
2001, No. 161, 2001, que inserta las Secciones 3LA y 201A en la Ley Criminal 1914, disponible en
<http://www.comlaw.gov.au/Details/C2004A00937>.
288
69
"datos de tráfico."291 Además impone una obligación a terceros de entregar claves de
cifrados. Estos requerimientos fueron posteriormente clarificados en la Orden de
Regulación de los Poderes de Investigación (Mantenimiento de las Capacidades de
Interceptación) 2002. En los Países Bajos, una nueva Ley de Telecomunicaciones
aprobada en diciembre de 1998 requería que para agosto de 2000, los ISPs tuvieran la
capacidad para interceptar todo el tráfico con una orden judicial y mantener los registros
de usuarios por tres meses.292 Esta ley fue promulgada luego de que XS4ALL, un ISP
holandés, se rehusara a conducir una amplia interceptación de las comunicaciones
electrónicas de uno de sus usuarios. En Nueva Zelanda, la Ley de Telecomunicaciones
(Capacidades de Interceptación) de 2004 obliga a las compañías de telecomunicaciones
y a los ISPs a interceptar llamadas telefónicas y correos electrónicos ante el
requerimiento de la policía y de los servicios de seguridad.293 La normativa también
requiere a los operadores telefónicos descifrar las comunicaciones de un cliente si es
que dicho operador le ha provisto el servicio de cifrado.294 En enero de 2002, una
nueva Ley sobre la vigilancia de correos y telecomunicaciones entró en vigor en Suiza,
exigiendo a los ISPs a realizar todas las acciones necesarias para permitir la
interceptación.295 En contraposición, el Tribunal Constitucional Federal Austriaco
sostuvo, en una sentencia296 en febrero de 2003, que la ley que obliga a los proveedores
de servicios de telecomunicaciones a implantar medidas para la interceptación a su
costo es inconstitucional.297
La cooperación internacional juega un rol importante en el desarrollo de estos
estándares. En 1993, el FBI empezó a ser el anfitrión de reuniones en sus instalaciones
de investigación en Quantico, Virginia como parte del "Seminario Internacional de
Cumplimiento de la Ley mediante las Telecomunicaciones" (ILETS, en inglés). Las
reuniones congregaban a representantes de Canadá, China (Hong Kong), Australia y la
Unión Europea. En estas reuniones, fue adoptada una norma técnica internacional de
vigilancia, basada en las exigencias del FBI a la CALEA, como el nombre de "Normas
Internacionales para la Interceptación." En enero de 1995, el Consejo de la Unión
Europea aprobó una resolución secreta adoptando los estándares de la ILETS.298 A
continuación, muchos países adoptaron la resolución en sus leyes domesticas sin revelar
el rol del FBI en el desarrollo de la norma. Luego de la adopción, la Unión Europea y
los Estados Unidos de América propusieron un Memorando de Entendimiento (MOU,
en inglés) para ser firmado por otros países para comprometerse con los estándares.
Muchos países entre ellos Canadá y Australia firmaron inmediatamente el MOU. Otros
fueron alentados a adoptar los estándares para asegurar el comercio. Las organizaciones
de normas internacionales, entre ellas la Unión Internacional de Telecomunicaciones
291
Ley de Regulación de Poderes de Investigación 2000, Secciones 12 (1) y 22 (4) respectivamente,
disponible en <http://www.legislation.gov.uk/ukpga/2000/23/contents>.
292
Ley de Telecomunicaciones 1998. Normas pertinentes a las Telecomunicaciones (Ley de
Telecomunicaciones), diciembre 1998.
293
Ley de Telecomunicaciones Capacidades de Interceptación) 2004, disponible en
<http://www.legislation.govt.nz/act/public/2004/0019/latest/DLM242336.html>.
294
Id. en la sección 8.
295
Ley federal sobre la vigilancia de la correspondencia postal y de las telecomunicaciones (Loi fédérale
sur
la
surveillance
de
la
correspondance
postale
et
des
télécommunications),
(<http://www.admin.ch/ch/f/rs/c780_1.html>)
y
su
respectivo
nuevo
decreto
(<http://www.admin.ch/ch/f/rs/c780_11.html>).
296
<http://www.vfgh.gv.at/>.
297
Vea más detalles en <http://epic.org/privacy/intl/austrian_vfgh-022703.html>.
298
Resolución del Consejo del 17 de enero de 1995 relativo a la interceptación legal de
Telecomunicaciones, Diario Oficial de las Comunidades Europeas, 4 de noviembre de 1996, disponible
en <http://www.interlex.it/testi/eu95lawf.htm>.
70
(UIT) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI, en inglés),
fueron abordados con éxito para adoptar los estándares.299
Vigilancia en Internet: Cajas Negras y Registradores de Golpes de
Tecla
Un desarrollo vinculado ha sido el del uso de "cajas negras" en redes ISP para vigilar el
tráfico de usuarios. Los trabajos actuales de estas cajas negras son desconocidos para el
público. La poca información que se ha hecho pública revela que muchos de los
sistemas están basados en "descubridores de paquetes" típicamente empleados por
operadores de redes de computadoras para propósitos de seguridad y mantenimiento.
Estos son programas de software especializados que se ejecutan en una computadora
que esta enganchada dentro de la red en una ubicación donde pueden controlar el flujo
completo de tráfico dentro y fuera de los sistemas. Los descubridores pueden controlar
todo el flujo de datos buscando palabras clave, frases o cadenas tales como direcciones
en la red o cuentas de correo electrónico. Por tanto pueden grabar o retransmitir para un
estudio posterior cualquier cosa que se ajuste al criterio de búsqueda. En muchos de los
sistemas, las cajas son conectadas a agencias del gobierno por medio de conexiones de
alta velocidad.300
Nuevos métodos de vigilancia, y en particular aquellos capaces de sortear el cifrado,
están también en desarrollo. Uno de tales mecanismos tecnológicos es un sistema de
"software de vigilancia". Un sistema de software de vigilancia registra los golpes de
tecla y entradas individuales en un teclado de computadora. Los registradores de golpes
de tecla pueden ser empleados para capturar cada tecla pulsada sobre un teclado de
computadora, incluyendo la información que es digitada y luego borrada. Tales
mecanismos pueden ser colocados manualmente por agentes de las fuerzas del orden en
la computadora del sospechoso, o instalada "remotamente" mediante la colocación de
un virus, en la computadora del sospechoso, que develará las claves privadas de cifrado.
El cuestionamiento de tales métodos subrepticios de decodificación policiaca surgió en
el caso de los Estados Unidos de América contra Scarfo.301 En este caso, el FBI instaló
manualmente un mecanismo de registro de golpe de tecla en la computadora del
acusado con el fin de capturar el cifrado de su clave de acceso PGP. Una vez que
descubrieron la clave de acceso, los archivos fueron descifrados y se encontró evidencia
incriminatoria. En diciembre de 2001, el FBI confirmó la existencia de una técnica
similar llamada "Linterna Mágica”.302 Este mecanismo según se informa permitiría a la
agencia infiltrar un registrador de golpes de tecla en forma de un caballo de Troya en la
computadora que sea el objetivo por medio del envió de un virus de computadora por
Internet; en vez de requerir acceso físico a la computadora como es actualmente el caso.
La nueva Ley Antiterrorista de Dinamarca, promulgada en junio de 2002, parece dar a
las fuerzas del orden el poder de instalar secretamente este tipo de software espía en las
computadoras de los sospechosos de haber cometido un delito.303
299
Vea EPIC y Privacy International, Privacy and Human Rights: An International Survey of Privacy
Laws & Developments 60 (EPIC 2006).
300
Vea PHR 2005, supra, 62-63.
301
United States contra Scarfo, 180 F. Supp. 2d 572 (D.N.J. 2001). Véase en general la página web de
EPIC sobre Scarfo <http://epic.org/crypto/scarfo.html>.
302
Elinor Mills Abreu, "FBI Confirms 'Magic Lantern' Project Exists," Reuters, 12 de diciembre de 2001.
303
Ley No. 378, 6 de junio de 2002.
71 Datos de Transacciones y de Ubicación
A medida que surgen nuevas tecnologías de telecomunicaciones, muchos países están
adaptando las leyes de vigilancia existentes para abordar la interceptación de
comunicaciones en redes y comunicaciones móviles. Estas leyes actualizadas plantean
nuevas amenazas a la privacidad en muchos países debido a que los gobiernos a
menudo simplemente aplican los viejos estándares a las nuevas tecnologías sin analizar
cómo la tecnología ha cambiado la naturaleza y la sensibilidad de la información. Es
crucial para la protección de la privacidad y de los derechos humanos que a los datos de
transacciones, creados por las nuevas tecnologías, se les dé una mayor protección a
través de la ley, que respecto a los tradicionales registros de llamadas telefónicas y otra
información de transacciones que se hallan en los antiguos sistemas.
En el sistema tradicional de telefonía, los datos de transacciones normalmente tomaban
la forma de números telefónicos o de identificadores telefónicos, los medidores de
llamadas (p. ej., la duración de la llamada, la hora y la fecha), países involucrados, y
tipos de servicios utilizados. Estos datos son normalmente recolectados y procesados
por las compañías telefónicas con los propósitos de facturación y de eficiencia de red
(p. ej., corrección de desperfectos). Al tiempo que estos datos son almacenados por las
compañías telefónicas, éstos son disponibles a las autoridades encargadas de hacer
cumplir la ley. El contenido de las comunicaciones, es decir, las conversaciones, no son
almacenadas de manera rutinaria. En consecuencia los obstáculos para el acceso de los
organismos encargados de hacer cumplir la ley a estos datos fueron mínimos: los datos
de tráfico estaban disponibles, legalmente eran menos sensibles y accesibles con
requerimientos mínimos en cuanto a la autorización y a la supervisión. Los contenidos
de las comunicaciones fueron tratados como más sensibles, y más invasivos, y más
difíciles de recolectar, de esta manera normalmente requerían mayores mecanismos de
autorización y supervisión.
Sin embargo, diferentes infraestructuras de comunicaciones generaron diferentes formas
de datos de transacciones. Cuando un usuario navega en la red, este puede visitar
docenas de sitios en sólo unos cuantos minutos y revelar muchos datos sobre su
situación personal y sus intereses. Entre ellos sus intereses médicos, financieros,
sociales y otra información personal altamente sensible. Tal como el Consejo de Europa
reconoce en su Informe Aclaratorio de la Convención sobre la Ciberdelincuencia:
La recolección de estos datos puede, en algunas ocasiones, permitir la
compilación del perfil de los intereses de la persona, sus asociados y su
contexto social. Por consiguiente las Partes deben tomar en cuenta tales
consideraciones cuando establezcan las apropiadas salvaguardas y los
prerrequisitos legales para llevar a cabo tales medidas.304
La naturaleza detallada y potencialmente sensible de los datos los hace más cercanos a
los contenidos de las comunicaciones que a los registros de llamadas.305
Conservación de Datos
Una nueva técnica de vigilancia de las comunicaciones involucra la conservación de los
registros de información de las personas que no son sospechosas de delitos y que están
304
Consejo de Europa Convención sobre Ciberdelincuencia (ETS no: 185), abierto para su firma el 8 de
noviembre de 2001.
305
Vea PHR 2005, supra.
72 fuera del contexto de cualquier investigación penal o fin comercial.306 El 30 de mayo de
2002, el Parlamento Europeo votó la Directiva sobre la Privacidad y las
Comunicaciones Electrónicas de la Unión Europea.307 En una notable vuelta de tuerca
de la oposición original a la conservación de datos, los miembros votaron para permitir
a cada uno de los gobiernos de la UE a promulgar leyes para conservar datos de tráfico
y de ubicación de todas las personas que utilicen teléfonos móviles, el servicio de
mensajes cortos (SMS, en inglés), telefonía fija, faxes, correos electrónicos, canales de
conversación, Internet, o cualquier otro aparato de comunicación electrónica, para
comunicarse. La nueva Directiva revoca la Directiva de Privacidad de las
Telecomunicaciones 1997 al permitir explícitamente a los países de la Unión Europea a
forzar a los proveedores de servicios de Internet y a las compañías telecomunicaciones a
grabar, catalogar y almacenar los datos de comunicaciones de sus subscriptores.308
En marzo de 2006, la Unión Europea modificó la Directiva sobre la Privacidad y las
Comunicaciones Electrónicas del 2002 aprobando una Directiva sobre la Conservación
Obligatoria de Datos de Tráfico de Comunicaciones.309 La nueva Directiva exige a los
Estados Miembros a requerir a los proveedores de comunicaciones a conservar los datos
de comunicaciones por un periodo entre 6 meses y 2 años. Los Estados Miembros
tienen plazo hasta septiembre de 2007 para trasladar las disposiciones de la Directiva en
sus legislaciones nacionales; sin embargo, está disponible una postergación de 18 meses
adicionales, hasta marzo de 2009. Dieciséis de los 25 Estados Miembros de la UE han
declarado que postergarán la implementación de la conservación de datos del tráfico de
datos de Internet por el periodo adicional.310
La aprobación de esta Directiva ha sido altamente controversial. Un significativo
movimiento público contra la conservación de datos se ha formado, con algunas miles
de personas asistiendo a demostraciones y cerca de 10,000 personas declarando que
presentará una demanda ante el Tribunal Constitucional de Alemania.311 La Digital
Rights Ireland presentó una demanda al gobierno de la UE en julio de 2006. El caso
cuestiona la base legal para la Directiva de Conservación de Datos, alegando que éste es
un asunto vinculado a la justicia penal y como tal la medida apropiada hubiera sido una
Decisión Marco al amparo del tercer pilar.312
Europa no está sola. Australia ha propuesto un código de práctica para que las ISP
conserven datos de tráfico de forma voluntaria.313 Argentina ha aprobado una ley
solicitando la retención de datos de tráfico por 10 años.314 Otros países también están
demandando la conservación de los detalles de los subscriptores, y están impidiendo el
306
Vea la página de EPIC sobre Conservación de Datos <http://epic.org/privacy/intl/data_retention.html>.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva
sobre
la
privacidad
y
las
comunicaciones
electrónicas)
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:ES:PDF>.
308
Id. en el Articulo 15 (1).
309
Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público de comunicaciones y por lo que se modifica la Directiva 2002/58/CE,
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>.
310
Id.
311
Data Retention is No Solution <http://www.dataretentionisnosolution.com/>.
312
Digital Rights Ireland Data Retention <http://www.digitalrights.ie/2006/07/29/dri-challenge-to-dataretention/>.
313
Electronic Frontiers Australia, "Big Brother ISP Code Condemned," 19 de agosto de 2003.
314
Pablo Palazzi, Terrorism Laws in Latin America, Privacy International, septiembre 2004.
307
73 acceso anónimo a Internet a través de la petición de cedulas de identidad en los
cibercafés,315 mientras que otros están prohibiendo el uso anónimo de telefonía móvil.
Ciberdelincuencia: Iniciativas Internacionales en la Armonización
de la Vigilancia
Un esfuerzo vinculado al aumento del control del gobierno sobre Internet y la
promoción de la vigilancia está también siendo conducido en el nombre de la
prevención de la "ciberdelincuencia," la "guerra de la información" o la protección de
"infraestructura crítica." Bajo estos esfuerzos, las propuestas para incrementar la
vigilancia de las comunicaciones y de las actividades de los usuarios de Internet están
siendo introducidas como una manera de impedir a intrusos de computadoras el atacar
sistemas y el detener la comisión de otros crímenes tales como las violaciones de la
propiedad intelectual.
Los organismos internacionales a la cabeza de estas iniciativas son el Consejo de
Europa y el G-8, al tiempo que también ha habido alguna actividad dentro de la Unión
Europea.316 Los Estados Unidos entre bastidores han estado muy activos en el
desarrollo y la promoción de estos esfuerzos.317 Después de reunirse por años a puertas
cerradas, estas organizaciones finalmente, en el 2000, hicieron propuestas públicas que
pondrían restricciones en la privacidad y el anonimato en línea en nombre de la
prevención de la ciberdelincuencia.
Consejo de Europa
El Consejo de Europa (CoE, en inglés) es una organización intergubernamental formada
en 1949 por países Europeos Occidentales. Actualmente tiene 45 miembros. Su rol
principal es "reforzar la democracia, los derechos humanos y el imperio de la ley a
través de sus Estados Miembros." Su descripción también considera que "actúa como un
foro para examinar una gama de problemas sociales, tales como la exclusión social, la
intolerancia, la integración de los inmigrantes, la amenaza a la vida privada por parte de
nuevas tecnologías, asuntos de bioética, terrorismo, tráfico de drogas y actividades
criminales."
El 8 de septiembre de 1995, la CoE aprobó una recomendación318 para ampliar el acceso
de las fuerzas del orden a las computadoras en los Estados Miembros. En 1997, la CoE
315
Privacy International & the GreenNet Educational Trust, Silenced: An International Report on
Censorship and Control on the Internet, septiembre 2003.
316
Dr. Paul Norman, "Policing 'High Tech Crime' in the Global Context: the Role of Transnational Policy
Networks,"
disponible
en
<http://eprints.libr.port.ac.uk/archive/00000063/01/PN_2001_Cyber_Crime_Chapter.pdf>.
317
Para detalles vea <http://www.pi.greennet.org.uk/issues/cybercrime/>.
318
La Recomendación de Comité de Ministros de los Estados Miembros Referente a los Problemas de la
Ley de Procedimientos Criminales Vinculados con la Información estipula que: "Sujeto a los privilegios
legales o a la protección, las autoridades que investigan deben tener el poder de ordenar a las personas
que tengan los datos en un sistema de computo bajo su control a proporcionar toda la información
necesaria para permitir el acceso a un sistemas de computo y a los datos contenidos. La ley de
procedimiento penal debe asegurar que una orden similar puede ser dada a otras personas que tiene
conocimiento acerca del funcionamiento del sistema de cómputo o de las medidas aplicadas para obtener
los datos contenidos. Obligaciones especificas deben imponerse a los operadores de redes públicas o
privadas que ofrezcan servicios de telecomunicaciones al público para aprovechar todas las medidas
técnicas necesarias que posibiliten la interceptación de las telecomunicaciones por parte de las
autoridades investigadoras. Se deben considerar las medidas necesarias para minimizar los efectos
negativos del uso del cifrado en la investigación de infracciones penales, sin afectar su uso legitimo más
allá de lo estrictamente necesario."
74 formó un Comité de Expertos en Ciberdelincuencia (PC-CY). El grupo se reunió en
secreto por muchos años elaborando un tratado internacional, y en abril de 2000,
publicaron el "Borrador de la Convención sobre Ciberdelincuencia, versión 19." Varias
versiones posteriores fueron publicadas hasta la versión 27 divulgada en junio de 2001.
La convención tiene tres partes. La Parte I propone la criminalización de las actividades
en línea tales como la intromisión en datos y sistemas, la evasión de los derechos de
autor, la distribución de pornografía infantil y el fraude informático. La Parte II requiere
a los estados que la ratifiquen, el aprobar leyes para incrementar las capacidades de
vigilancia doméstica para atender nuevas tecnologías. Esto incluye la potestad para
interceptar comunicaciones en Internet, obtener acceso a datos de tráfico en tiempo real
o a través de órdenes de protección dirigidas a las ISPs y el acceso a datos protegidos o
"privilegiados." La parte final del tratado requiere a todos los Estados a cooperar en las
investigaciones criminales. De modo que por ejemplo, el país A pueda solicitar al país
B el utilizar cualquiera de las ya mencionadas potestades de investigación dentro del
país B para un crimen que está siendo investigado en el país A. No existe ningún
requerimiento para que el crimen en el país A realmente califique como crimen en el
país B, es decir, no hay ninguna necesidad de doble criminalidad. En este sentido, la
convención es el mayor régimen de asistencia legal mutua en asuntos criminales jamás
creado.
El texto borrador de la convención fue duramente criticado por una amplia variedad de
partes interesadas, entre ellas grupos de privacidad y de libertades civiles por su
promoción a la vigilancia y la falta de controles tales como la necesidad de una
autorización o de una doble criminalidad;319 destacados expertos en seguridad por las
previamente articuladas limitaciones sobre seguridad de software;320 y la industria por
los costos de implementación de los requerimientos, y los retos que implicarían
responder a las peticiones de 43 países diferentes. El Grupo de Trabajo sobre Protección
de Datos del Artículo 29 ha expresado su preocupación respecto de las implicaciones de
la convención sobre la privacidad y los derechos humanos, concluyendo que:
El Grupo de Trabajo considera pues, que es necesario aclarar el texto de
los artículos del proyecto de convenio porque su redacción resulta con
frecuencia demasiado vaga y confusa, y podría no constituir fundamento
suficiente para las leyes y medidas vinculantes destinadas a limitar
legalmente los derechos y libertades fundamentales.321
El texto del convenio fue finalizado en septiembre de 2001. Después de los ataques
terroristas en los Estados Unidos de América, el convenio fue dispuesto como un medio
para combatir el terrorismo. Una ceremonia de firma se llevó a cabo en noviembre de
2001 donde fue firmada por 30 países y posteriormente firmada por otros ocho.
La convención entró en vigor el 7 de enero de 2004, una vez que fue ratificada por
cinco estados signatarios, todos miembros del Consejo de Europa.322 La convención fue
319
Vea, p.ej., Global Internet Liberty Campaign (GILC) Member Letter on Council of Europe Convention
on Cyber-Crime, October 18, 2000 <http://gilc.org/privacy/coe-letter-1200.html>; GILC Member Letter
on Council of Europe Convention on Cyber-Crime Version 24.2, 12 de diciembre de 2000
320
Statement of Concerns, 20 de julio de 2000. Disponible en <http://spaf.cerias.purdue.edu/coe/>
[visitado en 2007].
321
Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen 4/2001 acerca del proyecto de
convenio del Consejo de Europa sobre el ciberdelito, 22 de marzo de, 2001. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/wp41es.pdf>.
322
Consejo de Europa, Convenio sobre Ciberdelito, Estado al: 18/06/2004, disponible en
<http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG>.
75 originalmente abierta a los miembros de la CoE y a países que estuvieron involucrados
en su desarrollo, entre ellos Canadá, Japón, Sudáfrica y los Estados Unidos de América.
Ahora que está en vigor, otros países fuera de la CoE como China y Singapur pueden
también pedir unirse.
Organización para la Cooperación y el Desarrollo Económicos
A diferencia de muchas de estas iniciativas orientadas hacia el cumplimiento de las
leyes, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) se ha
inclinado por una visión más amplia de los temas de seguridad. En 1992, la OCDE
publicó las Guías para la Seguridad de los Sistemas de Información.323 Conteniendo
nueve principios, las Guías acentúan la importancia de asegurar la transparencia, la
proporcionalidad y otros valores democráticos cuando se establezcan medidas, prácticas
y procedimientos para la seguridad de los sistemas de información. En el otoño de 2001,
el Grupo de Trabajo de la OCDE sobre Seguridad de la Información y Privacidad
(WPISP, en inglés) estableció un grupo de expertos para conducir el estudio de estas
guías (tal estudio debe ocurrir cada cinco años). El grupo de expertos se reunió cuatro
veces entre diciembre de 2001 y junio de 2002 y recomendó muchos cambios. El
Consejo de la OCDE adoptó las Guías de Seguridad324 el 25 de julio de 2002 y se
mantienen en vigor.325 Aunque las guías han sido sustancialmente revisadas, la
necesidad de asegurar valores democráticos claves, tales como la apertura, la
transparencia y la protección de la información personal, son no obstante reiteradas en
los principios. La OCDE también ha desarrollado un sitio en Internet "Cultura de la
Seguridad"326 lanzado después del "Foro Global de la OCDE sobre Sistemas de
Información y Seguridad de Redes: Hacia una Cultura Mundial de la Seguridad" llevada
a cabo en Oslo, Noruega en octubre de 2003. El sitio proporciona a los gobiernos
miembros y no miembros una herramienta de intercambio de información internacional
sobre iniciativas para implementar las Guías y sirve como un portal para importantes
páginas web y como un primer paso hacia la creación de una cultura mundial de la
seguridad. Los países miembros de la OCDE adoptaron un plan de implementación327 y
lo difundieron públicamente en enero de 2003. La OCDE también hizo una encuesta
entre sus países miembros en julio de 2003, analizando las medidas tomadas desde la
adopción de las Guías de Seguridad en julio de 2002 en concordancia con el Plan de
Implementación de la OCDE. Los resultados de la encuesta328 fueron publicados el 07
de junio de 2004.
323
OCDE Guías para la Seguridad de los Sistemas de Información, adoptado en Noviembre 1992,
disponible en <http://www.oecd.org/document/19/0,2340,en_2649_34255_1815059_1_1_1_1,00.html>.
324
OCDE Guías para la Seguridad de los Sistemas de Información y Redes: Hacia una Cultura de
Seguridad,
adoptado
en
julio
2002,
disponible
en
<http://www.oecd.org/document/42/0,2340,en_2649_34255_15582250_1_1_1_1,00.html>.
325
OCDE Guías para la Seguridad de los Sistemas de Información y Redes: Hacia una Cultura de
Seguridad, Preguntas y Respuestas, disponible en <http://www.oecd.org/dataoecd/27/6/2494779.pdf>.
326
Página
web
de
la
cultura
de
Seguridad,
disponible
en
<http://www.oecd.org/site/0,3407,en_21571361_36139259_1_1_1_1_1,00.html>.
327
"Implementation Plan for the OECD Guidelines for the Security of Information Systems and
Networks: Towards a Culture of Security," adoptado en octubre de 2003, disponible en
<http://www.oecd.org/dataoecd/23/11/31670189.pdf>.
328
"Summary of Responses to the Survey on the Implementation of the OECD Guidelines for the
Security of Information Systems and Networks: Towards A Culture of Security," junio 2004, disponible
en
<http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/ICCP/REG%282003%2
98/FINAL&docLanguage=En>.
76 El 12 de junio de 2007 el Consejo de la OCDE adoptó una nueva Recomendación para
un marco de cooperación en el cumplimiento de las normas de privacidad.329 El marco
refleja el compromiso de parte de los gobiernos de mejorar sus marcos domésticos par
el cumplimiento de las leyes de privacidad para permitir a sus autoridades mejores
elementos para cooperar con autoridades extranjeras, así como proporcionar asistencia
mutua entre ellas en el cumplimiento de las leyes de privacidad. Las recomendaciones
específicas incluyen el desarrollo de un mecanismo de ejecución de cooperación
internacional y herramientas de asistencia mutua tales como notificaciones, remisión de
denuncias, asistencia en investigaciones e intercambio de información, sujetos a
salvaguardas apropiadas. Las recomendaciones también hacen un llamado al debate y la
colaboración entre los grupos de interés e instruye a la comisión de la OCDE pertinente
a monitorear e informar sobre la implementación de estas medidas.
Seguridad Nacional, Agencias de Inteligencia y el “Sistema
Echelon”
En los últimos años, se ha dado una considerable atención por parte de la agencias de
inteligencia a una masiva vigilancia de comunicaciones internacionales y nacionales.
Las investigaciones han sido abiertas y las audiencias se han llevado a cabo en los
parlamentos alrededor del mundo acerca del sistema "Echelon" coordinado por los
Estados Unidos de América.
Inmediatamente después de la Segunda Guerra Mundial, en 1947, los gobiernos de los
Estados Unidos de América, el Reino Unido, Canadá, Australia y Nueva Zelanda
firmaron un pacto de Seguridad Nacional conocido como el "Cuadripartito"; o acuerdo
"Reino Unido-Estados Unidos" (UKUSA, en inglés). Su intención era sellar un acuerdo
de inteligencia en el cual se creó un objetivo común de seguridad nacional. Bajo los
términos del acuerdo, las cinco naciones se reparten la tierra en cinco esferas de
influencia, y a cada país le fue asignado un objetivo particular de inteligencia de señales
(SIGINT, en inglés).
El Acuerdo UKUSA estandarizó la terminología, los códigos de palabras, los
procedimientos de manejo de la interceptación, acuerdos de cooperación, el compartir
información, autorizaciones de Inteligencia de Asuntos Sensibles por Compartimientos
(SCI, en inglés) y acceso a instalaciones. Otro componente importante del acuerdo fue
el intercambio de datos y de personal.
La más fuerte alianza dentro de la relación UKUSA es aquella entre la Agencia de
Seguridad Nacional (NSA, en inglés) de Estados Unidos de América, y la Oficina
Central de Comunicaciones del Gobierno (GCHQ, en inglés) de Gran Bretaña. La NSA
opera bajo el mandato presidencial desde 1952, la Directiva de Inteligencia del Consejo
Nacional de Seguridad (NSCID) Número 6, para espiar en las redes de comunicaciones
del mundo con propósitos de inteligencia y militares. Al hacerlo, ha creado una vasta
operación de espionaje que puede alcanzar los sistemas de telecomunicaciones de todos
los países de la tierra. Sus operaciones son tan secretas que esta actividad, fuera de los
Estados Unidos de América, ocurre con poca o ninguna supervisión legislativa o
judicial. La instalación más importante de la alianza está en Menwith Hill, una base de
la Fuerza Aérea Real con sede en el norte de Inglaterra. Con más de dos docenas de
radares domos y una vasta instalación para operación de computadoras, la base tiene
capacidad para espiar sobre vastos sectores del espectro de comunicaciones. Con la
329
OECD Recommendation on Cross-Border Privacy Law Enforcement, 12 de junio de 2007, disponible
en <http://www.oecd.org/dataoecd/43/28/38770483.pdf>.
77 creación del Intelsat y las telecomunicaciones digitales, Menwith Hill y otras estaciones
desarrollaron la capacidad para espiar a gran escala sobre fax, telex y mensajes de voz
soportados por satélite.330
El uso de Echelon teniendo como blanco las comunicaciones diplomáticas fue
destacado, como resultado de las revelaciones realizadas en 2003 por una empleada de
la inteligencia británica, antiguos funcionarios de las Naciones Unidas, y un antiguo
Ministro del Gabinete Británico, relativas al espionaje de la estadounidense NSA y de la
británica GCHQ sobre las comunicaciones telefónicas y conversaciones privadas del
Secretario General de la ONU Kofi Annan.331
Las conversaciones diplomáticas de la ONU y de las misiones de sus países miembros
están protegidos ante el espionaje por cuatro convenciones internacionales: la
Declaración Universal de los Derechos Humanos (Artículo12)332 la Convención de
Viena sobre Relaciones Diplomáticas de 1961 (Artículo 27),333 el Acuerdo de Sede
Central de 1947 entre la ONU y los Estados Unidos de América,334 y la Convención
sobre los Privilegios y las Inmunidades de la ONU de 1946 (Artículo 2).335
330
Vea PHR 2005, supra, 76-78.
La controversia empezó cuando repentinamente el gobierno británico abandonó su caso del Acta de
Secretos Oficiales contra Katharine Gun, una lingüista china trabajando para la GCHQ en Cheltenham,
Reino Unido. Gun fue acusada de filtrar a los medios británicos un memorando TOP SECRET/COMINT
de la NSA a la GCHQ pidiendo su ayuda en la interceptación de las comunicaciones de los miembros no
permanentes del Consejo de Seguridad de la ONU para determinar sus intenciones en la Resolución del
Consejo de Seguridad autorizando la guerra contra Irak. Después de que el caso contra Gun fuera
abandonado, el antiguo Ministro de Desarrollo Internacional de Gran Bretaña Clare Short reveló que se le
mostró una trascripción de una conversación confidencial del Secretario General de la ONU Kofi Annan.
Se informó que las comunicaciones telefónicas y las conversaciones privadas fueron espiadas por la NSA
y la GCHQ. De acuerdo con Andrew Wilkie, antiguo funcionario de la inteligencia australiana, el
espionaje a la ONU fue apoyada por Australia, por medio del "acuerdo de los cinco ojos," una referencia
a Echelon y al Acuerdo UKUSA. (Mark Forbes, "Australia 'Party to Bugging of UN,'" The Age
(Melbourne), 19 de junio de 2004.) A partir de las revelaciones de Short, muchos otros antiguos
funcionarios de la ONU han salido al frente para describir espionajes similares por parte de los británicos
y de los estadounidenses, los cuales comparten señales de inteligencia desde hace décadas, esta relación
es conocida como el Acuerdo UK-USA, junto con Canadá, Australia, y Nueva Zelanda. El antiguo
Secretario General de la ONU Boutros Boutros Ghali, los inspectores de armas de la ONU Hans Blix,
Rolf Ekeus, y Richard Butler, el Comisionado de Derechos Humanos de la ONU Mary Robinson, el
antiguo embajador mexicano ante la ONU Aguilar Zinser, el actual embajador mexicano ante la ONU
Enrique Berruga, la ministro de Relaciones Exteriores de Chile Soledad Alvear, el embajador chileno
ante Gran Bretaña Mariano Fernandez, y el antiguo embajador chileno ante la ONU Juan Gabriel Valdes,
todos ellos han hablado sobre el espionaje a ellos y a sus países por los estadounidenses y los británicos.
Véase en general <http://epic.org/privacy/wiretap/diplomatic.html>.
332
"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección
de la ley contra tales injerencias o ataques."
333
"1. El Estado receptor permitirá y protegerá la libre comunicación de la misión para todos los fines
oficiales. Para comunicarse con el gobierno y con las demás misiones y consulados del Estado
acreditante, dondequiera que se radiquen, la misión podrá emplear todos los medios de comunicación
adecuados, entre ellos los correos diplomáticos y los mensajes en clave o en cifra. Sin embargo,
únicamente con el consentimiento del Estado receptor podrá la misión instalar y utilizar una emisora de
radio; 2. La correspondencia oficial de la misión es inviolable. Por correspondencia oficial se entiende
toda correspondencia concerniente a la misión y a sus funciones."
334
La Sección 9 estipula que: "La zona de la sede central será inviolable."
335
"Los locales de las Naciones Unidas serán inviolables. Los haberes y bienes de las Naciones Unidas,
dondequiera que se encuentren y en poder de quienquiera que sea, gozarán de inmunidad contra
allanamiento, requisición, confiscación y expropiación y contra toda otra forma de interferencia, ya sea de
carácter ejecutivo, administrativo, judicial o legislativo."
331
78
Autenticación y Revelación de la Identidad
La autenticación es el proceso de verificación de un afirmación que se hace relativa a
una identidad, una atributo perteneciente a dicha identidad, (p. ej. "esta persona es
ciudadana de los Estados Unidos de América"), o un grupo de atributos.
Tradicionalmente, la gran demanda para soluciones de autenticación seguras ha
provenido de empresas que buscaban satisfacer sus propias necesidades de seguridad al
interior de sus organizaciones, así como de organizaciones gubernamentales en
contextos donde se creía que los intereses de la seguridad nacional estaban en juego. En
los últimos años, la demanda por (y la adopción de) soluciones de autenticación segura
han estado marcadamente en aumento en todos los otros tipos de contexto que afectan
directamente la privacidad de los individuos en una escala inimaginable hace dos
décadas. Mucho de esto es provocado por la creciente popularidad de Internet y de las
redes de comunicaciones móviles, así como del rápido incremento en la cantidad de PCs
y de dispositivos de información tales como teléfonos móviles con capacidades Web y
las computadoras portátiles.
A medida que nuevas arquitecturas de autenticación están siendo desarrolladas (ya sea
de jure, de facto, y por estándares técnicos) y adoptadas para una siempre creciente
cantidad de aplicaciones, la privacidad de los individuos está siendo erosionada a un
ritmo impresionante, a menudo con poca o ninguna justificación. Los nuevos
mecanismos de comunicación electrónica y de transacción automáticamente capturan y
registran identidades en sistemas de computadoras centrales sin que los individuos si
quiera se percaten de ello. A medida que más y más información personal es recolectada
y registrada en los sistemas centrales, las políticas y las tradicionales salvaguardas de
seguridad para prevenir la filtración y el abuso rápidamente se están volviendo
ineficaces.
Mucha de esta explosiva tensión entre, la (percibida o real) necesidad de autenticación
por un lado y, las demandas de privacidad por el otro, pueden ser atribuidas a una falsa
creencia muy extendida: a saber, que la identificación es lo mismo que autenticación, y
que la privacidad y la autenticación son objetivos opuestos. Esta errónea creencia es
perpetuada por todo tipo de influyentes organizaciones normativas. La Organización
Internacional para la Estandarización (ISO, en inglés)336, por ejemplo, define
autenticación como "la condición de garantía de la afirmación de identidad de una
entidad," y el Grupo de Trabajo de Ingeniería de Internet337 (IETF, en inglés) define la
autenticación como "el proceso de verificación de una identidad afirmada por o para
una entidad del sistema." Asimismo, a nivel político, la autenticación y la identidad a
menudo son erróneamente equiparadas.
El hecho real es que la autenticación es una noción mucho más amplia que la
identificación. En muchos contextos, la autenticación no requiere identificación. Es
más, las organizaciones a menudo no están interesadas en la identidad per se de la
persona con la cual están tratando, sino sólo la confirmación de contactos previos de
dicha persona, la afiliación de la persona a un grupo, la autenticidad de los datos
personales de esa persona, los derechos o privilegios de esa persona, y así
336
Glossary of IT Security Terminology, SC 27 Standing Document 6 (SC 27 N 2776), 31 de marzo de
2002.
337
Internet Security Glossary, RFC 2828, IETF Network Working Group, Mayo 2000. Véase
<http://www.ietf.org/rfc/rfc2828.txt>.
79 sucesivamente. Por ejemplo, para autenticar si un usuario está permitido de comprar
alcohol, todo lo que necesita ser autenticado es que el usuario tiene al menos 21 años de
edad. En este ejemplo, la identificación de la persona sólo servirá como un medio
indirecto para lograr la autenticación que es de interés ("mayor de 21 años de edad").
En el "viejo" mundo, los individuos podían fácilmente lograr acceder a servicios sin
revelar su identidad, ya sea mostrando sus privilegios o derechos o proporcionando a los
proveedores de servicios identificadores "adecuados al contexto", tales como un número
de empleado o un número del seguro social. Mientras que tales identificadores sirven
para identificar a los usuarios, estos sólo lo hacen dentro de esferas específicas de
actividad; las organizaciones no pueden utilizarlos para cruzar perfiles de usuarios entre
esferas de actividad.
Lamentablemente, la mayoría de las tecnologías de autenticación más difundidas hoy en
día (tales como contraseñas, características biométricas, Kerberos y PKI) básicamente
causan ineludibles identificaciones a través de identificadores que son mundialmente
únicos. Estas tecnologías de autenticación basadas en la identidad fueron inventadas
hace muchas décadas, cuando las redes abiertas existían difícilmente, ni qué decir de
organizaciones buscando compartir información personal en forma segura por medio de
esas redes. Consecuentemente, la única protección de privacidad que los diseñadores de
técnicas tradicionales de autenticación tenían en mente fue la protección ante las
interceptaciones y otros intrusos no autorizados. Sin embargo, las tecnologías
tradicionales de autenticación no son apropiadas para tratar las crecientes necesidades
de autenticación en estos días y épocas, ya que ellas permiten a las organizaciones
rastrear y hacer cruces de perfiles de usuarios sobre la base de identificadores mundiales
únicos (tales como claves cifradas) que son ineludiblemente asignadas a ellos.
Una tendencia igualmente preocupante es la centralización de los poderes de
autenticación de diferentes organizaciones dentro de una sola organización confiable
que actúa en representación de todas las organizaciones constituyentes. En su
arquitectura original de Passport338 por ejemplo, Microsoft confió en la centralización
de todos los datos recolectados de los visitantes de páginas web con objeto de
proporcionar servicios de autenticación en nombre de un número rápidamente creciente
de sitios web. Microsoft abandonó esta arquitectura luego de demandas de privacidad
por parte de grupos de consumidores y funcionarios de la UE,339 así como de una falta
de adopción por parte de los proveedores de servicios quienes fueron altamente
reticentes a confiarles los datos de sus clientes.
La arquitectura de autenticación "federada" promovida por la Liberty Alliance340 (una
alianza industrial de aproximadamente 160 industrias claves en una amplia gama de
sectores, dirigidas por muchas compañías principales que fueron reticentes a delegar su
autonomía a la iniciativa original del Passport de Microsoft) deja los datos personales
en las organizaciones que los colectan, y permite la coexistencia de múltiples "círculos
de confianza". Sin embargo, aún esta arquitectura no hace nada para mejorar la
privacidad de los usuarios: el poder de autenticación (y por tanto el poder del control de
acceso) permanece centralizado. Específicamente, cuando un proveedor de servicio trata
con un usuario, este consulta en tiempo real a la central "proveedora de identidad" en su
círculo de confianza; el proveedor de identidad simplemente devuelve una confirmación
de la autenticación como validación de la identidad afirmada del acceso solicitado, la
338
Mayor información disponible en <http://epic.org/privacy/consumer/microsoft/passport.html>.
Id.
340
Mayor información disponible en <http://epic.org/privacy/authentication/projectliberty.html>.
339
80
cual es utilizada por el proveedor del servicio para su propio proceso de autorización.
Aunque los usuarios puedan ser "seudónimos" dirigidos a los proveedores de servicios
(en Liberty Alliance el proveedor de identidad asigna diferentes nombres de usuario al
mismo usuario, uno por proveedor de servicio), estos no están ciertamente vis-à-vis con
las más poderosas de las partes en esta arquitectura: el proveedor de identidades. Dentro
de cada círculo de confianza, el proveedor de identidad puede hacer un seguimiento,
ubicar y enlazar en tiempo real todas las interacciones entre los usuarios y las
organizaciones. El proveedor de identidad puede incluso suplantar usuarios y
falsamente negarles acceso a cualquier sitio.
Mientras que tales enfoques de centralización de autenticación puedan satisfacer las
necesidades de las grandes empresas que desean hacer manejo de identidades
relacionadas a empleados y a proveedores dentro de sus sucursales internas, más allá de
este restringido contexto, el enfoque rápidamente se vuelve altamente problemático con
relación a la privacidad. Este podría incluso estar en conflicto con la legislación de
privacidad. Si es adoptado a una escala gubernamental, las implicaciones de estas
arquitecturas invasivas de la privacidad serían ciertamente sin precedentes.
En un mundo electrónico, si al nivel técnico (por medio del análisis del flujo electrónico
de datos) todos es inevitablemente identificable a través de identificadores únicos
globales, la legislación sobre privacidad se vuelve virtualmente intrascendente; ¿Cómo
podría uno forzar a las organizaciones a no colectar información identificable cuándo no
pueden impedir que esta sea entregada a ellos? La única salida del aparente conflicto
entre la autenticación y la privacidad es recurrir a tecnologías de autenticación que
técnicamente separen la noción de autenticación de aquella de identificación. Dos
décadas de investigación en criptografía han demostrado que la autenticación segura y
la privacidad no son concesiones, sino que se refuerzan mutuamente cuando se
implementan apropiadamente. Utilizando las técnicas que están enraizadas en la
criptografía moderna tales como la Digital Credentials,341 es completamente posible el
realizar una autenticación segura sin necesariamente requerir la identificación. Por
ejemplo, la autenticación basada en roles puede ser implementada de manera tal que el
solicitante del acceso no pueda ser identificado
De manera más general, las técnicas de autenticación que preservan la identidad
permiten a cada parte involucrada en el procesamiento electrónico y en el reenvío de
información sensible en términos de privacidad a retener de manera segura un control
fino sobre la información, aun cuando la información es transmitida electrónicamente
más allá de los cortafuegos de la corporación y a través de dominios organizacionales
arbitrarios. En ningún punto de la cadena de información electrónica la transferencia de
información de una parte a la siguiente permitirá a ninguna de las partes saber más de lo
que el remitente expresamente permite.
Esfuerzos internacionales de investigación están actualmente en curso para crear
sistemas de autenticación que preserven el anonimato, e incluyan el desarrollo de
nuevas tecnologías que favorezcan la privacidad para ser utilizadas en tales
programas.342 Estas tecnologías favorables a la privacidad permiten la separación de
341
Stefan Brands, "Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy,"
MIT Press, Agosto 2000, con el prólogo del Prof. Ronald L. Rivest. Véase
<http://www.credentica.com/the_mit_pressbook.html>.
342
Vea, p.ej., Carlisle Adams, "Delegation and Proxy Services in Digital Credential Environments,"
Presentado en el 7mo Taller Annual de Privacidad y Seguridad, "Your Identity Please: Identity Theft and
Identity Management in the 21st Century," 2 de noviembre de 2006, disponible en
<http://www.idtrail.org/files/cacrwkshpdigcred02nov06.pdf>; Stefan Brands, "Non-Intrusive Cross-
81 autenticación e identificación y están siendo desplegadas en respuesta a
vulnerabilidades de seguridad. Tales tecnologías pueden insertarse en metasistemas de
identificación, tales como el CardSpace de Microsoft.343 Mientras que la configuración
por defecto de CardSpace no cumple actualmente con estándares establecidos para la
preservación de la privacidad,344 este modelo debe ser estudiado en detalle cuando se
consideren tecnologías de autenticación.345
En junio de 2007, el Consejo de la OCDE aprobó la Recomendación alentando a los
Estados Miembros a establecer enfoques compatibles, tecnológicamente neutros para
facilitar la autenticación a través de las fronteras. La Guía fija el contexto y la
importancia de la autenticación electrónica para el comercio electrónico, el gobierno
electrónico y muchas otras interacciones sociales. Este dispone varios principios
fundamentales y operacionales que constituyen un denominador común para la
interoperabilidad a través de las jurisdicciones. Según la OCDE, la autenticación
electrónica es un componente esencial de cualquier estrategia para proteger los sistemas
y redes de información, datos financieros, información personal y otros activos del
acceso no autorizado o del robo de identidad. La autenticación electrónica es por tanto
esencial para el establecimiento de una rendición de cuentas en línea.346
Cada vez que se implemente una nueva medida de autenticación para un mecanismo de
transacción existente o nuevo, es imperativo que los diseñadores y adoptantes analicen
cuánta información personalmente identificable es realmente necesaria de ser revelada
para propósitos de autenticación. Asumiendo que la revelación de información es
necesaria y proporcional con relación a la naturaleza de la transacción, entonces se debe
buscar implementar las necesidades de seguridad utilizando las tecnologías de
autenticación que protejan la privacidad, en vez de recurrir a los enfoques basados en la
ineludible identificación.
Domain Digital Identity Management," Presentado en los Anales del 3er Taller Anual PKI R&D, Abril
2004, disponible en <http://www.idtrail.org/files/cross_domain_identity.pdf>; David Chaum, "SecretBallot Receipts: True Voter-Verifiable Elections," Presentado en la Serie de Seminarios ITL, "SecretBallot Receipts: True Voter-Verifiable Elections," National Institute of Standards & Technology, 19 de
mayo de 2004; Paul Van Oorschot & S. Stubblebine, "Countering Identity Theft through Digital
Uniqueness, Location Cross-Checking, and Funneling," Criptografía Financiera & Seguridad de Datos
(2005), disponible en <http://fc05.ifca.ai/p03.pdf>.
343
Vea el Windows CardSPace <http://windows.microsoft.com/en-us/windows-vista/WindowsCardSpace>; vea también OpenCard <http://www.openscdp.org/ocf/>.
344
Stefan Brands, "User Centric Identity: Boon or Worst Nightmare to Privacy?," Identity Corner, 17 de
noviembre de 2006, disponible en <http://idcrnr.wordpress.com/2006/11/17/user-centric-identity-boonor-worst-nightmare-to-privacy/>.
345
Vea en general, National Research Council, "Who Goes There? Authentication through the Lens of
Privacy" (National Academies 2003).
346
OCDE Recomendación sobre Autenticación Electrónica y Orientación para la Autenticación
electrónica,
disponible
en
<http://www.oecd.org/document/7/0,3343,en_2649_34223_38909639_1_1_1_1,00.html>.
82
Registros Públicos
En los últimos años los países alrededor del mundo han dado grandes pasos en la
provisión de acceso a los registros públicos a sus ciudadanos como un medio de
combatir el abuso de la autoridad gubernamental, la corrupción y la promoción de la
libertad de prensa. Actualmente, más de 70 países alrededor del mundo han adoptado
leyes de transparencia gubernamental o de libertad de la información.347
Los registros públicos presentan algunos de los más difíciles retos de privacidad. Por un
lado, los registros públicos pueden asistir a los individuos en asegurarse que un
gobierno se mantiene transparente y responsable. Por otro lado, los registros públicos
pueden convertirse de una herramienta de fortalecimiento ciudadano a una que faculte a
los gobiernos y negocios a rastrear a los ciudadanos.348 La Convención de las Naciones
Unidas contra la Corrupción alienta a los países a desarrollar medios para proveer de
acceso a los registros públicos y al mismo tiempo proteger la privacidad y los datos
personales.349
De manera creciente, información personal está siendo recogida de los registros
públicos para crear perfiles detallados de individuos. Los registros públicos pueden
contener muchos tipos de información personal que es valiosa comercialmente. Entre
ellas: números de Seguridad Social, registros de nacimientos, información sobre
arrestos, antecedentes civiles, antecedentes penales, direcciones, información de
licencia de conducir, transacciones de venta de tierras, registros de participación de
activos, propiedad de corporaciones, estado civil, presencia de hijos, status laboral, e
información de salud. A menudo, los individuos son obligados por ley a proporcionar
información personal completa y fidedigna a las autoridades del gobierno, información
que luego es colocada en los registros públicos. Por ejemplo, con el fin de ejercer el
derecho de matrimonio, en algunos estados una licencia públicamente disponible debe
ser llenada en un juzgado conteniendo los Números de Seguridad Social de las
personas. Las leyes de registros públicos también son vitales para el cumplimiento de
derechos de privacidad fundamentales tales como protegerse contra la creación de bases
de datos secretas, el cumplimiento del derecho a corregir información inexacta, y el
saber cuándo, dónde y cómo se utiliza la información obtenida de los ciudadanos.
El advenimiento del acceso electrónico remoto a los sistemas de registros públicos ha
levantado el espectro de una más vasta posibilidad de exploración de datos y creación
de perfiles. La exploración de bases de datos de registros públicos pronto no requerirá
más el tiempo y el dinero que implica el trasladarse a la localización física de los
registros. Los analistas de datos serán capaces de acceder remotamente a los sistemas de
registros públicos y utilizarán software ampliamente difundido para recoger
información personal. Esta recolección de información personal ya ha tenido un
impacto sustancial en las personas.
347
Privacy International, Freedom of Information Around the World 2006 Report, 9 de septiembre de
2006, disponible en <https://www.privacyinternational.org/article/freedom-information-around-world2006-report>.
348
Daniel J. Solove, Access and Aggregation: Public Records, Privacy, and the Constitution, 86
Minnesota Law Review 6 (2002).
349
Convención de las Naciones Unidas contra la Corrupción, Artículo 10 Información Pública, disponible
en
<http://www.mecon.gov.ar/basehome/informes/convencion_de_las_naciones_unidas_contra_la_corrupci
on.pdf>.
83
La irrestricta recolección comercial de información de los registros públicos ha
permitido al gobierno de los Estados Unidos de América obtener con facilidad
expedientes detallados de ciudadanos.350 A través de una alianza privada-publica,
muchas compañías creadoras de perfiles hacen accesibles al gobierno expedientes de
consumidores. Una compañía en particular, ChoicePoint,351 ha emergido como el líder
en el suministro de información a las fuerzas del orden y a otras agencias
gubernamentales.352 ChoicePoint mantiene páginas web personalizadas para agencias
federales individuales para facilitar la venta de información de los registros públicos a
la policía.353 Como resultado de las peticiones iniciadas por EPIC bajo el amparo de la
Ley de Libertad de Información (FOIA, en inglés), se descubrió que ChoicePoint estaba
vendiendo las bases de datos de cédulas de identidad nacionales de varios países
Latinoamericanos a la agencia encargada del cumplimiento de la ley en Inmigración de
los Estados Unidos de América.354 A raíz de esta revelación, varios países de
Centroamérica y Sudamérica han iniciado investigaciones sobre la legalidad de esta
transferencia de información.
350
Chris J. Hoofnagle, Big Brother's Little Helpers: How ChoicePoint and Other Commercial Data
Brokers Collect, Process, and Package Your Data for Law Enforcement, University of North Carolina
Journal of International Law & Commercial Regulation (Primavera 2004).
351
Véase ChoicePoint, disponible en <http://epic.org/privacy/choicepoint/>.
352
"If the FBI Hopes to Get the Goods on You, It May Ask ChoicePoint," Wall Street Journal, 13 de abril
de 2001.
353
Véase ChoicePoint FBI; ChoicePoint DEA; ChoicePoint Government
354
Documentos disponibles en <http://epic.org/privacy/publicrecords/inschoicepoint.pdf>.
84
C. Privacidad y Derechos
Humanos en Europa 2010
Parte Introductoria
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for
Media and Communications Studies (CMCS), se complacen en presentar la
investigación titulada "Privacidad y Derechos Humanos en Europa (EPHR) 2010",
financiada por el Programa Especial "Derechos Fundamentales y Ciudadanía", de la
Comisión Europea (2007-2013).
85
86
ACERCA DEL EPHR
EPHR investiga el panorama europeo compuesto por las legislaciones y regulaciones
nacionales de privacidad/protección de datos así como de cualquier otra ley o
acontecimiento reciente con algún impacto en la privacidad. La investigación está
compuesta por 33 informes específicos, una vista panorámica que presenta un análisis
comparativo de los aspectos legales y políticos de los principales tópicos vinculados a la
privacidad y una calificación de la privacidad para todos los países investigados.
Privacy International ha conducido un análisis de los informes nacionales. Nuestro
equipo de investigación ha obtenido información adicional de otras fuentes para
proporcionar la información resumida, que se presenta a continuación, para cada país,
registrando los acontecimientos principales e identificando el estado de los eventos.
Este proyecto fue financiado con el apoyo del Programa de Derechos Fundamentales y
Ciudadanía de la Comisión Europea.
87
HALLAZGOS PRINCIPALES
Europa es el líder mundial en derechos de privacidad. Pero contar con un liderazgo
como éste, implica preocuparse por el futuro. La Directiva de Protección de Datos ha
sido implantada en todo los Estados Miembros de la Unión Europea e incluso más allá,
pero todavía persisten ciertas inconsistencias. La armonización de la vigilancia con la
que se amenazó una vez, ya está ahora en retirada. Sin embargo, hay tantas lagunas y
exenciones que cada vez es más problemático tener una comprensión completa de las
situaciones de privacidad en los países de Europa. El disfraz de la "seguridad nacional"
engloba muchas prácticas, minimiza las autorizaciones de salvaguardas y previene las
omisiones.
¿Cuál es la primera conclusión? La situación está entreverada. Y para un líder mundial,
esto es poco convincente e inaceptable.
Lo bueno
• Las democracias europeas gozan, en general, de buena salud, contando la
mayoría de ellas con protecciones constitucionales.
• Las políticas de vigilancia han enfrentado obstáculos en toda Europa, entre ellos
desafíos políticos, problemas de implementación de políticas y la resistencia de
parte de los reguladores, la sociedad civil, el público en general y la industria.
• Los reguladores europeos están recibiendo cada vez más quejas, lo cual
interpretamos como un signo de un incremento en la toma de conciencia sobre
los problemas de la privacidad y sobre los deberes de los reguladores.
• Se crearon los requisitos de notificación para las personas puestas bajo
vigilancia secreta (Luxemburgo, Suiza, República Checa).
Lo heroico
• Grecia: en 2007 hubo una renuncia colectiva por parte del regulador en protesta
contra la insistencia del gobierno en replantear el sistema de vigilancia de las
Olimpiadas.
• Alemania: grupos organizaron una campaña contra la retención de datos de
comunicaciones en la cual 34,000 personas presentaron el caso ante el Tribunal
Constitucional contra la ley.
• Países Bajos: la política obligatoria sobre medidores inteligentes tuvo que ser
eliminada ante la oposición a esta.
• Reino Unido: las ONGs organizaron campañas políticas contra las políticas de
vigilancia del anterior gobierno, que resultaron en la derogación de la política
sobre temas que iban desde documentos de identificación y pasaportes
biométricos, hasta prácticas vinculadas al ADN y grandes bases de datos.
Lo vergonzoso
• Muchas propuestas
implementación.
ambiciosas
de
88
vigilancia
han
fracasado
en
su
• La utilización de pasaportes biométricos y de retención de datos está
fragmentada.
• Los recortes financieros han afectado la capacidad de los reguladores para hacer
su trabajo, p.ej. en Letonia, Rumania.
• Las autorizaciones ministeriales todavía existen en demasiados países, entre
estos, Irlanda, Malta, Reino Unido.
• El acceso a datos financieros está en aumento, p.ej. en Bélgica, Croacia,
República Checa, Francia, Alemania, Grecia, Italia, Noruega, Polonia,
Eslovenia.
• Mecanismos de supervisión fallidos, p.ej. la renuncia del comisionado sueco en
protesta por la vigilancia encubierta.
Lo malo
• Incapacidad para crear salvaguardas en procesos para tener acceso a información
sobre nuevos servicios p.ej. en Francia, Alemania y Suiza se está buscando tener
poderes para conducir búsquedas secretas en computadoras; ambiguos poderes,
en Irlanda, para la intercepción sin orden judicial de comunicaciones por Voz
sobre Protocolo de Internet (VoIP, en inglés); la creación de "accesos no
documentados" en los sistemas en Italia; y las "cajas negras" instaladas en los
Proveedores de Servicios de Internet (ISPs, en inglés) de Bulgaria.
• Francia: intentó de ignorar las propuestas de enmienda constitucional para
incluir un derecho constitucional a la privacidad de manera explícita.
• Sistemas de e-Salud con fallas en la seguridad y/o registros centralizados
(Francia, Alemania, Italia, Países Bajos).
• Surgimiento de nuevos registros biométricos y bases de datos y más en proceso
de elaboración (Estonia, Italia, Lituania, Países Bajos).
• Pocas protecciones y salvaguardas para el acceso gubernamental a los datos (en
la mayoría de los países).
• Todavía se presentan vigilancias ilegales y sin orden judicial.
• Periodistas y grupos disidentes se hallan bajo vigilancia (Lituania, Antigua
Yugoslavia República de Montenegro, Polonia, Rumania, Eslovaquia, Turquía).
Lo feo
• Acceso directo a la información en manos de terceros sin órdenes judiciales o
supervisión, conducidas por organismos que no rinden cuentas a nadie (p.ej. en
Bulgaria, Croacia).
• Incapacidad para auditar y revisar las acciones de los servicios secretos (p.ej. en
Lituania, Croacia, Estonia, Hungría, Suecia).
• Están surgiendo bases de datos con registros centralizados de información
médica (p.ej. en Croacia, República Checa, Dinamarca, Suecia, Noruega, Reino
Unido).
89
INVESTIGACIÓN Y ANÁLISIS
Condujimos investigaciones en cada uno de los países, apoyándonos en nuestros
colaboradores para la mayor parte de los informes nacionales. Revisamos cada uno de
los informes nacionales y creamos un resumen de los acontecimientos más importantes
pues ellos eran pertinentes para el esquema de clasificación. Cuando hubo vacios de
información intentamos suplirlos con información de otras fuentes.
Resumen de los Acontecimientos por País
Alemania
Valoración: sólido marco legal y regulatorio, entre los mejores en el mundo con
reguladores y sociedad civil altamente calificados; pero las acciones del Gobierno y de
los servicios de seguridad degradan seriamente las protecciones.
• protecciones constitucionales a la privacidad de las comunicaciones; aunque el
Tribunal Federal Constitucional también creó en 1983 el derecho a la
autodeterminación informativa; los fallos del tribunal han sido en su mayoría
protectores de la privacidad.
• la ley de protección de datos está entre las más estrictas; se han añadido
enmiendas en áreas de regulación entre ellas las de video vigilancia, tarjetas
inteligentes, supresión de elementos de identificación, etc.
• protecciones legales adicionales fueron creadas en 2008 para la privacidad de los
empleados.
• los reguladores federales y estatales se hallan entre los más meticulosos y entre
los líderes mundiales.
• el régimen de vigilancia de las comunicaciones permite interceptaciones
automatizadas sin orden judicial; amplio uso de poderes de vigilancia de
comunicaciones, entre los más altos en el mundo; las investigaciones han
mostrado que ocurren interceptaciones ilegales.
• el gobierno buscó tener poder para conducir registros secretos de computadoras,
ello fue dictaminado como inconstitucional por el Tribunal Federal
Constitucional, aunque estos pueden ser conducidos con una orden judicial.
• la información de los abonados debe ser registrada incluso para servicios de
comunicaciones prepagados.
• política de retención de datos por 6 meses, pero el acceso es regulado por orden
judicial para investigaciones explicitadas en una lista.
• su activa sociedad civil es un ejemplo para el mundo: 34,000 personas
presentaron un caso ante el Tribunal Constitucional apelando contra la retención
de datos.
• amplio uso de Circuito Cerrado de Televisión (CCTV) y de técnicas de
vigilancia visual, aunque los tribunales y los reguladores han estado activos
oponiéndose a planes (entre ellos en un caso, a través de la cámara de un museo
se podía ver el interior del apartamento privado del Canciller).
90
• la policía puede utilizar la tecnología GPS para rastrear sospechosos en casos de
graves delitos, incluso sin una orden judicial.
• se han incrementado los planes para la vigilancia para viajes y la vigilancia en
las carreteras y la remoción de salvaguardas que fueron implantadas
originalmente cuando los sistemas se pusieron en marcha.
• pasaportes biométricos que incluyen huellas dactilares, pero no están
almacenados en bases de datos centrales o locales.
• las cédulas de identificación son obligatorias; aunque pueden incorporar huellas
dactilares, de manera voluntaria, debido a que el plan original enfrentó una
considerable oposición pública.
• uso de escáneres corporales en el Aeropuerto de Hamburgo, aunque éstos son
opcionales.
• la ley de diagnóstico genético prohíbe el uso de exámenes genéticos para
empleados; los datos biométricos sólo pueden ser utilizados en el centro laboral
con la aprobación del Consejo de Dirección o la Junta de Arbitraje de los
trabajadores.
• el lanzamiento de identificaciones para e-Salud (e-Health) fue suspendido por
motivos de seguridad; ahora existen planes para un "sistema seguro de
administración de datos de pacientes".
• no existe una ley específica sobre privacidad, pero es parte del derecho
consuetudinario; aunque ahora existen medios automatizados para que las
autoridades tengan acceso a información financiera.
• no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa,
pero fue parte del proceso del Tratado de Prüm.
• el ADN obtenido de convictos por delitos graves o reincidentes en la comisión
de delitos menores, y de sospechosos acusados por delitos graves, se eliminan
cuando ya no son necesarios; las muestras se retienen por el mismo periodo.
Antigua Yugoslavia República de Macedonia
Valoración: a pesar de tener en vigencia fuertes marcos de protección, los abusos
continúan y las pobres prácticas de vigilancia persisten sin los recursos adecuados para
subsanarlas.
• existe protección constitucional para la privacidad, el secreto de las
comunicaciones y la protección de datos.
• está en vigencia una ley integral de protección de datos, la cual incluye
enmiendas recientes para reforzar el marco legal, proveyendo mayores poderes
de investigación para el regulador.
• el regulador es independiente e informa al Parlamento (éste ya ha enfrentado
desafíos políticos), y será relativamente grande en tamaño; también ha trabajado
en programas de sensibilización pública.
• identificador único vigente.
• a pesar del régimen legal, existen problemas con el régimen de vigilancia de
comunicaciones, p.ej. los periodistas están sujetos a vigilancia.
• obligación legal de las compañías de teléfonos de proporcionar acceso directo y
sin restricciones al tráfico y a otros datos al Ministerio del Interior sin aviso u
orden judicial.
91 • régimen de retención de datos de 24 meses.
• creciente número de sistemas de Circuito Cerrado de Televisión (CCTV), a
pesar que está presuntamente regulado.
• los pasaportes cuentan con huellas dactilares; y la cédula de identificación
nacional también cuenta con datos biométricos.
• no existen protecciones especiales para vigilancia en centros laborales
• ratificó el Convenio sobre Ciberdelincuencia.
Austria
Valoración: es impresionante que el Gobierno no haya implantado la retención de datos;
sin embargo existen algunas preocupaciones sobre el alcance de la compartición de
datos particularmente para vigilancia fronteriza.
• no cuenta con una protección constitucional específica, aunque existe una ley
federal con varias estipulaciones constitucionales entre ellas la de protección de
datos como derecho fundamental; la enmienda constitucional fracasó, a pesar de
ello, las protecciones se mantienen; adhesión al Convenio Europeo para la
Protección de los Derechos Humanos y de las Libertades Fundamentales en las
decisiones de la Corte Constitucional, aunque la Corte desestimó un caso sobre
acceso policial a datos; también ordenó que el acceso a datos en poder de los
proveedores de servicio de Internet para casos de derechos de autor no sea
necesario.
• se hicieron enmiendas sustanciales para mejorar la anterior ley de protección de
datos y contar con recursos en casos de interferencias; también se incluyeron
leyes sectoriales y leyes que se aplican a áreas específicas (comunicaciones,
genética, medicina, finanzas).
• el regulador puede ordenar a los controladores a responder apropiadamente a las
solicitudes de información, incluyendo al personal del sistema judicial; se ha
incrementado el número de casos; pueden formularse cargos criminales; alta
tasa de éxito en casos a pesar de la escasez de personal.
• el regulador todavía no cuenta con independencia, a pesar de la notificación de
este problema en 2005, por parte de la Comisión Europea.
• la centralización de datos de estudiantes ha disminuido su periodo de retención
de datos de 60 años a 20 años, con más limitaciones en cuanto a acceso y uso.
• órdenes judiciales para interceptación de comunicaciones cuando un crimen es
punible con uno o más años de prisión – este es un umbral muy bajo; las
investigaciones múltiples son posibles para casos complejos de crímenes
punibles con más de diez años de prisión y la aprobación de esta normativa fue
rechazada.
• las leyes de acceso a datos fueron cambiadas para incrementar su disponibilidad,
particularmente en emergencias y sin órdenes judiciales; la Corte Constitucional
desestimó un caso que puso en entredicho esta práctica.
• el gobierno ha propuesto el uso de Troyanos para tener acceso a sistemas de
cómputo, pero los planes actualmente están estancados.
• no se ha implantado la Directiva de Retención de Datos, debido a que el tema es
controvertido en Austria.
• amplio poder para la recolección de datos a través de vigilancia acústica, aunque
éste no sea utilizado a menudo.
92
• el regulador ha fallado a favor de la privacidad médica, p.ej. impidiendo a los
investigadores tener acceso a datos médicos de convictos adictos a drogas que
están en rehabilitación.
• amplio uso del Sistema de Información Schengen, p.ej. para la expedición de
licencias de conducir.
• informes de planes para otorgar acceso a datos por parte de gobiernos
extranjeros, es decir, otorgarle acceso a las autoridades de los Estados Unidos de
América a bases de datos de ADN, datos de huellas dactilares, etc.
• incremento en el uso de Circuito Cerrado de Televisión (CCTV), aunque algunas
salvaguardas se han introducido, entre ellas la proporcionalidad; existe un
énfasis en el borrado en tiempo real, en vez de su grabación y posterior borrado
después de 72 horas.
• recolección de dos huellas dactilares para pasaportes biométricos, pero los datos
son almacenados sólo en el chip y a los menores de 12 años no se les toman
huellas; tenencia de una tarjeta electrónica inteligente para la seguridad social; la
obligación de que cada ciudadano cuente con la tarjeta ha sido abandonada.
• la Corte Suprema falló a favor de la privacidad en el centro laboral:
restringiendo el uso del escáner biométrico de lectura del tiempo, ello por
razones de dignidad humana.
• los empleadores no pueden vigilar las comunicaciones privadas de sus
empleados, si y sólo si, estas están etiquetadas como tales; los empleadores no
deben utilizar Circuito Cerrado de Televisión (CCTV) excepto para vigilar
objetos.
• bajos niveles de protección para información médica en sistemas de
información, con reglas de acceso amplias para personal autorizado.
• reducciones recientes de protecciones sobre compartición de datos con otros
países en relación a cuentas financieras; aunque los bancos están regulados en la
manera como pueden utilizar la información personal, incluyendo la de
capacidad crediticia.
• actualmente se ocupan de la propuesta de "Base de Datos de Transparencia"
("Transparency Database"), que contendría el ingreso neto y beneficios sociales
por persona, aunque hay salvaguardas respecto de quien tiene acceso.
• ADN se obtiene sólo de aquellos inculpados por delitos graves y de los
convictos, aunque la retención es indefinida para convictos; la información de
los sospechosos sólo se elimina siempre y cuando se le absuelva y haya
presentado una solicitud; el perfil se mantiene retenido incluso si se ha
producido absolución.
• el gobierno se jacta de estar entre los países líderes a nivel mundial respecto al
tratamiento del ADN, también de liderar el tratado de Prüm para el intercambio
de datos dentro de Europa.
Bélgica
Valoración: a pesar de que el aspecto legal es fuerte con una sociedad civil activa, las
medidas de vigilancia tecnológica son problemáticas, p.ej. el régimen de retención de
datos y la identificación única para viajar.
93
• la Constitución belga reconoce el derecho a la privacidad y a las comunicaciones
privadas; las cortes han fallado en casos de privacidad, entre ellos, los referentes
al acceso a datos de suscriptores, evitando su revelación.
• leyes específicas se aplican a las comunicaciones electrónicas, entre otras, la
regulación de vigilancia con cámaras, la privacidad médica, el crédito de
consumo y la seguridad social.
• el régimen normativo de la protección de datos ha sido criticado por no plegarse
a los requerimientos de la Unión Europea (UE); pero en la actualidad, Bélgica
ha implantado completamente, en leyes, las directivas de la UE.
• la Autoridad de Protección de Datos informa al Parlamento; tiene grandes
capacidades con 55 miembros en personal, pero el número de quejas es
relativamente bajo; pública varias guías y recomendaciones sobre procesamiento
de datos.
• también cuenta con comités que supervisan áreas de actividad específicas, p.ej.
la de seguridad social y salud, la de registro nacional, etc.
• amplio régimen normativo para la vigilancia de comunicaciones: el acceso a las
comunicaciones se autoriza por la judicatura, aunque aparenta ser una autoridad
judicial investigadora; puede exigir el descifrado de datos y obligar a los
administradores de redes a cumplir órdenes; hay un significativo número de
órdenes de interceptación, las cuales están en crecimiento.
• una ley en 2001 prohibió el anonimato para suscriptores de telecomunicaciones,
y puede prohibir cualquier servicio que dificulte la aplicación de la ley de
interceptaciones telefónicas.
• retención de datos de una hasta tres años, con una policía que favorece la
política de tres años, aunque no está completamente a punto; la industria se ha
opuesto a una vigilancia de gran alcance.
• en 2005 se estableció una nueva agencia para el "análisis de amenazas", por
medio de la evaluación de información producto de vigilancia secreta en manos
de otras agencias de inteligencia, la cual según la Autoridad de Protección de
Datos carece de salvaguardas adecuadas.
• amplio plan para la vigilancia de todos los vehículos y su movimiento en
Bélgica.
• uno de los primeros países en implantar la tecnología de Identificación por
Radio Frecuencia (RFID, en inglés) en sus pasaportes.
• uno de los primeros países también en implantar "identificadores inteligentes"
para firmas digitales, y un número único de identificación en todos los servicios
gubernamentales; y ahora la Identificación electrónica (eID, en inglés) puede ser
utilizada para comprar boletos de tren a pesar de los problemas relacionados con
la privacidad.
• incluyó documentos de identificación para niños para ser utilizados en Internet.
• un gran debate siguió a la introducción de la tecnología RFID en el sistema de
transporte público de Bruselas.
• existen reglas comunes para la vigilancia en el centro laboral y guías de la
Comisión.
• la plataforma de e-Salud (e-Health), que no es obligatoria, para el intercambio de
información dentro del sistema de salud, está basada en el consentimiento y en
protecciones incorporadas.
• todavía se aplica el secreto bancario, aunque existe un proyecto de ley para
otorgar grandes poderes a los investigadores financieros.
94
• liderazgo: el gobierno ha promovido la creación de un Observatorio de Derechos
en Internet.
• una activa red de ONGs hace notar problemas.
• no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
• el ADN de aquellos convictos por "graves ofensas", tiene un periodo de
retención de 10 años; la muestra es destruida una vez creado un perfil.
Bulgaria
Valoración: acontecimientos muy preocupantes particularmente en cuanto a vigilancia
secreta y supervisión.
• la Constitución cuenta con normas detalladas sobre la privacidad,
comunicaciones y acceso a la información.
• muchos cambios a la ley de protección de datos, algunos contradictorios; la ley
incluye poderes para imponer multas.
• amplia lista de otras leyes que cubren la privacidad.
• el regulador es independiente y es elegido por el Parlamento, y tiene poder de
decisión.
• el nivel de conocimiento de la existencia de la oficina es alto, habiendo recibido
45,000 solicitudes para información en 2009, aunque sólo 158 quejas.
• prevalece el argumento de la seguridad nacional y a la vez disminuyen los
obstáculos para tener acceso a información en manos de organizaciones del
sector privado.
• poca supervisión a la utilización de interceptación de comunicaciones por parte
de los servicios de seguridad nacional y existencia de antecedentes de abusos.
• un cambio de política está en marcha para remediar lo señalado; con una
subcomisión del Parlamento encargada de la supervisión.
• no existen estadísticas oficiales sobre el uso de las intercepciones.
• no existe consulta sobre la política de retención de datos, con el gobierno
buscando acceso directo a las bases de datos de tráfico, dando lugar a fuertes
críticas; últimamente el tema fue llevado a las cortes y la Corte dictaminó que
los datos sólo pueden ser accedidos después de que se haya emitido una orden
judicial.
• dos gobiernos distintos han persistido en su intento de tener acceso directo a los
almacenes de datos.
• significativa restricción al uso anónimo de Internet, p.ej. a las compañías de
alojamiento de sitios web.
• las cédulas de identificación cuentan con datos biométricos.
• la recolección de ADN, y violaciones al uso del ADN han sido identificados por
el regulador; recolectados de aquellos acusados de crímenes dolosos, se
eliminan cuando no existe una razón adicional para su conservación con base en
las características del caso (análisis caso por caso).
• no existe un marco claro de salvaguardas para hacer frente a la vigilancia en el
centro laboral.
• algunas salvaguardas están vigentes para la privacidad médica, incluyendo leyes
especiales.
• no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
95 Croacia
Valoración: surgió en el país un promisorio debate respecto a la privacidad. Preocupa la
vigilancia de las comunicaciones y la supervisión.
• la Constitución protege tanto la privacidad como la protección de datos.
• la ley de protección de datos contiene la capacidad de imponer multas, aunque
por montos pequeños; la pena de prisión es una opción, aunque ese poder nunca
ha sido utilizado.
• la Comisión Europea ha afirmado que la Ley de Protección de Datos todavía
requiere de trabajo adicional para lograr una plena adecuación a la de la Unión
Europea.
• existen dos regulaciones adicionales para la protección de datos para sistemas de
registro y categorías especiales de datos personales; pero no existen protecciones
sectoriales.
• el organismo regulador es independiente e informa al Parlamento; tiene poder de
decisión y en 2008 se ocupó de 626 casos.
• la vigilancia de las comunicaciones se autoriza por la Corte Suprema o por
jueces de investigación sólo por un máximo de 7 meses y los poderes de
supervisión son débiles ante la poca vigilancia a las agencias de inteligencia.
• la autoridad central reclama el derecho de conducir interceptaciones a nombre de
las agencias, en vez de tener que contactar a los proveedores de servicios; y es
un organismo no supervisado.
• se retienen todos los datos de comunicaciones recolectados por los proveedores
de servicios por un periodo de 12 meses.
• se desarrollan planes para una política de registros obligatorios del módulo de
identificación del suscriptor o tarjeta SIM de los teléfonos celulares.
• creciente uso de Circuitos Cerrados de Televisión (CCTV), incluso en algunos
colegios, esto a pesar del surgimiento de oposición pública.
• se ha propuesto pero no implantado el uso de pasaportes biométricos.
• se busca reducir el uso de un identificador único.
• las prácticas de vigilancia en el centro laboral están incrementándose, y han
habido llamados para su revisión y la de algunas guías regulatorias.
• es posible el intercambio a gran escala de datos financieros y los cambios a la
Ley de Bancos permiten un mayor uso de la información.
• el sistema de información médica centralizada carece de garantías y no involucra
el aviso o consentimiento de los ciudadanos.
• el Convenio sobre la Ciberdelincuencia ha sido incorporado en la ley nacional
• se recolecta el ADN si la identidad está en duda en una investigación, la
retención del ADN de personas convictas es por un periodo de 20 años.
Chipre
Valoración: información limitada de modo que no se puede hacer una evaluación
completa, aunque hay algunos eventos promisorios, p.ej. la vigilancia en los centros
laborales.
• la Constitución protege la privacidad y las comunicaciones.
96
• se encontró que la ley de protección de datos no es consistente con la Directiva
de Protección de Datos sobre el derecho a la información, transferencia a
terceros países, y algunos mecanismos procedimentales; se desconoce si esta
situación ha mejorado o no.
• el regulador es designado por el Consejo de Ministros, en consulta con el
Parlamento, de modo que no es enteramente independiente; la cabeza de la
autoridad regulatoria debe ser necesariamente un juez de la Corte Suprema.
• el regulador puede investigar quejas pero también puede conducir
investigaciones de oficio.
• hay un bajo nivel de quejas en el país, pero se conducen iniciativas de
concientización pública.
• se regula la recolección de huellas dactilares en el centro laboral y se reserva
sólo para casos excepcionales.
• la vigilancia de las comunicaciones requiere una orden de la corte, aunque el
Fiscal General puede ahora autorizarla para ahorrar tiempo; una ley de 2006
permitía a la policía vigilar las bitácoras electrónicas (blogs), descargas y
correos electrónicos.
• no existen protecciones legales enérgicas en relación a los Circuitos Cerrados de
Televisión (CCTV); el regulador interviene y solicita una justificación previa a
la instalación.
• los casos de vigilancia en el centro laboral involucraron incluso el uso de
micrófonos secretos.
• la vigilancia en el centro laboral está regulada por la Orden de Empleo de la
autoridad.
• se ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
• ADN: recolectado de todos los convictos y sospechosos; se eliminan cuando el
registro queda limpio; los perfiles de los sospechosos se eliminan cuando estos
son absueltos o eximidos.
Dinamarca
Valoración: el régimen de vigilancia de comunicaciones necesita supervisión. Es
preocupante para toda la sociedad el uso de un identificador único, como también lo es
el crecimiento en el uso de Circuito Cerrado de Televisión (CCTV); el régimen de ADN
probablemente contravenga lo dispuesto por el Convenio Europeo para la Protección de
los Derechos Humanos y de las Libertades Fundamentales.
• protección constitucional a la privacidad y de manera indirecta a la protección de
datos.
• los cambios a la ley de protección de datos permiten un creciente intercambio de
datos.
• las agencias de inteligencia están exceptuadas de las leyes de privacidad.
• las leyes sectoriales disponen protecciones para la información médica,
financiera y el mercadeo.
• el regulador es y reclama ser un organismo público independiente, pero personal
clave es nombrado por el Ministro de Justicia.
• se ha recibido un alto número de quejas; el regulador se ha involucrado en casos
de alto perfil (p.ej. del sistema de inmigración, Facebook).
97 • la ley de vigilancia de las comunicaciones permite a la policía tener acceso a una
lista de todos los teléfonos celulares activos cerca de la escena de un crimen; el
gobierno también ha considerado la idea de permitir la intercepción a gran
escala de comunicaciones en un área.
• altos niveles de solicitudes de interceptación y de aprobaciones de las cortes.
• se ha implantado a través de una orden administrativa la retención de datos por
12 meses a pesar de una fuerte oposición, aunque desde entonces se han hecho
algunos cambios para excluir a los pequeños proveedores de servicios de
Internet.
• los pasaportes biométricos incluyen reconocimiento facial pero todavía no
huellas dactilares.
• no existe una cédula de identificación pero un único número todavía se utiliza
para identificarse en los registros públicos.
• han surgido casos de vigilancia en el centro laboral y han dado como resultado la
imposición de pequeñas multas.
• las normas sobre Circuito Cerrado de Televisión (CCTV) son laxas y por tanto,
éste se ha vuelto más extendido.
• portal de e-Salud (e-Health) con un registro central, pero dispone el acceso de
los ciudadanos a sus propios registros médicos y utiliza acceso autenticado; líder
mundial en mantenimiento de registros centralizados.
• ADN: recolectado de convictos y sospechosos acusados de delitos que pueden
conducir a más de 1.5 años de prisión; se retienen tanto para convictos como
sospechosos hasta dos años después de su muerte; y las muestras son retenidas.
Eslovaquia
Valoración: algunas protecciones básicas pero preocupantes implantaciones de políticas
de identificación, además de protecciones poco claras en algunas áreas.
• protección constitucional para la privacidad, el secreto de las comunicaciones y
la protección de datos.
• ley integral de protección de datos así como algunas leyes específicas, aunque
algunas veces ambiguas, p.ej. la vigilancia en el centro laboral.
• el regulador es independiente y está conduciendo actividades de concientización
con relativo éxito; ha tomado algunas decisiones que han sido controversiales
para el gobierno, particularmente con relación a la política de identificación.
• se requiere de órdenes judiciales para la interceptación de comunicaciones en
casos de delitos graves; un caso en la Corte Constitucional ha provocado que se
requiera al Gobierno la motivación o sustanciación de las órdenes de
interceptación.
• antecedentes de abusos contra políticos y grupos específicos; los hogares de los
rumanos están siendo penetrados sin contar con órdenes.
• seis meses de retención para datos de comunicaciones por Internet; y 12 meses
para datos de otras formas de comunicación.
• el uso de sistemas de Circuito Cerrado de Televisión (CCTV) se ha determinado
que está en contravención con los requerimientos regulatorios.
• los pasaportes biométricos incluyen huellas dactilares.
98
• cédula de identificación obligatoria con información adicional más allá de las
características del perfil básico; y se planea una cédula de identificación
electrónica.
• procedimientos detallados para vigilancia en el centro laboral.
• suscribió un acuerdo con los Estados Unidos de América para transferir datos de
pasajeros.
• ADN: obtenido de cualquiera que sea penalizado con más de una multa, y de
todos los sospechosos; los perfiles de los convictos se retiene por 10 años, los
datos de los sospechosos se eliminan una vez absueltos; las muestras se
destruyen tan pronto sea posible.
Eslovenia
Valoración: prácticas problemáticas de vigilancia, aunque la oficina del Comisionado
juega un papel importante en la protección de la privacidad.
• existe protección constitucional para la privacidad, las comunicaciones y la
protección de datos.
• los cambios en la ley de protección de datos incorporan la cobertura de video
vigilancia y datos biométricos.
• también cuentan con leyes sobre privacidad médica y estadísticas nacionales.
• el regulador recibe cada vez más quejas; y está bien considerado en su labor el
reforzar la protección de datos en Eslovenia.
• la interceptación requiere de orden judicial; los servicios secretos tienen mayor
flexibilidad y esta posición fue respaldada por la Corte Constitucional.
• el tráfico de las comunicaciones fue originalmente retenido por 24 meses, pero
recientemente fue enmendado y recortado a 14 meses para el tráfico telefónico y
ocho meses para el tráfico de Internet.
• aunque el Comisionado ha elaborado guías para la vigilancia en el centro
laboral, éste no ha sido revisado aún por el Parlamento.
• la privacidad médica se norma en la Ley de Derechos de los Pacientes; y los
abusos han provocado la expedición de multas por parte del Comisionado.
• se han notado abusos en relación a la privacidad financiera cuando la
Administración Tributaria accedió innecesariamente a registros de
contribuyentes.
• ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
España
Valoración: admirable regulador, pero las cortes no han sido demasiado útiles en
asuntos de privacidad. Falta de un adecuado debate sobre vigilancia tecnológica.
• protección constitucional para la privacidad y la protección de datos.
• las protecciones integrales son actualizadas de manera regular para incrementar
las protecciones.
• el regulador es renombrado a nivel mundial; decisiones y guías enérgicas, así
como la capacidad para expedir multas.
99
• las leyes de vigilancia de comunicaciones han sido criticadas por ser vagas, entre
ellas las de recuperación de contraseñas, y la de interceptaciones sin
autorización.
• periodo de retención de 12 meses para datos de comunicaciones y prohibición
del anonimato en teléfonos celulares prepagados.
• el uso de sistemas de Circuito Cerrado de Televisión (CCTV) está regulado y
algunas veces se requieren métodos de información.
• el debate sobre las cédulas de identificación ha sufrido por la promoción
unilateral de la cédula en vez de un análisis crítico de sus capacidades.
• el ADN se elimina luego de la absolución.
• los sistemas de registro de e-Salud (e-Health) están emergiendo.
• ratificó el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Estonia
Valoración: existe un marco legal, pero las políticas y las tecnologías están entre las
peores de Europa.
• la Constitución se aplica a la privacidad, las comunicaciones y la protección de
datos; las cortes superiores se han ocupado de casos de privacidad aunque los
resultados son mixtos, recientemente la jurisprudencia muestra interés en
ampliar la privacidad.
• el marco de protección de datos trata los datos biométricos y genéticos como
"sensibles".
• el regulador tiene poderes para imponer multas, pero estas son muy pequeñas; el
regulador llegó a ser independiente en 2007, aunque opera como dependiente del
Ministerio de Justicia; es relativamente una dependencia pequeña, aunque su
actividad se está incrementando.
• la vigilancia se autoriza por medio de los jefes de las agencias.
• sin embargo, la vigilancia de las comunicaciones requiere la autorización de un
juez de investigación.
• ley de retención de datos por un periodo de 12 meses.
• los poderes de uso de bases de datos y de análisis de datos por parte de las
fuerzas del orden y seguridad nacional son problemáticos.
• creciente uso de Circuito Cerrado de Televisión (CCTV), aunque existe una falta
de datos oficiales al respecto; el proyecto de ley sobre CCTV está en el
Parlamento.
• las cédulas de identificación obligatorias incluyen registros biométricos del iris,
huellas dactilares y el rostro; la cédula es multipropósito y contiene información
e identificadores adicionales.
• pocas leyes sectoriales, aunque hay una de información crediticia.
• existe una ley de vigilancia en el centro laboral pero no existe regulación o
jurisprudencia todavía.
• sistema obligatorio de registro e-Salud (e-Health) sin la opción de resistirse al
procesamiento de información.
• estableció un acuerdo con los Estados Unidos de América para transferir datos
de pasajeros.
• ratificó el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
100
• ADN: recolectado de arrestados o convictos por cualquier "delito registrable"; se
mantiene por hasta 10 años después de la muerte tanto para sospechosos como
para convictos y las muestras se retienen indefinidamente.
Finlandia
Valoración: el regulador está trabajando arduamente en labores de sensibilización. Los
planes de vigilancia parecen ser permanentes en las deliberaciones policiales que han
ocurrido en otro lugar.
• derecho constitucional a la privacidad y las comunicaciones; varios casos han
sido juzgados.
• la ley integral de protección de datos considera sanciones civiles y penales
(prisión por hasta un año).
• las quejas al regulador se han incrementado notablemente, indicando una fuerte
conciencia sobre los derechos.
• órdenes judiciales para interceptación de comunicaciones.
• retención de datos de tráfico por un periodo de 12 meses.
• acceso a datos sobre ingresos es generalizado, p.ej. incluso para el cálculo de
multas de tráfico.
• la vigilancia generalizada es permitida en el centro laboral; también permitida
para investigar casos de robo de propiedad intelectual.
• la cédula de identificación multipropósito cuenta con información de varias
fuentes incluso de seguros médicos.
• ADN: tomado de convictos que cumplen penas de tres años o más, sospechosos
acusados de delitos penalizados con seis o más meses de prisión; los perfiles se
mantienen por diez años después de su muerte, los perfiles de los sospechosos se
eliminan dentro del año siguiente a su exculpación; las muestras se retienen por
los mismos periodos.
• ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
Francia
Valoración: de manera preocupante está cerca de ser coronado como el Estado líder en
Europa en cuanto a vigilancia. Nuevas bases de datos y prácticas de vigilancia están
surgiendo de manera continua; a pesar del arduo trabajo del regulador y la sociedad
civil, tiene algunas de las más débiles salvaguardas en Europa.
• no está explícitamente señalada en la Constitución pero ha sido reglamentada
para estar implícitamente; aunque ha habido recomendaciones para incluirla por
medio de una reforma constitucional, éstas han sido ignoradas por el Presidente.
• ley integral y leyes sectoriales para archivos, video vigilancia, empleo y
protección al consumidor.
• la Comisión Nacional de Informática y Libertades (CNIL) realiza muchas
labores alrededor del mundo; tiene poderes para imponer multas que no utiliza
ampliamente y tiene poderes limitados sobre ciertas áreas de la actividad
gubernamental.
• el nivel de actividad legal es muy alto.
101
• los nuevos poderes de vigilancia han sido desplegados con implicancias
preocupantes, p.ej. la Ley de Orientación y Programación para la Seguridad
Interior (LOPSSI2) para acceder de manera remota, grabar, recolectar y
transferir información en manos de los sistemas de Tecnologías de la
Información.
• la policía puede acceder a registros sin orden judicial en casos de terrorismo.
• hay una ley sobre el uso del registro de nombres de los pasajeros
• ley de retención por 12 meses y puede ser utilizada para casos sobre propiedad
intelectual; requiere la retención de información identificable de abonados.
• las agencias de inteligencia y de la policía han establecido una plataforma para
otorgarse a sí mismos un fácil acceso a datos de tráfico.
• alto nivel de acción regulatoria y de parte de la sociedad civil, pero
lamentablemente sólo se han logrado pequeños cambios en la política
gubernamental.
• muchas nuevas bases de datos y sistemas han sido establecidos para vigilar a
varios grupos; algunos con muy altas tasas de error.
• amplio uso de Circuito Cerrado de Televisión (CCTV).
• datos biométricos recolectados para labores de control de fronteras y para
pasaportes, aunque no existe ninguna señal de huellas dactilares en los
pasaportes.
• la propuesta de expandir el proyecto de cédulas de identificación está todavía en
suspenso debido a las protestas y críticas.
• las normas sobre privacidad en el centro laboral han permitido la lectura de
correos electrónicos por parte de los empleadores, pero el abuso de actividades
en Internet no es suficiente para la finalización del contrato.
• sistema nacional de registros e-Salud, pero con serias carencias en cuanto a
protección de datos y muchas brechas de seguridad; el sistema está bajo revisión
pero prevalecen otros problemas.
• la vigilancia financiera ha violado dos veces el Convenio Europeo para la
Protección de los Derechos Humanos y de las Libertades Fundamentales según
la Corte Europea de Derechos Humanos.
• ADN: tomado de convictos o de aquellos acusados de "graves delitos"; los datos
de los convictos se retienen por 25 años, los de los sospechosos se eliminan por
petición de la fiscalía; las muestras se retienen por iguales periodos.
Grecia
Valoración: una rica y controversial historia de la privacidad, con abusos a todo nivel y
agitación política. Aunque ocurrieron eventos prometedores a mediados de la década
del 2000, desde ese entonces el Gobierno ha fracasado repetidamente en la
implementación de las necesarias salvaguardas y por ello la vigilancia continua.
• existen protecciones constitucionales para la privacidad y las comunicaciones y
por medio de una enmienda, el derecho constitucional a la protección de datos
con una autoridad independiente.
• la detallada ley de protección de datos ha sido enmendada para actualizar las
definiciones de datos personales y ocuparse de los flujos de datos
102
•
•
•
•
•
•
•
•
•
•
•
•
transfronterizos, pero también para excluir a los Circuitos Cerrados de
Televisión (CCTV) de la ley.
el regulador es independiente, conducido por un juez y puede emitir sanciones
administrativas y penales, entre ellas multas pecuniarias medianas;
históricamente ha jugado un papel importante en los debates políticos y ha
emitido una serie de juicios.
en 2007 hubo una renuncia colectiva de parte del regulador en protesta por los
acontecimientos vinculados a los Circuitos Cerrados de Televisión (CCTV).
los organismos de supervisión existen para la vigilancia de las comunicaciones;
se ha multado a Vodafone y a Ericsson por abusos en interceptación de
comunicaciones pero ello fue revocado por la Corte Constitucional.
como consecuencia de los abusos, una nueva ley se introdujo en 2008 para
proteger la privacidad de las telecomunicaciones, exigiendo una política de
seguridad a todo proveedor de servicio y exigiendo auditorias y nuevas
penalidades por los abusos.
el Gobierno prometió un nuevo Plan de Seguridad para proteger las
comunicaciones pero no se realizó ninguna acción por parte del Gobierno.
aunque no existe una ley de retención, hay una amplia retención de datos de
comunicaciones que varía entre dos a cinco años.
el rediseño del sistema de Circuito Cerrado de Televisión (CCTV) instalado para
las Olimpiadas ha sido controversial; pero ahora éste se está expandiendo
incluso más, abarcando colegios y fue excluido de la ley.
se introdujo una ley que exige el registro de los módulos de identificación del
suscriptor o tarjetas SIM.
sistema de identificación administrado por la policía incluye la recolección de
información detallada, aunque ya no recolecta información sobre creencias
religiosas.
el uso de datos biométricos en el centro laboral ha sido regulado para
operaciones altamente sensibles.
el regulador impidió el uso de datos biométricos en el aeropuerto de Atenas.
la privacidad financiera está siendo erosionada, tanto por la tributación como por
los informes de crédito.
Hungría
Valoración: acontecimientos preocupantes en el proceso político húngaro han tenido
serias implicaciones para el panorama de la privacidad. La débil supervisión necesita
atención.
• protección constitucional de la privacidad y de los datos personales.
• una ley integral de protección de datos fue previamente estimada como
"adecuada" para el flujo transfronterizo de datos antes de unirse a la Unión
Europea.
• existen varias leyes sectoriales específicas relativas a direcciones de domicilios,
códigos de identificación, información médica, información policial, etc. e
incluso bancos biológicos, aunque la regulación es débil.
103
• el regulador puede investigar las quejas y tiene poderes de decisión; aunque
independiente, el regulador a menudo recibe presiones políticas y hay
posibilidades de un debilitamiento de sus poderes.
• el número de quejas y de casos continua aumentando; igualmente el número de
casos destacados.
• estableció un acuerdo con los Estados Unidos de América para la transferencia
de datos de pasajeros.
• creciente uso del sistema de Circuito Cerrado de Televisión (CCTV), con
periodos de retención ampliados.
• la vigilancia de las comunicaciones requiere de una orden judicial y está limitada
para delitos punibles con cinco o más años.
• han surgido informes sobre el uso de "cajas negras" en las redes de los
proveedores de servicios para interceptar comunicaciones sin una autorización.
• el Tribunal Constitucional ha notado que existen serios problemas de
supervisión.
• la retención de datos de comunicaciones se ha adoptado por ley en 2008, con un
caso pendiente que solicita su anulación.
• se unió al Tratado de Prüm para permitir el intercambio de datos dentro de los
países de la Unión Europea.
• los casos de vigilancia en el centro laboral incluyen al de Vodafone que vigilaba
el movimiento de sus empleados sin notificarles; falta regulación en este campo.
• los pasaportes contienen huellas dactilares.
• falta de regulaciones y promoción de intercambio de datos de salud y
financieros.
• sociedad civil activa.
• ratificó el Convenio del Consejo de Europa.
• ADN: obtenido de aquellos convictos de delitos específicos o sospechosos en
investigaciones con penas de cinco o más años; los datos de los convictos se
mantienen por 20 años, los de los sospechosos se retienen hasta que el proceso
sea archivado o el sospechoso absuelto; las muestras se destruyen de manera
similar.
Irlanda
Valoración: débil cumplimiento regulatorio y un proceso de supervisión problemático
particularmente para la vigilancia de comunicaciones.
• no hay un derecho expreso a la privacidad en la Constitución, la jurisprudencia
ha indicado que está implícita en las normas de "derechos personales".
• el régimen integral de protección de datos ha sido enmendado para actualizar sus
protecciones.
• el regulador es independiente; puede diligenciar las notificaciones de
cumplimiento; ha sido criticado por sus débiles decisiones sobre Google.
• la interceptación de comunicaciones se autoriza por órdenes ministeriales y se
supervisan por un Juez de la Suprema Corte; la ley fue elaborada con una
jurisdicción limitada, que posiblemente permita interceptaciones de Voz sobre
Protocolo de Internet (VoIP) sin órdenes judiciales.
104
• la política de retención está entre las peores, anteriormente con una amplia
retención de manera no regulada, luego con un esquema de retención de tres
años, ahora con un esquema de dos años para datos telefónicos y de un año para
los de Internet.
• no se necesita una aprobación externa para acceder a datos de tráfico.
Italia
Valoración: un ambiente legislativo caótico ha conducido a protecciones erráticas. La
falta de supervisión en la seguridad nacional y en el cumplimiento de la ley; pero el
regulador de la privacidad y la activa sociedad civil han jugado papeles importantes en
la protección de la privacidad.
• no existe una protección específica de la privacidad en la Constitución, aunque
existen protecciones para las comunicaciones y para el hogar.
• después de dos décadas de debate, una ley integral de protección de datos fue
promulgada en 1996; actualizada en 2003 para incorporar las nuevas directivas
de la Unión Europea.
• existen leyes adicionales relacionadas a la video vigilancia, la vigilancia en
centros laborales, información estadística y archivos electrónicos.
• el regulador ha conducido investigaciones en diversos sectores y ha participado
en casos emblemáticos e influyentes.
• se paralizaron los sistemas de registro biométricos.
• hay un amplio marco normativo para la vigilancia de las comunicaciones y
existen planes legislativos para regular, más adelante, las interceptaciones
ilegales; todavía se dan interceptaciones preventivas a discreción de la Fiscalía
General.
• han habido casos de "puertas traseras" (backdoors) construidas en servicios
dando como resultado una sobrevigilancia, incluido un caso donde las
comunicaciones de 30,000 abonados fueron violadas.
• las tasas de interceptación son muy altas y se desconoce cuántas interceptaciones
ilegales se producen.
• suscribió el Tratado de Prüm y consecuentemente estableció una base de datos
de ADN; el periodo de retención es de 40 años para los perfiles y de 20 años
para las muestras biológicas.
• la video vigilancia está en aumento, aunque el regulador es muy activo en esta
materia.
• los pasaportes biométricos tenían que incluir huellas dactilares, pero no serían
almacenadas en una base de datos central; y al respecto, no se ha tomado
ninguna acción.
• se intentó implantar un sistema de identificación con un almacén centralizado de
registro; pero este fue desmantelado en 2009; la existencia de un nuevo sistema
con un registro centralizado de huellas dactilares ha sido postergada.
• las normas de vigilancia en centros laborales prohíben espiar los hábitos de
navegación en Internet de los empleados.
• las iniciativas de e-Salud (e-Health) involucran registros centralizados, aunque
nuevamente participa el regulador.
105
• la privacidad financiera ha sido obstaculizada por la diseminación en Internet de
todas las devoluciones de impuestos.
• hay sociedad civil activa.
• ratificó el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Letonia
Valoración: hay algunas limitaciones problemáticas y conflictos de supervisión,
particularmente en la vigilancia de las comunicaciones y el ADN. Las modificaciones a
la ley de protección de datos para incrementar las excepciones también es problemática.
• la protección constitucional cubre la privacidad y las comunicaciones.
• ley integral, aunque ahora contiene enmiendas que han incluido limitaciones a
los derechos de las personas en asuntos de estados financieros y seguros, que
nuevamente permiten el procesamiento de información médica.
• existen leyes para comunicaciones electrónicas y para bases de datos de ADN.
• el regulador está bajo la jurisdicción del Ministerio de Justicia; a pesar de los
intentos para mejorar su independencia, los planes han sido postergados
repetidamente.
• la oficina del regulador sufrió recortes de personal en 2009.
• la vigilancia de las comunicaciones está regulada para investigaciones
específicas.
• la autoridad supervisora autoriza las vigilancias, aunque ésta puede darse por un
fiscal (en casos de emergencia) o por un juez.
• el rastreo sólo es permitido con autorización judicial.
• se han incrementado los casos de interceptaciones ilegales.
• las fuerzas del orden pueden ahora tener acceso a información en manos de
agencias de crédito con el fin de combatir el terrorismo.
• periodo de retención de 18 meses.
• el regulador supervisa los sistemas de Circuito Cerrado de Televisión (CCTV).
• los pasaportes biométricos incluyen huellas dactilares.
• cédulas de identificación obligatorias para todos los residentes.
• los empleadores pueden vigilar las comunicaciones de sus empelados.
• régimen legal específico para la privacidad médica, incluso después de la
muerte; aunque se permite para la investigación médica, si ésta no requiere la
identificación.
• ratificó el Convenio sobre Ciberdelincuencia del Consejo de Europa.
• estableció un acuerdo con los Estados Unidos de América para la transferencia
de datos de pasajeros.
• ADN: tomado de aquellos convictos o sospechosos de cualquier "delito
registrable"; retenido por 75 años; se retienen también las muestras.
Lituania
Valoración: este país todavía está aprendiendo los fundamentos de la privacidad, pero
han ocurrido algunos eventos prometedores particularmente en la medida que la Corte
106
Suprema genera jurisprudencia. Las leyes de vigilancia están abiertas para el abuso de
las autoridades gubernamentales y se requieren procedimientos más estrictos.
• la Constitución protege la privacidad y las comunicaciones; y la Corte Suprema
ha reafirmado el derecho a una vida privada como uno de los derechos
fundamentales más importantes.
• se han producido actualizaciones importantes a la ley de protección de datos con
el fin de ser parte de la Unión Europea, completadas en el periodo 2003/2004.
• los cambios más recientes incluyen la adición de la video vigilancia en la ley, el
uso restringido de números de identificación personal y protecciones más
estrictas a la información médica y la independencia del regulador fue reforzada.
• el bajo número de quejas refleja la falta de sensibilización sobre el tema en el
país; aunque las cifras están creciendo.
• se requiere de autorización judicial para la interceptación, aunque no existe un
estricto escrutinio; la ley ha sido criticada por no ser clara y por la falta de
procedimientos claros para prevenir el abuso del Departamento de Seguridad
Estatal.
• existen quejas recientes de interceptaciones a periodistas.
• la ley de retenciones se implantó en 2009, por periodos de seis meses, a menos
que los datos sean necesarios para operaciones en marcha, punto en el cual éste
es retenido por seis meses adicionales; aunque la decisión de la Corte
Constitucional de 2002 requiere que ello se restrinja a datos recolectados para
las operaciones comerciales normales.
• estableció un acuerdo con los Estados Unidos de América para la transferencia
de datos de pasajeros.
• creciente uso de sistemas de Circuito Cerrado de Televisión (CCTV) aunque el
regulador está trabajando en el tema; no obstante hay algunos casos de
vigilancia secreta; ha habido un amplio debate sobre el tema.
• los pasaportes biométricos incluyen huellas dactilares, a la vez que el
almacenamiento de los datos biométricos se realiza en un registro central.
• creciente uso de técnicas de vigilancia en el centro laboral; sobre ello hay un
limitado debate y las cortes tienden a favorecer a los empleadores.
• ratificó el Convenio sobre Ciberdelincuencia del Consejo de Europa.
• ADN: obtenido de los convictos y sospechosos; todos los perfiles son retenidos
por 100 años; las muestras deben ser destruidas una vez creado el perfil.
Luxemburgo
Valoración: limitados recursos para el regulador pero marcos legales en vigencia. La
privacidad financiera es fuerte. Algunas salvaguardas para la sociedad aunque no se
cuenta con información suficiente sobre las acciones de las agencias de seguridad.
• la Constitución garantiza el derecho a la privacidad y al secreto de la
correspondencia.
• ley integral de protección de datos.
• el regulador cuenta con una dependencia pequeña; pero puede hacer
investigaciones de oficio; expedir penalidades monetarias, tiene poderes de
decisión y se ha ocupado de algunos casos.
107
• se requieren órdenes judiciales para la interceptación de comunicaciones, con
algunos requisitos de notificación.
• el periodo de retención de tráfico de comunicaciones es de 12 meses, pero
requiere una clara definición de los tipos de investigaciones en los cuales la
policía puede acceder a la información.
• existen regulaciones para el sistema de Circuito Cerrado de Televisión (CCTV).
• la vigilancia en los centros laborales está regida por ley.
• existe un único número de identificación para cada residente y este es
ampliamente utilizado; huellas dactilares en los pasaportes, aunque retiradas del
registro central después de un mes.
• sólidas leyes sobre privacidad financiera.
• parte del Tratado de Prüm.
• ADN: obtenido de los convictos por delitos específicos y de los sospechosos de
cualquier delito registrable; los datos de los convictos son retenidos por el
tiempo que dure su vida, más 10 años; los datos de los sospechosos son borrados
una vez que son absueltos; las muestras se retienen por periodos similares.
Malta
Valoración: están surgiendo expertos y casos sobre privacidad. El régimen de vigilancia
de comunicaciones es problemático, así como el de su supervisión.
• la Constitución garantiza la protección de la privacidad, con algunos casos
emergentes.
• ley integral en concordancia con la Directiva de Protección de Datos.
• el regulador es independiente y trabaja de manera cercana con otros reguladores
en Malta y a nivel internacional.
• pequeño número de quejas recibidas, pero se realizan campañas de
sensibilización pública.
• las preocupaciones sobre los sistemas de Circuito Cerrado de Televisión
(CCTV) se hallan en el tope de la lista de quejas.
• las órdenes para la interceptación de las comunicaciones son emitidas por el
Ministro responsable para los servicios de seguridad.
• la retención es por 12 meses para datos telefónicos, seis meses para datos de
Internet y existen algunas limitaciones para el acceso.
• los datos biométricos de los pasaportes están almacenados en el mismo
pasaporte, pero no existen planes para incluirlos en los documentos de identidad.
• el Gobierno está considerando escáneres de cuerpo completo, pero todavía no
hay una decisión al respecto.
• no existen guías sobre vigilancia en el centro laboral; aunque existen quejas ante
el regulador, ninguna de ellas es formal debido a que los empleados están
preocupados por su puesto de trabajo.
• existen guías vigentes para la privacidad financiera.
Noruega
108
Valoración: la creciente supervisión sobre las agencias de seguridad parece promisoria.
Los problemas con la privacidad financiera continúan a pesar del abuso generalizado.
La regulación juega un papel importante y se han dado signos positivos de resistencia a
las medidas de vigilancia, p.ej. escaneo corporal, retención.
• la Constitución no tiene un artículo específico sobre privacidad, aunque tiene un
artículo sobre registros; la Corte Suprema ordenó en 1952 la incorporación de
una protección legal a la "personalidad" la cual incorpora la privacidad.
• la ley integral a menudo es considerada enérgica, las penalizaciones son multas
o prisión; y permite realizas inspecciones en todas las bases de datos incluidas a
las de los sistemas policiales.
• el regulador es dependiente del Ministerio de Administración Gubernamental
pero se le considera independiente.
• el regulador ha ejecutado el rol de líder mundial en campañas de sensibilización.
• la interceptación de comunicaciones se autoriza por orden judicial en casos que
involucren narcóticos y seguridad nacional y algunos delitos menos graves.
• un nuevo organismo de supervisión ha sido introducido para la vigilancia de
interceptaciones.
• existe una historia de interceptaciones ilegales y de vigilancia política, por tanto
se estableció un comité para vigilar los servicios de seguridad el cual informará
anualmente al Parlamento.
• existen leyes vigentes para hacer más fácil a la policía el interceptar
conversaciones de criminales; después de una evaluación, una comisión del
gobierno encontró que los poderes estaban siendo utilizados en las
circunstancias pertinentes pero mostró su preocupación en torno a una sobre
recolección de datos pero con una carencia de estadísticas.
• no existe una ley de retención de datos.
• suscribió el Tratado de Prüm.
• emite pasaportes biométricos con huellas dactilares desde 2010; no cuenta con
una base de datos central, pero hay un amplio debate en relación a la seguridad
del chip.
• cédulas de identificación no obligatorias.
• reacción negativa a las propuestas de escaneados corporales condujo a la
cancelación de este plan.
• la toma de huellas dactilares en el sector privado se ha disuadido particularmente
porque otros medios de identificación son suficientes.
• se aplican leyes específicas para la vigilancia en el centro laboral, donde se
requiere de una negociación con los representantes del sindicato además de
evaluaciones regulares.
• la privacidad médica ha sido cuestionada por su implementación al interior del
Gobierno, lo cual condujo a un alto número de usuarios que podían acceder a
registros personales; las objeciones de parte del regulador fueron ignoradas hasta
la apelación.
• la privacidad financiera se degradó en el 2009, al otorgarle a más agencias el
acceso a una lista de transferencias financieras dentro y fuera de Noruega.
• la disponibilidad pública de información sobre devolución de impuestos es una
antigua tradición, aunque en años recientes ésta se ha vuelto más controversial,
lo que condujo a los partidos de la oposición a proponer la prohibición del
109
proceso, particularmente porque existen aplicaciones en Facebook y en el
iPhone para buscar en estas listas.
• ratificó el Convenio sobre Ciberdelincuencia del Consejo de Europa.
• ADN: se obtiene de todos los convictos con pena de prisión.
Países Bajos
Valoración: una fuerte tradición de libertades civiles y privacidad está siendo
reemplazada con ambiciosos programas tecnológicos y una débil supervisión. Un fuerte
regulador, la sociedad civil y a veces la industria, trabajan arduamente para atraer la
atención a un gran número de propuestas y políticas.
• existen garantías constitucionales para la privacidad y la protección de datos; se
han presentado propuestas para ampliar los derechos de protección de datos y
una nueva Comisión ha sido designada para revisarlas.
• protección de datos integral, pero existen planes para enmendarla,
particularmente para transferencias a terceros países y mercadeo directo.
• leyes adicionales regulan el uso de información personal por parte de la policía,
en exámenes y tratamientos médicos y seguridad social.
• el regulador es independiente, aunque con poderes limitados para imponer
multas; y se le han otorgado nuevos poderes en años recientes, las últimas
promesas de parte del Gobierno aún no se les ha dado seguimiento.
• el regulador es importante en el desarrollo de políticas en el país y es un líder
internacional.
• la diseminación de la vigilancia de carreteras está en crecimiento.
• los serios problemas con la jurisprudencia en casos de transgresiones a los
derechos de autor han reducido la privacidad de los abonados a los proveedores
de servicios de Internet.
• las agencias de inteligencia no requieren órdenes judiciales para la vigilancia de
comunicaciones.
• existen muchas propuestas para otorgar mayores poderes de vigilancia a las
fuerzas del orden.
• la policía también vigila las actividades de las redes sociales a través de un
piloto.
• el Parlamento rechazó salvaguardas adicionales para retención de datos; el
periodo de retención fue fijado en 18 meses, pero reducido luego a 12 meses.
• la Ley de Video Vigilancia permite que las imágenes sean retenidas por cuatro
semanas.
• notable victoria para la protección de la privacidad por parte de la sociedad civil
la cual hizo retroceder una política de medidores inteligentes.
• pasaportes biométricos en los cuales se puedan incluir datos biométricos y el
gobierno desea almacenar los datos en una base de datos central.
• la vigilancia sobre viajes se está ampliando significativamente, con una
retención de datos por un periodo de siete años.
• planes para archivos electrónicos de pacientes están siendo puestos en práctica
con el surgimiento significativo de preocupaciones.
• el uso de identificadores para transacciones financieras ha atraído la atención del
regulador.
110
• ha ratificado el Convenio sobre Ciberdelincuencia.
• ADN: obtenido de cualquiera convicto o sospechoso de un delito registrable; los
perfiles se mantienen hasta que el convicto tenga 100 años, los datos de los
sospechosos son eliminados una vez absuelto; las muestras se retienen de
manera similar.
Polonia
Valoración: las cortes y el regulador son enérgicos protectores de la privacidad pero el
Gobierno está presionando fuertemente a favor de amplios proyectos de vigilancia y una
supervisión limitada.
• existe protección constitucional a la privacidad, la privacidad de las
comunicaciones y la protección de datos, y también hay una floreciente
jurisprudencia en este tema.
• las penalidades de la ley integral se consideran en gran medida inefectivas.
• las personas cuentan ahora con el derecho para retirar su consentimiento en
cualquier momento.
• las leyes sectoriales se aplican a la información médica, las telecomunicaciones,
el código laboral y a los seguros.
• el regulador es designado por el Parlamento.
• los registros generalmente requieren de órdenes judiciales expedidas por una
corte o por el fiscal; aunque la mayoría de los registros se realizan por razones
de "urgencia" sin una autorización.
• la interceptación de comunicaciones es conducida con una supervisión limitada,
y en gran número (aunque las cifras oficiales no se publican).
• varias iniciativas han sido propuestas para ampliar las capacidades de vigilancia;
las autoridades policiales y anticorrupción están obteniendo cada vez más poder
para acceder a los datos.
• el periodo de retención para datos de comunicaciones es de 24 meses;
originalmente se pidió un periodo de retención de 15 años, pero dicha propuesta
fue rechazada por una comisión parlamentaria.
• el acceso a datos está restringido a la policía, las agencias de seguridad nacional,
y las autoridades judiciales; aunque no existe un umbral legal para obtener el
acceso.
• hubo un escándalo reciente en el cual 10 periodistas se hallaban bajo vigilancia
por parte de los servicios secretos para identificar a sus informantes.
• no ratificó el Convenio del Consejo de Europa.
• debate creciente sobre el uso de sistemas de Circuito Cerrado de Televisión
(CCTV), pero no existe ninguna regulación sobre su uso.
• el sistema de identificación sigue siendo el que cuenta con la mayor colección de
datos personales; datos biométricos se incluirán este año.
• anteriormente no existía una regulación sobre vigilancia en el centro laboral,
aunque las cortes habían intervenido.
• los registros médicos están protegidos por ley y en particular los registros de
enfermedades mentales.
• las autoridades tributarias tienen amplio acceso a información financiera.
111 Portugal
Valoración: información insuficiente sobre vigilancia e inteligencia considerando la
historia de abusos, pero las enérgicas medidas constitucionales y legales son
promisorias y las salvaguardas están emergiendo en los planes de vigilancia.
• existe protección constitucional a la privacidad, el secreto y la protección de
datos.
• la ley integral se aplica ampliamente.
• el regulador es una agencia independiente que informa al Parlamento; número
pequeño de quejas, aunque están incrementándose al igual que las multas.
• el regulador conduce programas de sensibilización.
• antecedentes de espionaje político ilegal; muy poca información para evaluar la
vigilancia de las comunicaciones.
• política de retención de datos por un periodo de 12 meses.
• los sistemas de Circuito Cerrado de Televisión (CCTV) requieren de un
regulador; actualmente se estableció una ley, que está expandiendo su uso.
• la cédula de identificación nacional tiene un diseño específico y utiliza políticas
para proteger la privacidad; la tarjeta puede contar con huellas dactilares pero
sólo puede ser accedido con consentimiento o a solicitud de la policía y de
funcionarios judiciales.
• la vigilancia en el centro laboral está permitida; la vigilancia a nivel nacional del
ausentismo laboral, durante las huelgas nacionales, ha causado cierta
controversia; el uso de datos biométricos en el centro laboral está regulado por
ley.
• se han implantado salvaguardas en los planes nacionales de salud.
• no ha ratificado el Convenio sobre Ciberdelincuencia.
República Checa
Valoración: eventos positivos debido al trabajo arduo de la sociedad civil y del
regulador nacional; aunque todavía existen regímenes legales problemáticos a pesar del
trabajo, p.ej. vigilancia de comunicaciones, Circuito Cerrado de Televisión (CCTV),
cédulas de identificación (ID).
• la Carta de derechos y libertades básicas estipula el derecho a la privacidad y la
dignidad humana, la protección de las comunicaciones y asimismo una cláusula
de protección de datos.
• la ley de protección de datos está armonizada completamente y contiene
protecciones adicionales debido a las enmiendas, entre ellas las de registro de
comunicaciones.
• el regulador puede imponer multas por hasta € 820,000 y conducir auditorías.
• el número de quejas está creciendo, el número de casos desestimados es muy
alto.
• el regulador tiene autoridad supervisora sobre el uso de las fechas de nacimiento,
a pesar de su continuo abuso.
• el regulador ha conducido un gran número de ejercicios de sensibilización.
112
• la interceptación de comunicaciones es autorizada por un juez de una corte
superior, incluso si se realiza por las agencias de inteligencia (aunque todavía
existen preocupaciones sobre abusos) y existe un requerimiento de notificación
una vez que sea cerrado el caso.
• debido a las quejas sobre una poca supervisión de la vigilancia de
comunicaciones, nuevas protecciones se introdujeron en 2009.
• todavía hay intentos de ampliar los poderes de las agencias de inteligencia.
• la política de retención de datos por 12 meses fue cambiada para introducir la
retención gradual para distintas formas de datos; y el alcance de su uso es
expansivo, no existe supervisión.
• lideró la iniciativa para firmar acuerdos con los Estados Unidos de América para
la transferencia de datos de pasajeros.
• creciente uso de Circuitos Cerrados de Televisión (CCTV), el regulador tiene
poderes insuficientes para regular esta actividad, con una fuerte oposición del
público contra estos sistemas.
• los pasaportes biométricos incluyen el rostro y datos de las huellas dactilares.
• las cédulas de identificación se están utilizando de manera creciente en el día a
día.
• tarjetas "anónimas" con tecnología de identificación por radio frecuencia (RFID)
ahora están disponibles para viajar por Praga.
• existen varios registros médicos, con un status legal incierto; el Presidente
utilizó su poder de veto para una ley que expandiría el uso de los números de la
fecha de nacimiento, pero este veto fue anulado.
• la ley de vigilancia financiera se introdujo para limitar el privilegio abogadocliente y los defensores ahora deben obligatoriamente informar sobre
transacciones sospechosas.
• existen fuertes grupos de la sociedad civil.
• no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
• el ADN de todos los convictos y los perfiles se mantienen por ocho años y las
muestras son retenidas también por este periodo.
Rumania
Valoración: el regulador con pocos recursos es apoyado por notables fallos de la Corte
Constitucional. Algunos eventos preocupantes en la vigilancia de ADN y la reciente
historia de abusos muestran que los servicios de seguridad requieren una gran
supervisión.
• la Constitución reconoce la privacidad y la confidencialidad de las
comunicaciones; recientes casos en la Corte Constitucional han sido importantes
en la defensa de de la privacidad.
• existe una ley integral de protección de datos, con otra ley sobre privacidad de
las comunicaciones.
• los nuevos cambios en el Código Civil también protegen la privacidad.
• existe un régimen separado para la privacidad audiovisual.
• el regulador ha sufrido recortes en su presupuesto que le impiden contratar un
equipo de personal completo y lo limitan para conducir investigaciones fuera de
Bucarest.
113
• el regulador ha tomado una firme posición en varios casos.
• el régimen de vigilancia de las comunicaciones requiere de autorización del
Presidente de la Corte, y sólo se autorizan interceptaciones por 30 días,
renovables sólo por 120 días.
• la vigilancia intrusiva es permitida sólo si el crimen es punible por siete o más
años en prisión.
• varios casos han surgido con el servicio secreto que espiaba a los periodistas y a
otras figuras públicas.
• alto nivel de interceptaciones en años recientes.
• periodo de retención de seis meses para tráfico de comunicaciones fue apelado a
la Corte Constitucional la cual determinó que éste transgredía la Constitución
Rumana.
• el uso de los sistemas de Circuito Cerrado de Televisión (CCTV) está creciendo
en la medida en que éste no está regulado.
• los pasaportes biométricos implican la recolección de las 10 huellas dactilares.
• ratificó el Convenio sobre Ciberdelincuencia.
• ADN: obtenido en innumerables casos, y sólo eliminados por decisión judicial o
por decisión del fiscal; las muestras se retienen.
Suecia
Valoración: debido al surgimiento de controversias sobre la ley de interceptaciones,
algunas protecciones mejoraron, pero en general han ocurrido eventos preocupantes y se
hace necesaria supervisión a los servicios de seguridad.
• la Constitución sirve de cimiento a la protección de la privacidad a través de la
ley habilitante; han habido llamados para una protección constitucional y el
Parlamento sueco votó a favor de la propuesta (aunque de menor alcance),
prohibiendo intrusiones "significativas".
• la ley de protección de datos ha sido enmendada debido a preocupaciones por
considerarse "muy restrictiva", eliminando textos, sonidos, imágenes y otros
"materiales no estructurados" de la Ley de Datos Personales.
• algunas protecciones sectoriales han ampliado las protecciones a la privacidad,
p.ej. la privacidad de la información crediticia se ha incrementado por ley en
2010.
• el regulador es una agencia gubernamental pero "realiza sus funciones de
manera independiente"; ha tomado posturas enérgicas en varios temas, p.ej. ha
objetado el uso de datos biométricos en los colegios incluso con consentimiento;
el mercado directo y las tarjetas de fidelización; aunque se cree que su mandato
es muy limitado.
• en discusión: la necesidad de un regulador de la "privacidad", el gobierno creó,
en vez de ello, una comisión para vigilar y controlar el uso de vigilancia secreta
por parte de la policía y de los servicios de seguridad; el primer comisionado
renunció debido al caso de la Administración Nacional de Transmisiones de
Radio con fines de Defensa (FRA).
• en principio se requiere de una orden judicial para la interceptación de
comunicaciones, pero se les concede a los servicios secretos gran flexibilidad;
las escuchas telefónicas se han incrementado en 500% desde 1999.
114
• se le permite a la FRA el utilizar software para procesamiento de datos para
buscar palabras claves en todas las comunicaciones por teléfono y por correo
electrónico que pasan a través de las fronteras del país; esta disposición fue
posteriormente enmendada debido a preocupaciones vinculadas con la
privacidad, colocando a la FRA bajo investigación política y disponiendo que se
soliciten permisos para cada registro.
• a pesar de haber presionado para la retención en la Unión Europea, Suecia la
pasó mal implantando una ley en ese sentido después del la controversia surgida
por el caso de la FRA.
• existen normas legales relacionadas al sistema de Circuito Cerrado de Televisión
(CCTV), aunque su liberalización ha conducido un incremento considerable en
el uso de CCTV; que incluso ahora se utiliza en los colegios.
• los pasaportes biométricos no incluyen huellas dactilares.
• el plan de cédulas de identificación electrónicas es voluntario e incluye datos
biométricos (faciales).
• a pesar de las recomendaciones de parte de un Comité encargado por el
gobierno, no han surgido normas sobre privacidad en el centro laboral; aunque
aparentemente la vigilancia no impera.
• la propuesta para centralizar los registros médicos ignora las preocupaciones
vinculadas con la privacidad; el regulador introdujo disposiciones de cómo se
debe procesar la información; un cambio legislativo les puso a éstas una base
legal, pero también permitió su publicación en Internet.
• ADN: obtenido de convictos y sospechosos de delitos que pueden ser
penalizados con cuatro o más años; los perfiles de los convictos se conservan
por periodos distintos dependiendo del delito, y aquellos de los sospechosos se
eliminan una vez que hayan sido absueltos; las muestras se conservan de manera
similar.
• No ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Suiza
Valoración: protecciones tradicionales fuertes pero que están siendo degradadas en los
últimos años, con un ambicioso espionaje, débil regulación de los servicios secretos,
entre ellas próximas deliberaciones sobre ampliaciones en vigilancia de las
comunicaciones. Los reguladores están realizando un buen trabajo pero se ven limitados
por los recursos.
• protección constitucional para la privacidad, las comunicaciones y la protección
de datos, con alguna muy convincente jurisprudencia.
• la ley federal integral sólo requiere que se registren las compañías que utilizan
datos sensibles o que transfieren información al extranjero.
• enmiendas importantes se introdujeron para exigir una seguridad adecuada y
para limitar los vacios.
• protecciones adicionales para estadísticas sobre salud, datos médicos y legales e
investigaciones médicas.
• el regulador a veces tiene posibilidades limitadas de intervenir; tiene que lidiar
con volúmenes significativos de quejas a pesar de sus limitados recursos; los
115 •
•
•
•
•
•
•
•
•
•
reguladores en los cantones también cuentan con recursos limitados; pero a
menudo se toman decisiones notables.
se han tomado medidas drásticas sobre las interceptaciones de comunicaciones
legales; aunque la vigilancia de las comunicaciones se ha expandido en 2007 por
parte de los servicios secretos.
existe un periodo de retención de seis meses; pero el gobierno se halla en
consultas para expandirlo a 12 meses; instalación de Troyanos, gusanos, etc.,
para vigilar las comunicaciones cifradas; se exige identificación para acceder a
los servicios de comunicación, incluso en cafeterías y hoteles.
la privacidad financiera está protegida por una ley de 1934, pero recientemente
se han estado reduciendo estas protecciones.
se está ampliando el uso de sistemas de Circuito Cerrado de Televisión (CCTV)
e incluso el uso de aviones radiocontrolados (drones).
los cambios en la emisión de pasaportes significa que todos los pasaportes
nuevos contendrán dos huellas dactilares y existe una base de datos de huellas
dactilares.
se han instituido controles "móviles " de inmigración.
las nuevas cédulas de identificación contendrán huellas dactilares.
hay planes para implantar una identificación para salud obligatoria que
voluntariamente incluirá el almacenamiento de información médica.
una creciente base de datos de ADN para un número ampliado de propósitos (la
lista de delitos con las razones por las cuales ésta podía ser obtenida, ha sido
eliminada).
el ADN puede ser utilizado para propósitos vinculados a seguros.
Turquía
Valoración: la información limitada de este país debe interpretarse como una falta de
progreso en el desarrollo de estructuras adecuadas y mecanismos de reporte.
• protecciones constitucionales de la privacidad y de la vigilancia de las
comunicaciones; existen propuestas para añadir la protección de datos.
• la ley de protección de datos ha estado pendiente desde 2003 y a pesar de ello
cuenta con algunas lagunas legales.
• por ahora, la privacidad está regulada en el Código Civil, en él se regula el mal
uso de la información; otras protecciones sectoriales consideran temas de
privacidad; pero se carece de una regulación integral y del establecimiento de
definiciones.
• los informes establecen que los defensores de derechos humanos son sometidos
rutinariamente a vigilancia.
• se necesitan órdenes judiciales para la interceptación de comunicaciones, lo cual
ha generado preocupaciones en la comunidad de inteligencia nacional
• planes para cédulas de identificación incluirían huellas digitales sólo en la
identificación misma pero no en una base centralizada; aunque ésta contiene la
filiación religiosa.
116
Reino Unido
Valoración: en la última década este país se ha vuelto en uno de los peores ejemplos de
vigilancia entre los estados democráticos, pero ha habido algunos cambios notables y
significativos en el pasado año que pueden probar que es posible superar la categoría de
estado vigilante.
• no existe una protección constitucional a pesar de una rica historia de
privacidad.
• la ley de protección de datos ha sido criticada por su debilidad; aunque se le han
hecho mejoras, el regulador recibe muchas quejas, lo que demuestra que la
concientización del público es alta; pero sus decisiones han indicado timidez que
a menudo es percibido como "debilidad".
• al regulador se le han otorgado grandes poderes y capacidades significativas
para imponer multas.
• amplios programas de vigilancia de bases de datos y redes han sido introducidos
en la pasada década, aunque algunos están siendo desmantelados.
• un más amplio uso de vigilancia visual, contempla la vigilancia de voz y está
enfocada en la vigilancia visual en poblaciones específicas.
• débil régimen regulatorio sobre acceso a datos con un amplio uso de estos
poderes.
• la ley de interceptación de comunicaciones sólo requiere de una aprobación
ministerial con un mecanismo de supervisión pobremente dotado a través de un
"comisionado".
• las propuestas de sistemas informáticos de salud han evitado instrumentar
salvaguardas adecuadas.
• cuentan con la base de datos de ADN más grande del mundo, aunque perdió un
caso en la Corte Europea de Derechos Humanos que está conduciendo a un
cambio en su política (a pesar del hecho que la decisión se tomó en 2008 y
actualmente todavía persiste su política); el ADN se toma de convictos de
delitos registrables, o de cualquier arrestado por un delito registrable; los perfiles
se retienen de manera indefinida; las muestras se retienen.
Unión Europea
Valoración: a pesar de contar con marcos legales líderes a nivel mundial y de un gran
potencial para la innovación, la agenda de seguridad está invalidando algunos de los
principios básicos de la Unión.
• las obligaciones del tratado ahora incluyen la protección de los derechos
humanos, de la privacidad así como de los derechos de protección de datos; los
fallos del Tribunal de Justicia de la Unión Europea en el área de la privacidad
son débiles y tienden a ignorar temas sustantivos.
• la ampliación de la Directiva a otras áreas de procesamiento, esto es, al
tradicional "tercer pilar" de la justicia y a los asuntos internos es un evento
deseable.
• el rol de liderazgo de la Unión Europea es impresionante, pero a la vez está
dando un mal ejemplo.
117 • esfuerzos concertados para elevar la agenda de seguridad, es decir, el Programa
de Estocolmo.
• la Directiva de retención de datos fue la líder en legislación sobre vigilancia.
• los estándares para pasaportes crearon un mandato para tomar las huellas
dactilares de prácticamente toda la población.
• la administración de información de fronteras y las prácticas de vigilancia se
están incrementando, así como el financiamiento para investigar en esta área.
• trabajo ejemplar del regulador y de las autoridades regulatorias.
118
CRITERIOS E INDICADORES
Se han analizado cada uno de los países de acuerdo a los siguientes criterios:
SALVAGUARDAS DEMOCRÁTICAS
El marco de participación, obligación de dar cuenta, e imperio de la ley, le permite a
una nación nutrir y proteger derechos. Una sociedad abierta y democrática es
posiblemente la mayor protectora de la privacidad. Cuando un Estado es capaz de rendir
cuentas a sus ciudadanos, este debe justificar sus decisiones de vigilancia, y debe
necesariamente cambiar sus prácticas cuando los ciudadanos lo demandan, entre otros,
por medio de las instituciones democráticas entre ellas la participación abierta, los
medios de comunicación y el debate público, acceso a los legisladores y las cortes.
Hemos utilizado la reciente clasificación de The Economist sobre el estado de la
democracia alrededor del mundo. Hemos utilizado el Índice de Democracia de The
Economist de 2010 para calibrar la fortaleza de la naturaleza democrática de un Estado.
PROTECCIÓN CONSTITUCIONAL
La Constitución es la roca madre que estabiliza el marco democrático pero que también
provee la garantía del uso continuo de los derechos. La capacidad de recurrir a los
principios fundamentales de un Estado y demostrar que la práctica de la vigilancia es
incompatible con los intereses del gobierno de no interferir con la vida privada de las
personas. Muchos Estados han ido más allá de sólo establecer el derecho a la vida
privada, sino que también incluyen cláusulas específicas sobre la protección de las
comunicaciones. En un número creciente de países también existe un derecho
constitucional a la protección de datos personales. Una prueba clave de la fortaleza de
estos principios se da al momento en que un tribunal falla en casos en los que el
gobierno ha ido muy lejos, y la naciente jurisprudencia contribuye a respaldar futuras
demandas. Un país cualquiera puede que no tenga siquiera un derecho a la privacidad
diferenciado, pero los tribunales podrían haber interpretado la existencia del derecho de
la privacidad partiendo de los "derechos fundamentales" o de los principios de la
"protección de la dignidad" establecidos en muchas constituciones.
• ¿Existe una Constitución y ésta protege a la privacidad, incluso "bajo la sombra"
de otros derechos?
• ¿Existen otras protecciones, p.ej. derecho a la protección de datos y de las
comunicaciones privadas?
• ¿Los tribunales han defendido el derecho a la privacidad?
• ¿Han habido casos recientes?
PROTECCIÓN LEGAL
Las leyes son la expresión del compromiso del gobierno frente a los derechos y las
libertades de sus ciudadanos y le dan vida a los principios constitucionales. Éstas
119
tienden a darse en la forma de una ley de Protección de Datos, la cual en Europa es a
menudo consistente con la Directiva de la Unión Europea sobre Protección de Datos
(95/46/EC), al proteger la privacidad de la información tanto en el sector público como
privado. A menudo los países cuentan con leyes adicionales que se aplican a tipos
específicos de información o de sectores, p.ej. la información médica, la ley laboral, etc.
La característica más importante de una ley es que permite a las personas obtener una
reparación en caso de algún perjuicio.
• ¿Existen leyes que protegen el derecho a la privacidad frente a los gobiernos y
las compañías?
• ¿Existen leyes sectoriales, p.ej. de privacidad médica, privacidad en el centro
laboral, privacidad financiera?
• ¿Son estas leyes útiles para iniciar acciones judiciales?
LA PRIVACIDAD EN LA PRÁCTICA
Para que cualquier ley protectora sea efectiva, su cumplimiento debe ser necesariamente
contundente pero justo. Ello a menudo se logra con un regulador al que se le otorga
jurisdicción sobre la ley, p.ej. una ley de protección de datos, una ley del consumidor,
etc., y que éste pueda entonces ayudar a las personas, conducir investigaciones y
penalizar el incumplimiento. No todos los reguladores son iguales, pues algunos se
preocupan de generar conciencia sobre su función y por tanto les recuerdan sus
derechos a los ciudadanos. Otros hacen hincapié en su trabajo con el gobierno y la
industria, para concientizarlos sobre sus deberes para con la ley. Estos reguladores
deben necesariamente tener suficientes poderes para investigar y penalizar, ser
independientes del gobierno, promover el conocimiento de derechos y
responsabilidades.
• ¿Existe un regulador independiente y competente?
• ¿Existe un organismo regulador con suficientes poderes para investigar? ¿Este
regulador puede actuar proactivamente?
• ¿El regulador actúa de manera eficaz? ¿El número de quejas es significativo?
¿Los casos han sido conducidos a través de los sistemas administrativos y
legales?
LIDERAZGO
Algunos países muestran un liderazgo positivo al promover enérgicas protecciones a la
privacidad alrededor del mundo. Otros gobiernos actúan de manera regresiva
promoviendo malas políticas y sistemas de vigilancia.
• ¿El gobierno o el regulador han dado pasos significativos en relación a
iniciativas de protección de la privacidad que hayan conducido a otros países a
considerar hacer lo mismo?
• ¿El gobierno ha suscrito y ratificado tratados internacionales problemáticos?
120
CÉDULAS DE IDENTIFICACIÓN Y DATOS BIOMÉTRICOS
La exigencia impuesta por el Estado de identificación puede ser el cimiento de una
invasión sin límites de derechos humanos. La fusión de la persona con la maquinaria del
Estado a través de los datos biométricos puede irrevocablemente agravar estas
violaciones. Estos sistemas son raramente diseñados para proteger las libertades civiles
y en cambio han sido históricamente vinculados con grandes transgresiones de los
derechos humanos. No todos los sistemas de cédulas de identificación se construyen de
igual manera; algunos son meramente documentos impresos, otros incorporan medidas
tales como microprocesadores inteligentes o tecnologías sin contacto, para permitir el
intercambio y la vinculación de información. Recientemente, algunas están aceptando el
uso de datos biométricos, el registro de patrones faciales o huellas dactilares. El más
peligroso de estos sistemas combina todas estas técnicas y luego almacena los datos en
un registro centralizado, el cual a su vez permite un mucho mayor intercambio de datos.
• ¿Existe algún sistema de identificación nacional, incluye éste datos biométricos?
• ¿Éstos son instrumentados en formas tales que protejan la privacidad o en otras
que acentúen la vigilancia?
• ¿Hay un debate adecuado acerca de la naturaleza de estos datos biométricos o
existe una fe ciega en la tecnología y en las obligaciones internacionales?
INTERCAMBIO DE DATOS
La privacidad se protege de la mejor manera cuando la información puede ser confinada
para fines individuales justificables. El mantener la información en compartimentos
estancos garantiza que el gobierno nunca tenga dominio sobre las vidas de las personas.
Tradicionalmente la información mantenida por los gobiernos se ha mantenido en
registros separados: p.ej. un archivo de tributación se mantiene separado de un archivo
médico.
De manera creciente los gobiernos están entusiasmados en encontrar nuevas formas de
concentrar información de todas las dependencias gubernamentales. Pueden hacer eso
con diferentes propósitos, p.ej. combinar los registros de asistencia sanitaria con
aquellos de verificación del status migratorio. La privacidad se protege de la mejor
forma cuando existen fuertes barreras de protección entre estas fuentes de información,
dado que fueron recolectadas con un propósito y no deben ser utilizadas para otro.
• ¿Existen leyes protectoras frente al uso de información para propósitos
secundarios?
• ¿El gobierno ha establecido planes para disminuir las protecciones existentes?
VIGILANCIA VISUAL
La vigilancia visual electrónica se está volviendo cada vez más
entorno. La fusión entre sistemas de comunicación y software
oportunidades para rastrear, generar perfiles y discriminar. El
propagación de la vigilancia visual han sido impresionantes en
121
ubicua en nuestro
presentan grandes
crecimiento y la
los últimos años.
Anteriormente, la vigilancia visual fue utilizada escasamente; ahora la vigilancia visual
está siendo utilizada en más lugares, con menores restricciones. A pesar de que muchas
investigaciones criminológicas muestran que los actuales sistemas tienen poco efecto en
el crimen y son proclives a que se comentan abusos con ellos.
• ¿En qué medida existen sistemas de vigilancia visual en los sectores público y
privado?
• ¿Están éstos regulados y sus limitaciones se cumplen?
• ¿Cuál es la naturaleza del debate de políticas?
INTERCEPTACIÓN DE COMUNICACIONES
La interceptación en general es considerada entre las formas más intrusivas de
vigilancia. Los países que entiendan esto la implantarán bajo una ley con condiciones
extremadamente estrictas y se aplicarán rigurosos controles. La interceptación debe
realizarse con moderación una vez que otros métodos de investigación hayan sido
probados, y hayan fallado; y ésta sea autorizada por un juez imparcial, con supervisión
habitual de las actividades de las agencias estatales. Cada vez más, los gobiernos están
haciendo uso de vigilancia no autorizada.
• ¿Existen leyes adecuadas que ofrecen protección frente a los abusos?
• ¿Cuándo puede interceptar la policía? p.ej. sólo cuando se estén investigando
tipos específicos de delitos, "delitos graves", etc.
• ¿Las agencias de seguridad estatales tiene que seguir las mismas reglas?
• ¿Quién las autoriza? ¿un juez? ¿un político? (las "órdenes judiciales" no
significan lo mismo en todos los países, donde los jueces tiene poderes de
investigación, pero hacemos todo lo posible para hacer notar esto)
RETENCIÓN DE DATOS DE COMUNICACIONES
Una de las políticas más perniciosas de Europa, la retención de los datos de tráfico de
comunicaciones a escala poblacional, significa que a los proveedores de
telecomunicaciones y los proveedores de servicio de Internet se les exige retener
registros de con quién se comunica la gente y qué hace ésta en línea por hasta dos años,
esto en el caso, que algunas personas se vuelvan sujeto de interés del Estado.
• ¿Existe una ley de retención? Si es así, ¿por cuánto tiempo deben ser mantenidos
los datos de comunicaciones?
• ¿Ha habido alguna consideración de los diferentes tipos de información y de
cómo los periodos de retención deberían cambiar?
• ¿Ha habido alguna deliberación detallada sobre la política? p.ej. consultas,
compromiso de la industria, casos en tribunales.
ACCESO GUBERNAMENTAL A DATOS
122
Los gobiernos se facultan a sí mismos para tener acceso a los datos mantenidos por
compañías e individuos. Muy a menudo hacen ello sin exigir a la policía y las agencias
de seguridad a obtener la autorización de un juez, y nunca le dicen a la persona que sus
datos personales fueron accedidos por el Estado.
• ¿Qué facultades tienen las distintas agencias para tener acceso a archivos?
• ¿Existe salvaguardas sobre cómo las fuerzas del orden obtienen acceso a los
datos en bases de datos del sector privado?
VIGILANCIA EN EL CENTRO LABORAL
La evolución de las prácticas de administración y de seguros ha motivado a los
empleadores a instituir una vigilancia a nivel de saturación en el centro laboral. Los
contratos de empleo permiten a los empleadores establecer una vigilancia integral y
continua de los empleados.
Los empleadores a menudo intentan obtener acceso a información de antecedentes de
sus empleados y de potenciales empleados, a menudo hurgando en los detalles más
íntimos. De manera creciente, los empleadores también están vigilando las actividades
en el trabajo, utilizando vigilancia de audio y video, interceptando las comunicaciones,
y vigilando las interacciones en Internet. Algunos buscan colectar datos biométricos.
Los Estados a menudo cuentan con protecciones legales frente a la vigilancia en el
centro laboral, y algunos han ido más allá al prohibir tipos específicos de tecnología y
de recolección de datos, a medida que reconocen que los empleados afrontan un
desbalance de poder frente a su empleador y las formas tradicionales de
"consentimiento" pueden no ser aplicables a este tipo de relación.
• ¿Existen leyes de protección frente a abusos?
• ¿Existen casos judiciales y métodos para que los empleados puedan objetar estas
prácticas?
• ¿Existen guías publicadas por el regulador o alguna otra institución para
informar a los empleadores y empleados?
PRIVACIDAD MÉDICA
Las personas están más preocupadas sobre la privacidad de su información médica más
que cualquier otro aspecto de sus vidas. A pesar de ello los gobiernos están explotando
de manera creciente los datos médicos de sus ciudadanos. Lo que fue alguna vez
información médica confidencial es ahora un recurso para ser colectado, analizado y
compartido. Algunos Estados cuentan con leyes que protegen la información
recolectada en la prestación de asistencia sanitaria. Otros Estados, cuentan con leyes
que obligan el intercambio de esta información. De manera creciente, los Estados están
buscando desarrollar sistemas electrónicos que puedan recolectar, procesar y almacenar
de manera centralizada toda esta información tan sensible.
• ¿Los pacientes tienen control sobre su información médica?
123
• ¿Existen salvaguardas y protecciones contra usos secundarios y otros?
• ¿Existen planes para desarrollar un registro centralizado de pacientes?
• ¿Existen salvaguardas sobre cómo se recolectará y utilizará la información?
PRIVACIDAD FINANCIERA
En los últimos años, el perfil financiero de las personas se ha vuelto un recurso abierto
para los gobiernos y las compañías. Rastros auditados de comportamiento financiero
son compartidos de manera rutinaria en los gobiernos y el sector empresarial con poca o
ninguna distinción entre los mismos.
El vigilar las cuentas bancarias, las transferencias internacionales, y el estado de las
finanzas de uno es de interés tanto del Estado como de la industria. Ambos desean saber
sobre hábitos y compras, mientras que el Estado también desea exigir la revelación de
esta información para identificar el lavado de dinero, pero también para identificar
posibles fuentes de fraude, o incluso de ingresos fiscales. A veces, los Estados requieren
de una revelación sistemática de información financiera, ya sea a través de la
publicación de devoluciones tributarias, o la recolección de todas las transacciones
sospechosas.
• ¿Existen protecciones acerca del acceso gubernamental a información
financiera?
• ¿Existen salvaguardas acerca de otros usos de la información financiera por
parte del sector privado?
PRIVACIDAD FRONTERIZA
Las fronteras se están convirtiendo actualmente en zonas libres de la influencia de las
constituciones y donde los gobiernos pueden hacer lo que quieran. Los Estados están
introduciendo medidas para recolectar grandes cantidades de información de todos los
viajeros, tanto ciudadanos como visitantes, con la justificación de "asegurar" las
fronteras. Actualmente los Estados están introduciendo medidas, inspiradas por la
Administración Bush, para recolectar las huellas dactilares de todos los viajeros, así
como información de inteligencia de los registros de su reserva de boletos aéreos con el
fin de hacer perfiles de pasajeros.
• ¿El gobierno ha realizado la confección de perfiles en las fronteras o ha
empezado a recolectar datos de pasajeros?
• ¿El gobierno está recolectando datos biométricos en las fronteras?
• ¿El gobierno ha iniciado acuerdos con otros gobiernos para compartir
información?
SUPERVISIÓN DE LA VIGILANCIA Y DE LOS SERVICIOS DE INTELIGENCIA
Muchos gobiernos están permitiendo a sus servicios de seguridad el eludir las
protecciones constitucionales y legales y las salvaguardas. La carta de triunfo de la
124
"seguridad nacional" está actualmente siendo utilizada tan comúnmente como la de
"terrorismo" para justificar futuros abusos al debido proceso y al estado de derecho. La
historia muestra que la vigilancia secreta, por parte de los servicios de seguridad, ha
causado mucho daño y conduce a abusos. Muchos gobiernos están volviendo a estas
prácticas y están permitiendo a sus servicios de seguridad el eludir las protecciones
constitucionales y legales, así como las salvaguardas, evitar las solicitudes de órdenes,
impedir la supervisión y exceptuando a estas agencias de los alcances de la ley.
• ¿Las agencias de seguridad nacional están exceptuadas de los alcances de las
leyes sobre privacidad?
• ¿Existen mecanismos adecuados de información y supervisión de la vigilancia
secreta?
• ¿Ha habido casos de abuso? y si así ha ocurrido, ¿se han puesto en práctica
salvaguardas adecuadas para estos casos?
ADN
Muchos países actualmente imponen la recolección de muestras de ADN y la
generación de perfiles de ADN para personas inocentes las cuales no han sido acusadas
o para aquellas en investigaciones pequeñas, y luego retienen sus perfiles y muestras
por amplios periodos de tiempo, a veces indefinidamente. A pesar de que la Corte
Europea de Derechos Humanos ha fallado contra esta práctica, muchos países ignoran a
propósito la necesidad de salvaguardas y protecciones. Consultamos al Consejo de
Genética Responsable para desarrollar este índice.
• ¿Existen limitaciones bajo cuyas circunstancias puede ocurrir la recolección de
ADN? p.ej. ¿limitado a convictos y a delitos graves?
• ¿Cuándo se eliminan los datos? ¿Existe algún intercambio de datos?
• ¿Qué ocurre con las muestras de ADN una vez que se han generado los perfiles?
125
RESULTADOS
126
METODOLOGÍA
ACERCA DE NUESTRO ENFOQUE ANALÍTICO
La metodología para nuestro análisis y clasificación de países está basada en una
evaluación cualitativa de datos de investigación producto en su mayoría de los informes
nacionales del EPHR 2010.
El EPHR 2010 consta de más de 750 páginas de informes realizados por expertos a lo
largo de Europa.
Estos son expertos en materia legal, tecnológica y académica a quienes se les solicitó
contribuir a actualizar el texto existente de informes de años anteriores, y añadir
información bajo cierto número específico de categorías. Estas categorías entonces
sustentan los criterios para las clasificaciones.
La investigación fue complementada por la propia investigación del equipo de Privacy
International que hace un seguimiento de los eventos vinculados a la privacidad
alrededor del mundo. También contamos con una red de miembros de nuestro Consejo
Consultivo y colegas en los países en Europa, así como una relación con varios
funcionarios de regulación quienes nos guiaron cuando encontramos dificultades en la
recolección de información.
También fuimos capaces de identificar otros estudios de investigación que se habían
enfocado en temas de privacidad y derechos humanos que involucran a distintos países.
En especial utilizamos:
• El "Índice de Democracia 2010" de la Unidad de Inteligencia del The
Economist, publicado en Diciembre de 2010, pues este es un sólido indicador de
la responsabilidad democrática de cada uno de los Estados incluidos en nuestro
estudio. Como resultado de ello utilizamos el estudio de The Economist como la
fuente primaria para nuestra categoría "Salvaguardas Democráticas". Surgieron
dos problemas al confiar en el estudio de The Economist : (1) El estudio de The
Economist se basó en una puntuación con valor máximo 10, mientras que
nuestros estudios estuvieron basados previamente en puntuaciones con valor
máximo 5. (2) El estudio de The Economist incluyó como parte de sus propios
criterios la categoría de "libertades civiles", de modo que hubo el riesgo de
considerar el tema dos veces.
• El Consejo de Genética Responsable (Council of Responsible Genetics) (CRG)
publicó un informe en diciembre de 2010 resumiendo su investigación inicial
sobre políticas de bases de datos de ADN alrededor del mundo. Tenemos una
relación laboral muy cercana con el CRG y confiamos en la integridad de su
proceso de investigación. Adicionalmente, cruzamos información sobre sus
hallazgos por nuestra parte con los informes nacionales del EPHR y
encontramos un gran nivel de sinergia en los resultados cuando contamos con
información sobre bases de datos de ADN en nuestros estudios de cada país.
Notamos un caso en el cual nuestros resultados estaban más actualizados en
127
eventos recientes, y de similar forma, encontramos un par de casos en los que
nuestros informes nacionales no estaban tan al corriente como en el caso del
estudio del CRG.
• Igualmente confiamos en varias investigaciones encargadas por la Comisión
Europea sobre la divergencia entre las leyes sobre privacidad y el trabajo de los
reguladores para incrementar la conciencia sobre la privacidad. Ello nos ayudó a
pensar en los criterios.
CAMBIOS A NUESTRO ENFOQUE
Esta es la tercera vez que estamos conduciendo una comparación/análisis entre países
sobre las protecciones a la privacidad. Cada vez desarrollamos métodos más
sofisticados para el análisis y la evaluación de la privacidad y la vigilancia.
Consultamos con expertos y consejeros a nivel mundial de manera regular con el fin de
desarrollar y mejorar nuestra metodología.
El primer cambio en nuestro enfoque, y quizás el más significativo, es que este estudio
sólo se concentra en países europeos. Ello no fue intencional – la naturaleza del
financiamiento que recibimos fue tal que sólo contábamos con los recursos para
ocuparnos de países europeos. Un efecto colateral de este cambio es que estos países
tienen un régimen legal muy similar y necesitamos encontrar un método más refinado
para identificar las diferencias entre países.
Otro cambio significativo en este estudio es que nos hemos cambiado de un sistema de
cinco puntos a uno más complicado. Aunque fue útil para emparejarse con el del
estudio de The Economist, este no fue el propósito inicial del cambio. Mas bien,
condujimos también una revisión de la literatura sobre comparaciones entre países
realizadas en temas de derechos humanos e identificamos varias críticas.
En años anteriores la fundamentación detrás de nuestras evaluaciones fue un tanto
opaca. Esta es una crítica común a dicho tipo de estudios por el hecho de que es difícil
explicar porque un grupo de expertos evaluaría un país como si tuviera un tipo x de
protecciones pero otro país como si tuviera y protecciones. Esta fue una crítica de
muchas de las otras investigaciones en esta área.
En consecuencia, en vez de sólo confiar en las evaluaciones de varios expertos sobre los
méritos del sistema de un país determinado, como se advierte en los Informes
Nacionales del EPHR, decidimos ser más individuales en nuestras evaluaciones. La
introducción de la individualidad también nos permitirá captar más refinamientos dentro
de una categoría determinada, e incluso contemplar contradicciones dentro del área de
políticas.
Por ejemplo, bajo "protecciones constitucionales", un país dado puede no contar en
realidad con una disposición explícita sobre privacidad dentro de su Constitución y por
tanto anteriormente lo hubiéramos calificado negativamente. Un país puede no tener los
términos correctos en su Constitución pero sin importar ello los casos pudieron haber
sido elevados a la Corte Constitucional y evaluados sobre la base de un derecho a la
privacidad. De modo que las Cortes pudieran haber establecido un derecho a la
privacidad dentro de los otros derechos fundamentales.
128
Y por ello, incluso en países con disposiciones constitucionales sobre privacidad, las
Cortes podrían emitir fallos contra las protecciones de la privacidad. Por tanto
necesitábamos cambiarnos a un sistema que pudiera ocuparse de éstas dinámicas: dado
que la Constitución no menciona a la privacidad, ello podría haber hecho más
complicado para la judicatura hablar de privacidad, y aún a pesar de ello podrían hablar
a favor de ésta y quizás más que en aquellos otros países con protecciones específicas.
Para ocuparse de éstas dinámicas, las cuales son prácticamente inherentes en todas las
categorías, desarrollamos una serie de preguntas que se aplican a cada categoría y un
sistema de valuación. Juzgaríamos al país en relación a las distintas sub preguntas en la
categoría y el país se valorará:
• 0 – sin salvaguardas o protecciones
• 1 – algunas salvaguarda
• 2 – protecciones avanzadas
Este sistema tiene dos riesgos de sesgo. Primero, este tiene un riesgo de sesgo positivo
en el hecho que un país no sea "castigado" por un bajo puntaje en particular pero podría
en vez de ello recibir sólo puntos nominales en la medida en que no podemos "eliminar"
puntos provenientes de los resultados de las otras preguntas que hemos puntuado. Nos
parece que vale la pena tener un sesgo a favor de los gobiernos. De hecho,
incrementamos este sesgo al permitir un puntaje especial de "2*" ó 3 puntos para países
con fuertes protecciones particulares en un sub área que creemos debe ser notado
aunque este no necesariamente afecte las otras preguntas dentro de la categoría.
El segundo sesgo posible es que un país del cual contamos información muy limitada
sería juzgado más severamente que uno del cual tenemos más información. Para mitigar
los riesgos de juzgar erróneamente a los países, estuvimos más deseosos de no aplicar
juicio alguno a un país dentro de la categoría si muy poca información estuviera
disponible. También promediamos las respuestas dentro de la categoría basados en la
calidad de la información.
Por tanto, todas las categorías fueron medidas con un valor máximo de 10. Nuevamente,
varios expertos revisaron este proceso, y muchas de las decisiones se explican dentro de
la sección de "análisis" de este informe.
CLASIFICACIÓN VS. VALORACIÓN
También hemos abandonado la idea de "clasificaciones", en las cuales se le confiere el
"peor" puntaje. Creemos que hay algo valioso en esta práctica, pero sentimos que no
encontraríamos a los resultados más interesantes si pudiéramos ver las clasificaciones
en vez de los números resultantes. Esto es, si un país A tiene un promedio de 4.2 y un
país B tiene un promedio de 4.5, no podemos garantizar si sería justo decir que el país A
fue el "peor" de esta lista. De manera similar, seríamos cuidadosos de decir que el país
B fue "mejor". En vez de ello, es más valioso ver los matices en cada categoría y las
similitudes y disparidades entre países cuando están categorizados tanto por resultados
de criterio como los de promedio. Como tal, creemos que un sistema de "valoraciones"
sería más apropiado.
129
ENFOQUE NORMATIVO
La obvia dificultad de diseñar preguntas y criterios para las mediciones en cada
categoría es que ello requiere que seamos más explícitos en lo que creemos que son
"buenas" respuestas a estas preguntas. Esto significa que tenemos que decidir qué es lo
que consideramos como un grupo de prácticas aceptables para un Estado democrático.
Estamos por tanto presionados para realizar juicios subjetivos como normativos.
Hacemos uso de indicadores objetivos en la mayor medida posible (p.ej. la existencia de
leyes, el número de casos, los poderes y la extensión de la recolección de datos y del
acceso). Inevitablemente entonces, tenemos que aplicar un nivel de subjetividad basado
en las percepciones de nuestros expertos y analistas de si ésta es una buena práctica o es
meramente una práctica aceptable (ello compone el "2" dentro del sistema). Esta crítica
se aplica a cualquier estudio, sin embargo: incluso aquellos indicadores "objetivos"
escogidos son de hecho indicadores elegidos de manera meramente subjetiva, y elegidos
con el propósito de parecer objetivos cuando de hecho estos no pueden ser siempre
indicativos de la situación.
El gran reto para una organización de defensa de la privacidad al conducir esta
valoración, y quizás para cualquier grupo de defensa en cualquier área que busque algo
similar, es que si los criterios son justos, y si existe un sesgo positivo, entonces debemos
estar deseosos de ser explícitos sobre lo que encontramos como "aceptable", o quizás
incluso "deseable". Es fácil condenar una práctica, y por tanto otorgarle un "0"; pero
como medimos algo dentro de un esquema de vigilancia como "1", "2", o incluso "2*".
No podríamos darle ninguna puntuación positiva a un sistema de vigilancia debido a
que, por definición se está realizando vigilancia. Por supuesto, podríamos también
disminuir nuestras expectativas y sólo celebrar cuando algo dentro de un sistema de
vigilancia sea "menos malo" que en el sistema de vigilancia de otro país.
Más bien, la solución está en ser honrados en nuestros objetivos: no buscamos ver un
mundo en el que la vigilancia esté completamente ausente. Sino que quisiéramos ver un
mundo en el que la vigilancia sea mínima, conducida legalmente, sólo cuando sea
necesaria en una sociedad democrática, y que sea proporcionada, con salvaguardas
intrínsecas pertinentes, y derechos a recursos. De modo que un país pueda tener un
sistema de retención de datos de comunicaciones y aún así obtener puntuaciones
positivas; tanta puntuación positiva como un país sin un sistema de retención de datos
de comunicaciones; y posiblemente incluso más dado que en algunos países podría no
existir una ley aunque la práctica sea extendida.
Es importante destacar que los defensores de la privacidad no sólo ven el estado de las
leyes como su objetivo último, sino que en vez de ello creemos que la protección de la
privacidad es más fuerte en los países en los que el debate sobre la privacidad está vivo
y es importante. Esto es, que el marco de un país es quizás más fuerte cuando las
protecciones en palabras y leyes son fuertes, pero también cuando el debate sobre los
mismos es fuerte. Claro que podemos contar las leyes, pero si las personas no conocen
sus derechos y las organizaciones no conocen sus deberes, entonces nada ha sido
logrado. El reto entonces se convierte en el de medir el discurso político alrededor de la
privacidad, y a veces lo hacemos objetivamente observando el número de quejas a los
130
reguladores; y a veces viendo un poco más subjetivamente a los tipos de cobertura de
los medios de comunicación en un país, la fuerza de su sociedad civil, y la voluntad de
la ciudadanía para cuestionar una práctica tanto públicamente y, cuando sea necesario,
legalmente, y la medida en la que una nación respalda estos tipos de acción a través de
la asignación de recursos.
Como defensores y académicos, creemos que el reto fundamental en todas las
metodologías es para el investigador el conocer que es lo que está esperando alcanzar.
ALGUNAS REFERENCIAS
• "Democracy index 2010: Democracy in retreat", Economist, Unidad de
Inteligencia, Diciembre 2010.
• UNDP y Global Integrity, "A User's Guide to Measuring Corruption", UNDP y
Global Integrity, 2008.
• "Evaluating the Evaluators: Media Freedom Indexes and What They Measure",
Centre for International Media Assistance of the National Endowment for
Democracy y el Center for Global Communications Studies at the Annenberg
School for Communication, 2010.
131
132
D. Unión Europea
355
(Extracto de: Privacidad y Derechos
Humanos en Europa 2010 )
I. VISIÓN GENERAL DEL MARCO LEGAL E INSTITUCIONAL
La Unión Europea (UE) es una unión económica y política de 27 Estados Miembros. Su
estructura, así como las formas en las cuales ésta garantiza la protección de los derechos
fundamentales, han sido afectadas profundamente por la entrada en vigor el 1 de
diciembre de 2009 del Tratado de Lisboa,356 con significativas implicaciones para el
aseguramiento del derecho a la privacidad y el derecho a la protección de datos
personales.
Actualmente, los derechos fundamentales están protegidos en el marco legal de la UE a
través de tres perspectivas complementarias: (a) como principios generales de la UE
derivados del Convenio Europeo para la Protección de los Derechos Humanos y de las
Libertades Fundamentales (ECHR, en inglés) y las tradiciones constitucionales
comunes a los Estados Miembros;357 (b) como se definió en la Carta de los Derechos
Fundamentales de la Unión Europea358 (de aquí en adelante "la Carta");359 y (c) como
un derecho protegido por la Convención Europea de Derechos Humanos a la cual la UE
se adherirá.360
La Carta, que actualmente es vinculante en general en la UE, fue proclamada
originalmente en el año 2000. Esta introdujo entonces como una gran novedad el
reconocimiento por separado de un derecho fundamental a la privacidad, en su Artículo
7,361 por un lado y, por otro, un derecho fundamental a la protección de los datos de
carácter personal, en su Artículo 8.362 Este último derecho establece que los datos
355
Las actualizaciones del informe de la UE publicadas en la edición 2010 del EPHR fueron provistas
por: Gloria González Fuster del Law Science Technology & Society (Grupo de Investigación en Derecho,
Ciencia, Tecnología y Sociedad) (LSTS) de la Vrije Universiteit Brussel, Bélgica; Maria Grazia Porcedda
de la European University Institute, Italia; Matteo E. Bonfanti del Centre for Media and Communication
Studies (Centro de Estudios de Medios y Comunicaciones) de la Central European University, Hungría.
356
El Tratado de Lisboa que modifica el Tratado de la Unión Europea y el Tratado que estableció la
Comunicada Europea, suscrito en Lisboa, OJ C 306, 17 Diciembre 2007, en 1-271. Los tratados de la UE
y legislación relevante adoptada o en proceso de adopción así como otros documentos oficiales también
se hallan disponibles en línea en <http://europa.eu/documentation/legislation/index_es.htm>.
357
Art. 6(3) de la Versión Consolidada del Tratado de la Unión Europea. Las versiones consolidadas del
Tratado de la Unión Europea y del Tratado de Funcionamiento de la Unión Europea, OJ C 83, 30 Marzo
2010,
en
las
páginas
1-388.
Disponible
en
<http://eurlex.europa.eu/JOHtml.do?uri=OJ%3AC%3A2010%3A083%3ASOM%3AES%3AHTML>.
358
Carta de los Derechos Fundamentales de la Unión Europea, OJ C 83 30 Marzo 2010, en las páginas
389-403.
359
Art. 6(1) de la Versión Consolidada del Tratado de la Unión Europea.
360
Art. 6(2) de la Versión Consolidada del Tratado de la Unión Europea.
361
Art. 7 de la Carta, "Respeto de la vida privada y familiar," que estipula que: "Toda persona tiene
derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones".
362
Art. 8 de la Carta, "Protección de datos de carácter personal," que establece que: "1. Toda persona
tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán
133
concernientes a una persona deben necesariamente ser procesados de manera leal, y
sobre la base del consentimiento o de otro fundamento legítimo previsto por ley, que
toda persona tiene derecho a acceder y rectificar los datos recogidos que la
conciernan,363 y que el cumplimiento de estas normas debe estar sujeto al control de una
autoridad independiente.364
A su turno, el Tribunal de Justicia de la Unión Europea, que tiene como sede
Luxemburgo y que es el máximo intérprete de las leyes de la UE, empezó a reconocer la
existencia de un derecho europeo a la protección de datos de carácter personal.365
El Tratado de Lisboa puso fin a la división en la UE en tres pilares, los cuales durante
décadas habían determinado el desarrollo de la legislación en la UE, y por tanto de las
normas de protección de datos de carácter personal de la UE. Desde la entrada en vigor
del Tratado de Lisboa, la UE tiene en el Artículo 16 de la Versión Consolidada del
Tratado de Funcionamiento de la Unión Europea una nueva base legal para la
regulación de los datos de carácter personal, ya sea en el sector privado como en el
sector público, incluyendo el procesamiento en el área policial y en el de cooperación
judicial.366 Esta nueva base legal podría ser utilizada en el contexto de la revisión del
que es actualmente el principal instrumento legal de la UE para la protección de datos
de carácter personal, en otras palabras, la Directiva de Protección de Datos.
de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud
de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos
recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedará sujeto al control de
una autoridad independiente."
363
Art. 8(2) de la Carta.
364
Art. 8(3) de la Carta.
365
ECJ, Caso C-73/07, Tietosuojavaltuutettu contra Satakunnan Markkinapörssi Oy, Satamedia Oy, Fallo
del 16 de diciembre 2008; Caso C-275/06, Productores de Música de España (Promusicae) contra
Telefónica de España SAU, Fallo del 29 de enero 2008, § 63.
366
Art. 16 de la Versión Consolidada del Tratado de Funcionamiento de la Unión Europea que establece
que: "1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2.
El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las
normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por
las instituciones, órganos y organismos de la Unión, así como por los Estados Miembros en el ejercicio de
las actividades comprendidas en el ámbito de la aplicación del Derecho de la Unión, y sobre la libre
circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades
independientes.
Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio de las normas
específicas previstas en el artículo 39 de la Versión Consolidada del Tratado de la Unión Europea." El
Art. 16 de la Versión Consolidada del Tratado de Funcionamiento de la Unión Europea también se aplica
al procesamiento en el área de la Política Exterior y Seguridad Común, en la medida en que las
instituciones de la UE procesen datos de carácter personal (Art. 39 de la Versión Consolidada del Tratado
de la Unión Europea dispone una base legal específica para el procesamiento de datos por parte de los
Estados Miembros en el segundo pilar, este establece que: "De conformidad con el artículo 16 del Tratado
de Funcionamiento de la Unión Europea, y no obstante lo dispuesto en su apartado 2, el Consejo adoptará
una decisión que fije las normas sobre protección de las personas físicas respecto del tratamiento de datos
de carácter personal por los Estados Miembros en el ejercicio de las actividades comprendidas en el
ámbito de la aplicación del presente capítulo, y sobre la libre circulación de dichos datos. El respeto de
dichas normas estará sometido al control de autoridades independientes.").
134
II. DIRECTIVA DE PROTECCIÓN DE DATOS
La Directiva 1995/46/EC, conocida como la Directiva de Protección de Datos,367 define
los fundamentos de la protección de datos personales que los Estados Miembros de la
UE tienen que trasladar a su legislación nacional, donde la legislación existente y su
cumplimiento se llevan a cabo. Las disposiciones de la Directiva pueden ser invocadas
en los tribunales nacionales contra las normas de protección de datos de los Estados
Miembros con el fin de derogar la aplicación de normas contrarias a dichas
disposiciones.
La Directiva de Protección de Datos se aplica a cualquier procesamiento automático de
datos personales y a cualquier otro manejo de datos personales que forman parte de un
sistema de archivamiento.368 Los datos de carácter personal están definidos como
cualquier información que se relacione a "cualquier persona identificada o
identificable".369 Las operaciones de procesamiento vinculadas a la seguridad pública, la
defensa, la seguridad del Estado y actividades de los Estados Miembros en materia
penal se dejaron fuera del alcance de la Directiva. El procesamiento de datos realizado
por una persona natural en el curso de actividades puramente privadas y caseras también
está exceptuado.370
La Directiva estipula una lista de razones legítimas que permiten el procesamiento de
datos personales371 y dispone que las personas responsables para determinar los
propósitos y medios del procesamiento de datos personales, conocidos como los
"responsables de datos", garanticen el cumplimiento con los principios relativos a la
calidad de los datos.372 El responsable de datos cuenta también con deberes de
información hacia las personas cuyos datos son procesados, el cual se denomina "titular
de los datos", aplicables cuando se recogen datos personales directamente de la
persona,373 pero también cuando no se recogen del mismo titular de los datos.374 Se
prevé una protección reforzada para el uso de datos personales sensibles, por ejemplo,
aquellos que corresponden a la salud, vida sexual, o creencias religiosas o filosóficas.375
Al responsable de datos adicionalmente se le exige implementar las medidas técnicas y
organizacionales contra la destrucción ilegal, perdida accidental, o alteración no
autorizada, revelación o acceso.376
Los derechos de los titulares de los datos, como se establece por la Directiva, son: el
derecho al acceso, el cual incluye el derecho a recibir de parte del responsable de datos,
confirmación de si los datos relativos a ellos están siendo procesados, información de
los propósitos del procesamiento, las categorías de datos involucrados y los
destinatarios a los que los datos son revelados, así como el derecho a obtener la
rectificación, borrado o bloqueo de los datos cuyo tratamiento no se ajuste a las
367
Directiva 1995/46/EC del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, OJ L 281/31, 23 de noviembre de 1995, entre las páginas 31-50.
368
Id., Art. 3(1).
369
Id., Art. 2(a).
370
Id., Art. 3(2).
371
Id., Art 7.
372
Id., Art. 6(1).
373
Id., Art. 10.
374
Id., Art. 11.
375
Id., Art. 8.
376
Id., Art. 17.
135
disposiciones de la Directiva;377 el derecho a un recurso judicial;378 y el derecho a
oponerse a ciertas prácticas de tratamiento o procesamiento de datos.379 Cualquier
persona que haya sufrido un perjuicio como resultado de una operación ilegal de
procesamiento tiene derecho a recibir una reparación de parte del responsable de
datos.380
En concordancia con el derecho fundamental a la protección de datos como se
estableció en el Artículo 8 de la Carta,381 la Directiva de Protección de Datos exige a los
Estados Miembros garantizar que autoridades independientes vigilen la aplicación de
sus disposiciones.382 El Tribunal de Justicia de la Unión Europea ha clarificado
recientemente el significado de la condición de "absoluta independencia" de las
autoridades supervisoras de la protección de datos, haciendo hincapié en que no es
compatible con el hecho de estar sujetas a la supervisión del Estado.383 Las autoridades
supervisoras deben ser necesariamente dotadas de poderes de investigación y de poderes
efectivos de intervención, tales como poderes para ordenar el bloqueo, el borrado, y la
destrucción de datos, o el imponer una prohibición temporal o permanente del
tratamiento de datos.384
La Directiva de Protección de Datos estableció un organismo de consulta llamado
Grupo de Trabajo sobre la Protección de las Personas con relación al Tratamiento de
Datos Personales, o Grupo de Trabajo sobre Protección de Datos del Artículo 29 (de
aquí en adelante, GT29).385 Este organismo está compuesto por representantes de las
autoridades de supervisión de los Estados Miembros y acoge igualmente a un
representante del Supervisor Europeo de Protección de Datos, una autoridad supervisora
instaurada en el 2004 (mayor información más adelante).
La Directiva de Protección de Datos dispone un mecanismo por medio del cual las
transferencias de datos personales fuera del territorio de la UE deben cumplir un nivel
"adecuado" de procesamiento de acuerdo a lo prescrito por las disposiciones de la
Directiva.386 El hallazgo de la Comisión Europea de un nivel adecuado de protección
en un país fuera de la UE efectivamente desbloquea la transferencia de datos personales
a dicho tercer país. Las decisiones de la Comisión Europea sobre la idoneidad de la
protección de datos personales en terceros países actualmente comprenden a Argentina,
la Ley de Protección de Información Personal y de Documentos Electrónicos de
Canadá, Andorra, el Bailiazgo de Guernsey, el Bailiazgo de Jersey, la Isla de Man, las
377
Id., Art. 12. El Tribunal de Justicia de la Unión Europea aclaró el significado de este artículo en el:
Caso C 553/07, College van burgemeester en wethouders van Rotterdam contra M.E.E. Rijkeboer, Fallo
del 7 de mayo de 2009.
378
Directiva 1995/46/EC, supra en el Art. 22.
379
Id., Art. 14.
380
A menos que el responsable de datos pruebe que este no es responsable del evento que generó el
perjuicio, Id., Art. 23.
381
Art. 8(3) de la Carta, supra.
382
Directiva 1995/46/EC, supra en el Art. 28.
383
Tribunal de Justicia de la Unión Europea, Caso C-518/07, Comisión Europea contra República Federal
de Alemania, Sentencia del 9 de Marzo de 2010.
384
Directiva 1995/46/EC, supra en el Art. 28(3).
385
Id., Art. 29.
386
Id., Art. 25. Sin embargo, esta no es la única posibilidad para que ocurra una transferencia hacia un
tercer país (ver, en particular, Art. 26 de la Directiva 1995/46/EC).
136
Islas Feroe y Suiza.387 Las transferencias comerciales de datos de la UE a los Estados
Unidos de América pueden darse bajo el llamado Acuerdo de Puerto Seguro.388
El Tribunal de Justicia de la Unión Europea establece la interpretación de la normativa
de la UE que los tribunales de los Estados Miembros deben tomar en cuenta cuando
apliquen sus leyes nacionales con el fin de estar en concordancia con las normas de la
UE. El Tribunal de Justicia de la Unión Europea ha fallado sobre la Directiva de
Protección de Datos en varios casos. En un fallo de 2003, éste dejó en claro que el
amplio alcance de la Directiva se aplica también al tratamiento o procesamiento de
datos personales dentro del sector público y confirmó que la Directiva puede ser
invocada por las partes interesadas en los tribunales nacionales.389 En otra sentencia de
2003, el Tribunal de Justicia de la Unión Europea estableció que la Directiva se aplica a
los sitios web y que el subir archivos de información personal a la Internet no activa
automáticamente la disposición de transferencia a terceros países a pesar de que la
página web sea universalmente accesible.390
REVISIÓN DE LA DIRECTIVA DE PROTECCIÓN DE DATOS
Las instituciones de la UE están considerando actualmente la posibilidad de revisar la
Directiva de Protección de Datos. En el 2009, la Comisión Europea lanzó una Consulta
sobre el marco legal para el derecho fundamental a la protección de datos personales,
abriendo la vía a tal revisión. A finales del 2010 la Comisión publicó una Comunicación
esbozando sus planes de cambio.391
El GT29 expresó públicamente su apoyo a la revisión de la Directiva, a pesar del hecho
que éste considera que los principios existentes de protección de datos son todavía
pertinentes. En un documento ad hoc,392 éste adelantó sugerencias importantes, tales
como: la de clarificar algunas nociones importantes sobre la norma de protección de
datos (en especial, "consentimiento" y "transparencia");393 para incluir algunos
387
Las
decisiones
actualizadas
sobre
idoneidad
se
publican
en
<http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm>.
388
Comisión Decisión 2000/520/EC del 26 de Julio de 2000 de conformidad a la Directiva 95/46/EC del
Parlamento Europeo y del Consejo sobre la idoneidad de la protección provista por el principios de
privacidad de Puerto Seguro y preguntas frecuentes vinculadas emitidas por el Departamento de
Comercio de los Estados Unidos de América (notificado por el documento número C(2000) 2441), OJ L
215, 25 de agosto de 2000, entre las páginas 7–47.
389
Tribunal de Justicia de la Unión Europea, Casos Conjuntos C-465/00, C-138/01 y C-139/01,
Rechnungshof, Sentencia de 20 de mayo de 2003.
390
Tribunal de Justicia de la Unión Europea, Caso C-101/01, Bodil Lindqvist, Sentencia del 6 de
noviembre de 2003.
391
Comisión Europea, "Un enfoque global de la protección de los datos personales en la Unión Europea",
Bruselas,
4
de
noviembre
de
2010,
COM(2010)
609
Final.
Disponible
en
<http://ec.europa.eu/health/data_collection/docs/com_2010_0609_es.pdf>.
392
Grupo de Trabajo sobre Protección de Datos del Artículo 29 y el Grupo de Trabajo sobre Policía y
Justicia, "El futuro de la privacidad: contribución conjunta a la consulta de la Comisión europea sobre el
marco legal para el derecho fundamental a la protección de datos de carácter personal" ("The Future of
Privacy: Joint contribution to the Consultation of the European Commission on the legal framework for
the fundamental right to the protection of personal data"), 1 de diciembre de 2009, Bruselas.
393
Además, la compleja interacción entre los roles de los "responsables de datos" y los "procesadores de
datos" en un mundo globalizado ha sido abordado en un dictamen previo: El Grupo de Trabajo sobre
Protección de Datos del Artículo 29, Dictamen 1/2010 sobre los conceptos de "responsable del
tratamiento" y "encargado del tratamiento", WP 169, 16 de febrero de 2010, Bruselas. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf>.
137
principios adicionales (tales como "privacidad por diseño"394 y "responsabilidad",395
para modernizar algunas disposiciones (p.ej. el limitar las cargas burocráticas, pero
también mejorar la protección de los titulares de los datos396); para establecer un marco
legal integral, aplicado también a la cooperación policiaca y judicial en asuntos penales;
y para mejorar las condiciones para las transferencias de datos a terceros países,
promoviendo estándares internacionales y nuevas reglas sobre leyes aplicables, así
como el reglamentar por ley el uso de las Normas Corporativas Vinculantes (Binding
Corporate Rules (BCRs)).
III. PRIVACIDAD Y COMUNICACIONES ELECTRÓNICAS
La UE ha dado pasos específicos para garantizar la protección de la privacidad y de los
datos personales en el área de las telecomunicaciones. En 1997 la Directiva de
Privacidad de las Telecomunicaciones (Directiva 1997/66/EC) fue adoptada,
reemplazada en el 2002 por la Directiva sobre la privacidad y las comunicaciones
electrónicas (Directiva 2002/58/EC),397 luego enmendada en el 2006398 y en el 2009.399
La Directiva sobre la privacidad y las comunicaciones electrónicas se aplica a los
servicios de comunicaciones electrónicas disponibles públicamente en redes de
telecomunicaciones públicas en la UE. Ésta regula el tratamiento de los llamados
"tráfico" y "datos de localización" ("datos de tráfico" que son los datos necesarios para
la provisión de comunicaciones y "datos de localización" que son los datos que proveen
la posición geográfica del equipo terminal), así como comunicaciones no solicitadas
("spam"), cookies, y software espía, entre otras cosas.
394
Promoviendo la integración de las exigencias de protección de datos y de la privacidad desde el diseño
inicial y la creación de la tecnología, especialmente en áreas riesgosas. Ver también Supervisor Europeo
de Protección de Datos, Dictamen acerca de la promoción de confianza en la sociedad de la información
mediante el impulso de la protección de datos y la privacidad, 19 de marzo de 2010, Bruselas. Disponible
en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2
010/10-03-19_Trust_Information_Society_ES.pdf>.
395
Definido como la capacidad de los responsables de datos de demostrar que han tomado todas las
medidas de protección de datos necesarias. Ver, sobre este tema, Grupo de Trabajo sobre Protección de
Datos del Artículo 29, Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, 13 de julio de
2010,
Bruselas.
Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_es.pdf>.
396
Por ejemplo, a través de la introducción de acciones de clase, o a través de la disposición de más
fáciles y accesibles procedimientos de queja.
397
Directiva 1997/66/EC del Parlamento Europeo y del Consejo del 15 de diciembre de 1997 relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las
telecomunicaciones sobre, OJ L 24, 30 de enero de 1998, en las páginas 1–8. La Directiva exige a los
Estados Miembros garantizar un nivel equivalente de protección de los derechos y las libertades
fundamentales, y en particular el derecho a la privacidad, con respecto al tratamiento de datos personales
en el sector de telecomunicaciones, e incluye disposiciones sobre seguridad (Art. 4), la confidencialidad
de las telecomunicaciones (Art. 5); tráfico y facturación (Art. 6); facturación desglosada: (Art. 7); la
presentación y limitación de la identificación de la línea llamante y conectada (Art. 8); desvío automático
de llamadas (Artículo 10); guías (Art. 11); llamadas no solicitadas (Art. 12); y las características técnicas
y normalización (Art. 13).
398
Directiva 2002/58/EC del Parlamento Europeo y del Consejo del 12 de Julio de 2002 relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la Privacidad y las Comunicaciones Electrónicas), OJ L 201, 31 de julio de
2002,
entre
las
páginas
37-47.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:ES:PDF>.
399
Cfr. Sección "La Directiva de retención de datos," infra.
138
La revisión de 2009 de la Directiva sobre la privacidad y las comunicaciones
electrónicas400 modificó los textos anteriores en distintas formas. Primero, éste
estableció una definición legal de violación de los datos personales.401 Los proveedores
de servicios de comunicaciones que se hallan dentro del alcance de la Directiva están
obligados a notificar las violaciones a las autoridades nacionales competentes, así como
a los abonados o clientes que probablemente sean afectados negativamente por la
violación (esto es, por robo de identidad, pérdida de la reputación, etc.), y no será
necesaria si se puede demostrar que éste ha implantado las medidas de seguridad
apropiadas para la protección de los datos. Dicha notificación debe ser acompañada por
una lista de las medidas sugeridas para contrarrestar la violación, y deberá crearse un
inventario de todas las violaciones ocurridas.402 Para este fin, se les otorgó a las
autoridades supervisoras competencias ampliadas. Ellos obtuvieron los poderes de
investigación necesarios y los recursos para vigilar a los proveedores de servicios,
detener las infracciones y hacer cumplir las disposiciones de la Directiva. Además, ellos
adquirieron los medios para perseguir una cooperación transfronteriza.403
Segundo, la revisión reforzó las medidas sobre software espía y cookies, así como con
el spam. Lo anterior puede ser instalado en el equipo terminal de los abonados, para
obtener acceso a la información ya almacenada en ellos, sólo con el explícito
consentimiento del abonado o del usuario, dado después de haberle sido proporcionado
con información clara, en concordancia con la Directiva 1995/46/EC y después de
haberle concedido el derecho a rechazar dicho acceso, a menos que dicho acceso sea
necesario para propósitos estrictamente de transmisión de una comunicación o
proporcionar un servicio expresamente solicitado.404 Para el spam, las infracciones de
las disposiciones sobre comunicaciones no solicitadas ahora pueden ser solucionadas
por medio de un procedimiento legal, por parte de personas naturales y jurídicas.405
IV. LA DIRECTIVA DE CONSERVACIÓN DE DATOS
En el año 2002, la Directiva sobre la Privacidad y las Comunicaciones Electrónicas
introdujo la posibilidad de que los Estados Miembros aprueben leyes ordenando la
400
Directiva 2009/136/EC del Parlamento Europeo y del Consejo del 25 de noviembre de 2009 que
modifica la Directiva 2002/22/EC relativa al servicio universal y los derechos de los usuarios en relación
con las redes y los servicios de comunicaciones electrónicas, Directiva 2002/58/EC relativa al tratamiento
de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y
el Reglamento (CE) No. 2006/2004 sobre la cooperación entre autoridades nacionales responsables del
cumplimiento de las leyes de protección de los consumidores, OJ L 337, 18 de diciembre de 2009, entre
las páginas 11-36 (para ser transpuesto a las leyes nacionales a partir del 25 de mayo de 2011).
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:ES:PDF>.
401
Art. 2(2)(c) de la Directiva 2009/136/EC: "'violación de los datos personales' que significa una
violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la
revelación o el acceso no autorizados, de datos personales transmitidos, almacenados, o tratados de otro
modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la
Comunidad."
402
Id., Art. 2(4).
403
Id., Art. 2(10).
404
Id., Art. 2(5) (resultante de la corrección del Art. 5(3) de la Directiva 2002/58/EC). Ver. Respecto al
tema: Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen 2/2010 sobre publicidad
comportamental en línea, WP 171, 22 de junio de 2010, Bruselas. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_es.pdf>.
405
Id., Art. 2(7).
139
retención de datos de comunicaciones por motivos de seguridad.406 En el 2006, la UE
modificó la Directiva sobre la Privacidad y las Comunicaciones Electrónicas al
promulgar la Directiva sobre Conservación de Datos (Directiva 2006/24/EC),407 la cual
obliga a los Estados Miembros a exigir a los proveedores de comunicaciones a retener o
conservar datos de comunicaciones por un periodo entre seis meses a dos años. Los
Estados Miembros tenían hasta septiembre de 2007 para transferir las exigencias de la
Directiva a su legislación nacional, pero se les facultó a posponer la implementación en
relación al acceso a Internet, la telefonía por Internet y los correos electrónicos por
Internet hasta marzo de 2009. A inicios de 2010, siete Estados Miembros todavía no
habían adoptado la legislación nacional pertinente.408 Las implementaciones de la
Directiva sobre Conservación de Datos varían en cada Estado Miembro. Las diferencias
más notables están relacionadas a los periodos de retención o conservación de datos, los
datos a conservar, los tipos de delitos que justificarían el acceso a los datos y los
métodos para que las fuerzas del orden accedan a los datos. La Comisión Europea ha
demandado a varios Estados Miembros por fallar en el traslado satisfactorio de la
Directiva de Conservación de Datos en sus marcos legislativos, en algunos casos ya con
sentencias que confirman el incumplimiento de transponer debidamente sus
disposiciones.409
Al momento de su adopción, el GT29 emitió un dictamen sobre la Directiva de
Conservación de Datos en la cual aseveró que "[l]a decisión de conservar datos de
comunicación con el fin de combatir la delincuencia grave es un hecho sin precedentes
que tiene una dimensión histórica. Afecta la vida cotidiana de todos los ciudadanos
europeos y puede poner en peligro los valores y las libertades fundamentales que
disfrutan y estiman".410 El GT29 observó posteriormente que la Directiva carecía de
algunas salvaguardas adecuadas y específicas para el tratamiento de los datos de
comunicaciones y que permitía una interpretación e implementación divergente en este
punto por parte de los Estados Miembros.
406
Art. 15(1) de la Directiva 2002/58/EC.
Directiva 2006/24/EC del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones y por las que se modifica la
Directiva 2002/58/EC, OJ L 105, 13.4.2006, pp. 54-63. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>.
408
Austria, Bélgica, Grecia, Irlanda, Luxemburgo, Polonia, y Suecia. Cfr. Grupo de Trabajo sobre
Protección de Datos del Artículo 29, Informe 01/2010 sobre la segunda acción conjunta de control de la
aplicación de la legislación de la UE: cumplimiento a nivel nacional de los prestadores de
telecomunicaciones y de proveedores de servicios de internet de la obligación proveniente de la
legislación nacional sobre conservación de datos basados en los Artículos 6 y 9 de la Directiva sobre la
privacidad y las comunicaciones electrónicas 2002/58/EC y la Directiva sobre la conservación de datos
2006/24/EC que modificó la Directiva sobre la privacidad y las comunicaciones electrónicas, WP 172, 13
de julio de 2010, Bruselas.
409
Ver, en particular: Tribunal de Justicia de la Unión Europea, Caso C-189/09, Comisión Europea
contra República de Austria, Sentencia del 29 de Julio de 2010; Caso C-185/09, Comisión Europea
contra Reino de Suecia, Sentencia del 4 de febrero 2010; Caso C-202/09, Comisión Europea contra
Irlanda, Sentencia del 26 de noviembre de 2009; Caso C-211/09, Comisión Europea contra República
Helénica, Sentencia del 26 de noviembre de 2009; Caso C-394/10, Comisión Europea contra Gran
Ducado de Luxemburgo, demandado el 4 de agosto de 2010.
410
Grupo de Trabajo del Articulo 29, Dictamen 3/2006 sobre la Directiva 2006/24/EC del Parlamento
Europeo y del Consejo sobre la conservación de datos generados o tratados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y
por la que se modifica la Directiva 2002/58/EC, WP 119, 25 de marzo de 2006, Bruselas, en la página 2.
Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp119_es.pdf>.
407
140
Irlanda inició un proceso judicial buscando la anulación de la Directiva de
Conservación de Datos directamente ante el Tribunal de Justicia de la Unión
Europea,411 fundamentando que éste no había sido adoptado sobre la base legal
apropiada. Más de 40 ONGs de libertades civiles y asociaciones profesionales con sede
en distintos países aprovecharon la oportunidad para enviar una carta al Tribunal de
Justicia de la Unión Europea con una petición para la anulación de la Directiva.412 En
febrero de 2009, el Tribunal de Justicia de la Unión Europea determinó que la Directiva
fue adoptada sobre la base legal correcta y, sin un análisis de fondo sobre el tema de la
privacidad, desestimó la demanda que buscaba su anulación.413
A nivel nacional, distintas acciones legales han combatido a las leyes nacionales que
han trasladado la Directiva de Conservación de Datos. La Digital Rights Ireland
presentó una demanda contra el Gobierno Irlandés ante la Corte Suprema en septiembre
de 2006.414 En el caso argumenta que la ley de conservación de datos irlandesa viola
principios fundamentales de derechos humanos y es por tanto contraria a la
Constitución de Irlanda así como a las leyes de Protección de Datos de Irlanda y de la
UE.415 En Alemania, 34,000 ciudadanos objetaron la transposición de la Directiva de
Conservación de Datos ante el Tribunal Constitucional Federal Alemán, haciendo de
esta la más grande acción legal jamás vista ante este tribunal.416 La sentencia final del
Tribunal Constitucional Federal Alemán fue expedida el 2 de marzo de 2010.417
Jurisprudencia adicional pertinente fue emitida por el Tribunal Constitucional Rumano,
el 8 de octubre de 2009418 y por el Tribunal Administrativo de Bulgaria el 11 de
diciembre de 2008.419 En concordancia con las disposiciones de la Directiva de
Conservación de Datos,420 la Comisión Europea llevó a cabo una evaluación de su
aplicación e impacto en otoño de 2010.
411
Tribunal de Justicia de la Unión Europea, Caso C-301/06, Irlanda contra Consejo de la Unión
Europea,
Parlamento
Europeo.
Demanda
disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2006:237:0005:0005:ES:PDF>.
412
Arbeitskreis Vorratsdatenspeicherung, "European NGOs Ask Court to Annul Data Retention
Directive”,
8
de
abril
de
2008,
disponible
en
<http://www.vorratsdatenspeicherung.de/content/view/216/79/lang,en/#_note-0>.
413
Tribunal de Justicia de la Unión Europea, Caso C-301/06, Irlanda contra Parlamento Europeo,
Consejo de la Unión Europea, Sentencia del 10 de febrero de 2009. Sentencia disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:082:0002:0003:ES:PDF>.
414
Digital Rights Ireland, "DRI Brings Legal Action over Mass Surveillance," 14 de septiembre de 2006,
disponible en <http://www.digitalrights.ie/2006/09/14/dri-brings-legal-action-over-mass-surveillance/>.
415
Id.
416
Arbeitskreis Vorratsdatenspeicherung, "Constitutional Complaint Filed against German Telecomms
Data
Retention
Act,"
31
de
diciembre
de
2007
disponible
en
<http://www.vorratsdatenspeicherung.de/content/view/184/79/lang,en/>.
417
Vorratsdatenspeicherung (Conservación de datos) BVerfG 2 de marzo de 2010, 1 BvR 256/08,
disponible en < http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html>.
418
Resolución No. 1258, Tribunal Constitucional Rumano, 8 de octubre de 2009, publicado en el
Romanian Official Monitor, No. 789, 23 de noviembre de 2009.
419
Resolución No. 13627, Tribunal Administrativo de Bulgaria (Върховния административен съд), 11
de diciembre de 2008.
420
Directiva 2006/24/EC, supra en el Art. 14.
141
V. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y
ACCESO A DOCUMENTOS DE LA UNIÓN EUROPEA
En el 2001, un Reglamento fue adoptado para hacer aplicable el contenido de la
Directiva de Protección de Datos para el procesamiento de datos llevados a cabo en
instituciones de las Comunidades Europeas (CE), llamado Reglamento (CE) No.
45/2001.421 Este Reglamento no sólo disponía el establecimiento de un Supervisor
Europeo de Protección de Datos, sino que también es importante mencionarlo, entre
otros, con relación al acceso a los documentos en manos de las instituciones de la UE.
El acceso a documentos en manos de las instituciones de la UE está gobernado por el
Reglamento (CE) No. 1049/2001.422 La relación entre el acceso a los documentos y la
protección de datos personales ha sido clarificada por el Tribunal de Justicia de la
Unión Europea en el contexto de un caso que enfrentaba a la Comisión Europea, por un
lado, y a una compañía privada (The Bavarian Lager Co. Ltd) apoyada por el
Supervisor Europeo de Protección de Datos.423 En la sentencia del caso, el Tribunal de
Justicia de la Unión Europea confirmó la aplicabilidad de las disposiciones de
protección de datos de la UE en este campo y subrayó que la aplicación de dichas
disposiciones de protección de datos no pueden ser reducidas a un mero examen de si,
ha ocurrido o no una interferencia en el sentido expresado por el Artículo 8 de la Carta
de los Derechos Fundamentales de la Unión Europea.424
VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA
(AFSJ)
El antiguo "tercer pilar" de la UE usualmente cubría la cooperación en los campos de la
justicia y de asuntos internos. La protección de datos personales tratados en el contexto
de actividades en esta área, los cuales han sido dejados sin regulación por la Directiva
de Protección de Datos, fueron abordados a través de varias disposiciones de protección
de datos de la UE. Estas fueron comúnmente adoptadas en relación con los muchos
sistemas o agencias específicas de información establecidos en el área, creando una
suerte de mosaico legislativo. Usualmente, estos instrumentos legales se remiten a la
Convención No. 108 del Consejo de Europa como el punto de referencia para sus
disposiciones sobre protección de datos.
421
Reglamento (CE) No 45/2001 del Parlamento Europeo y del Consejo del 18 de diciembre de 2000
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las
instituciones y los organismos comunitarios y a la libre circulación de estos datos, OJ L 8, 12 de enero de
2001,
en
las
páginas
1-22.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:ES:PDF>.
422
Reglamento (CE) No 1049/2001 del Parlamento Europeo y del Consejo del 30 de mayo de 2001
relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión,
OJ L 145, 31 de mayo de 2001, en las páginas 43-48. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:145:0043:0048:ES:PDF>.
423
Tribunal de Justicia de la Unión Europea, Caso C-28/08 P, Comisión Europea contra The Bavarian
Lager Co. Ltd, Sentencia del 29 de junio de 2010. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004A0194:ES:HTML>.
424
Id., § 58-59.
142
Después de muchos años de debate sobre la posibilidad de establecer un instrumento
horizontal de protección de datos para todo el "tercer pilar",425 la Decisión Marco del
Consejo 2008/977/JHA fue adoptada el 27 de noviembre de 2008.426 Sin embargo, el
alcance de la aplicación de esta Decisión Marco es extremadamente limitado. De hecho,
este concierne exclusivamente a la protección de datos personales intercambiados entre
Estados Miembros y que no están sujetos a otras disposiciones a nivel de la UE. Las
innovaciones introducidas por el Tratado de Lisboa pueden finalmente afectar la
existencia de la Decisión Marco.
A lo largo de los años, los instrumentos específicos de protección de datos han estado
construyendo diferentes estructuras para vigilar la implementación de la norma de
protección de datos en esta área. Por ejemplo, para la Europol, la cual es la agencia de
inteligencia criminal, la supervisión de la protección de datos está en manos de la
Autoridad Común de Control de Europol.427 En el contexto de Eurojust, cuyo objetivo
es mejorar las investigaciones y el procesamiento en toda la UE, la vigilancia de la
protección de datos es responsabilidad de la Autoridad Conjunta de Control de
Eurojust.428
PROCESAMIENTO DE DATOS EN EL ESPACIO DE LIBERTAD, SEGURIDAD Y
JUSTICIA (AFSJ)
En el 2010, la Comisión Europea publicó un panorama de las múltiples medidas
vigentes de la UE, en proceso de implementación o en proceso de consideración
relativas a la obtención, almacenamiento o intercambio transfronterizo de información
personal con fines represivos o de gestión de la migración.429 Las medidas fueron
tomadas por las instituciones de la UE en años anteriores con relación tanto a propósitos
425
El Supervisor Europeo de Protección de Datos emitió tres dictámenes sobre el tema: Supervisor
Europeo de Protección de Datos, Tercer dictamen del 27 de abril de 2007 sobre la propuesta de Decisión
Marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación
policial y judicial en materia penal, OJ C 139, 23 de junio de 2007, en 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2007:139:0001:0010:ES:PDF>.
Segundo dictamen del 29 de noviembre de 2006 sobre la propuesta de Decisión Marco del Consejo
relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en
materia penal, OJ C 91, 26 de abril de 2007, en 9. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2007:091:0009:0014:ES:PDF>.
Dictamen del 19 de diciembre de 2005 sobre la propuesta de Decisión Marco del Consejo relativa a la
protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal
(COM (2005)475 final), OJ C 47, 25 de febrero de 2006, en 27. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2006:047:0027:0047:ES:PDF>.
426
Decisión Marco 2008/977/JAI del Consejo, del 27 de noviembre de 2008, relativa a la protección de
datos personales tratados en el marco de la cooperación policial y judicial en materia penal. Diario Oficial
350, 30 de diciembre de 2008, en páginas 60–71. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:350:0060:01:ES:HTML>.
427
Diríjase a la página de la Autoridad Común de Control de Europol en
<http://europoljsb.consilium.europa.eu/about.aspx?lang=es>.
428
Compare las Normas del Reglamento Interno de Eurojust relativas al Tratamiento y a la Protección de
Datos
Personales
(2005),
C
68/1,
disponible
en
<http://www.eurojust.europa.eu/official_documents/Data_Protection_Rules/c_06820050319es00010010.
pdf>.
429
Comisión Europea, Comunicación de la Comisión al Consejo y al Parlamento Europeo: Panorama
general de la gestión de la información en el espacio de libertad, seguridad y justicia, COM(2010) 385
final,
20
de
julio
de
2010,
Bruselas.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0385:FIN:ES:PDF>. Página 3.
143
de seguridad, tales como contraterrorismo y objetivos vinculados a la creación de un
área sin fronteras internas (el área "Schengen") y a veces en relación a un objetivo
impreciso, que de alguna manera engloba objetivos de seguridad y otras
preocupaciones, tales como la de inmigración. Es su panorama de 2010, la Comisión
Europea admitió que dos recientes sistemas informáticos de gran magnitud, el Sistema
de Información de Visados (VIS, en inglés), el cual sirve para almacenar datos
biométricos de postulantes a una visa y el Sistema de Información de Schengen (SIS),
así como su próximo sucesor, Sistema de Información de Schengen de segunda
generación (SIS II), no respetan uno de los principios fundamentales de la protección de
datos en la UE, a saber, el principio de finalidad limitada.430
Otros sistemas de información existentes de gran magnitud en la UE incluyen a
Eurodac, establecido por el Reglamento del Consejo 2725/2000,431 el cual es una base
de datos para almacenar las impresiones dactilares de quienes buscan asilo (el sistema
está inspeccionado por el Supervisor Europeo de Protección de Datos conjuntamente
con las pertinentes Autoridades Nacionales de Protección de Datos.432 Entre las
iniciativas de la UE que podrían surgir en relación al tratamiento de personas en
tránsito, puede mencionarse la creación del llamado "Sistema de Registro de las
Entradas y Salidas" (EES),433 un sistema de información que se espera registre la hora y
lugar de entrada, así como el periodo de tiempo de una estadía autorizada, de todos los
nacionales de terceros países que ingresen al área Schengen para fines de control de
inmigración y un Sistema Electrónico de Autorización de Viaje (ESTA, en inglés) para
la obtención de datos de nacionales de terceros países que no estén sujetos al requisito
de visa antes de su llegada a las fronteras de la UE.434
El Sistema de Información Aduanero (CIS, en inglés) fue establecido en 1995 por la
Convención del antiguo tercer pilar sobre el uso de la tecnología de la información para
efectos aduaneros.435 La meta del Sistema de Información Aduanero es permitir a los
servicios de aduanas nacionales intercambiar y diseminar información sobre actividades
de contrabando y pedidos de acción al respecto. Algunas de estas informaciones son
datos personales. Una Autoridad Supervisora Común compuesta por las Autoridades de
430
Id., en la página 24.
Reglamento del Consejo (CE) No. 2725/2000 del 11 de diciembre de 2000, relativa a la creación del
sistema 'Eurodac' para la comparación de las impresiones dactilares para la aplicación efectiva del
Convenio de Dublín, Diario Oficial L 316, 15 de diciembre de 2000. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000R2725:ES:HTML>.
432
Reglamento del Consejo (CE) No. 407/2002 del 28 de febrero de 2002 por el que se establecen
determinadas normas de desarrollo del Reglamento (CE) No 2725/2000 relativo a la creación del sistema
'Eurodac' para la comparación de las impresiones dactilares para la aplicación efectiva del Convenio de
Dublín, Diario Oficial L 62, 5 de marzo de 2002, páginas 1-5. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:062:0001:0005:ES:PDF>.
433
Comisión Europea, Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité
Económico y Social Europeo y al Comité de las Regiones: Preparación de los próximos pasos en la
gestión de fronteras de la Unión Europea, COM(2008) 69 final, 13 de febrero de 2008, Bruselas, página
8.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0069:FIN:ES:PDF>.
434
Id., página 6.
435
Convenio establecido sobre la base del Artículo K.3 del Tratado de la Unión Europea, relativo a la
utilización de la tecnología de la información a efectos aduaneros, DO C 316, 27 de noviembre de 1995,
páginas 34-47. En 1997, Reglamento del Consejo (CE) No. 515/97 del 13 de marzo de 1997 también
estableció el Sistema de Información Aduanero con el fines de asistencia mutua con relación a materias
aduaneras y agrarias. Ver DO, L 082, 22 de marzo de 1997, páginas 1-16. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1997:082:0001:0016:ES:PDF>.
431
144
Protección de Datos de los Estados Miembros es responsable de la supervisión del
Sistema de Información Aduanero.
Con objeto de mejorar el intercambio de datos personales dentro de la UE y entre las
fuerzas del orden de los Estados Miembros, se han hechos distintos esfuerzos en los
últimos años para crear "interoperatibilidad" entre las bases de datos.436 La
"interoperatibilidad", es decir, la disolución de las fronteras entre las bases de datos
establecidas para diferentes propósitos, que contienen información sobre diferentes
categorías de personas, accedidas por distintos tipos de autoridades y operadas con
métodos diferentes, presentan una seria amenaza a los bien establecidos principios de
protección de datos de finalidad limitada y al de proporcionalidad.
Las instituciones de la UE también están considerando la creación de una nueva
agencia, posiblemente llamada Agencia para la Gestión Operativa de Sistemas
Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia,437 para
que se haga cargo de la gestión operativa del SIS II, VIS, Eurodac y cualquier otro
sistema informático de gran magnitud establecido en el espacio de libertad, seguridad y
justicia.
Los intercambios de tratamiento de datos en la UE también se dan a través de canales
que nos requieren el establecimiento de ninguna base de datos nueva. En el 2005, siete
Estados Miembros438 suscribieron un tratado en Prüm para mejorar la cooperación
transfronteriza de carácter policial y judicial, especialmente con relación al combate al
terrorismo, los delitos transfronterizos y la migración ilegal. Bajo el Tratado, los
Estados Miembros se otorgan entre ellos derechos de acceso a sus archivos
automatizados de análisis de ADN, sistemas automatizados de identificación a través de
impresiones digitales y datos de registro de vehículos. En el 2006, Alemania y Austria
se convirtieron en los primeros países en el mundo en emparejar sus bases de datos de
ADN.439 Las disposiciones del Tratado de Prüm han sido desde entonces integradas en
el marco legal de la UE.440
436
Según la Comunicación de la Comisión al Consejo y al Parlamento Europeo sobre una mayor eficacia,
interoperabilidad y sinergia entre las bases de datos europeas en el ámbito de la Justicia y los Asuntos de
Interior (COM/2005/0597 final), Bruselas, 24 de noviembre de 2005, "interoperatividad" es la "capacidad
para compartir e intercambiar información y conocimientos de los sistemas de tecnologías de la
información y las comunicaciones (TIC) y de los procesos empresariales en que se basan".
Lamentablemente la Comisión consideró a la "interoperatividad" como "un concepto técnico más que
jurídico o político. No está vinculado a la cuestión de si el intercambio de datos es legal o políticamente
posible
o
necesario".
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0597:FIN:ES:HTML>.
437
Comisión Europea, Propuesta Modificada del Reglamento (UE) No ... / ... del Parlamento Europeo y
del Consejo por el que se crea una Agencia para la gestión operativa de sistemas informáticos de gran
magnitud en el espacio de libertad, seguridad y justicia, COM(2010) 93 final, 19 de marzo de 2010,
Bruselas.
Disponible
en
<http://www.europarl.europa.eu/meetdocs/2009_2014/documents/com/com_com%282010%290093_/co
m_com%282010%290093_es.pdf>.
438
Austria, Bélgica, Francia, Alemania, Luxemburgo, España, y los Países Bajos.
439
"The Treaty of Prüm Makes Europe Safer - EU Police Forces Share Data," Ministerio del Interior de
Alemania,
15
de
marzo
de
2007,
en
<http://www.eu2007.bmi.bund.de/nn_1059824/EU2007/EN/DomesticPolicyGoals/News/Content__News
/Hanning__dbb.html>.
440
Ver la Decisión del Consejo 2008/615/JAI del 23 de junio de 2008 sobre la profundización de la
cooperación transfronteriza, en particular en material de lucha contra el terrorismo y la delincuencia
transfronteriza, DO L 210, 6 de agosto de 2008, páginas 1-11. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0001:0011:ES:PDF>.
145
Otro instrumento legal de la UE que promueve el intercambio de información entre
importantes autoridades de las fuerzas del orden es la Decisión Marco 2006/960/JAI. La
Decisión Marco establece un régimen regulatorio bajo el cual a las autoridades de las
fuerzas del orden de los Estados Miembros se les permite, entre ellos, un intercambio
"eficaz y rápido" (pero también con Europol y Eurojust) de "información y/o
inteligencia disponibles para llevar a cabo investigaciones criminales u operaciones de
inteligencia criminal".441
Los esfuerzos para impulsar el intercambio de datos personales en el contexto de
asistencia legal mutua en materia penal en la UE también se ha enfocado en facilitar el
intercambio de registros de antecedentes penales entre autoridades nacionales. La
recientemente adoptada Decisión Marco 2009/315/JAI relativa a la organización y al
contenido del intercambio de información de los registros de antecedentes penales entre
los Estados Miembros442 apunta a definir las modalidades en las cuales un Estado
Miembro donde se decide una condena contra un nacional de otro Estado Miembro
transmite la información de dicha condena al Estado Miembro de la nacionalidad de la
persona condenada. Sobre la base de la anteriormente mencionada Decisión Marco, el
Consejo adoptó la Decisión 2009/316/JAI por la que se establece el Sistema Europeo de
Información de Antecedentes Penales (ECRIS, en inglés).443 En su diseño, ECRIS es un
sistema descentralizado de tecnología de la información basado en las bases de datos de
registros de antecedentes penales nacionales. Todos los datos de registros de
antecedentes penales deben estar almacenados únicamente en bases de datos operadas
por los Estados Miembros. Los Estados Miembros deben consumar las medidas
necesarias para cumplir con las disposiciones de ambos instrumentos legales
mencionados anteriormente para abril de 2012.
En los últimos años las instituciones de la UE han estado apoyando enérgicamente el
incremento de la vigilancia en las fronteras físicas de la UE. Éstas han establecido
Eurosur, un marco técnico de vigilancia de fronteras orientado a la mejora de la
seguridad fronteriza a través del intercambio de datos y la coordinación de
actividades,444 y de Frontex, la Agencia Europea para la Gestión de la Cooperación
Operativa en las Fronteras Exteriores, creada445 para coordinar las operaciones de
Ver también la Decisión del Consejo 2008/616/JAI del 23 de junio de 2008 relativa a la ejecución de la
Decisión 2008/615/JAI, DO L 210, 6 de agosto de 2008, páginas 12–72. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0012:0072:ES:PDF>.
441
Decisión Marco del Consejo 2006/960/JAI del 18 de diciembre de 2006 sobre la simplificación del
intercambio de información e inteligencia entre los servicios de seguridad de los Estados Miembros de la
Unión Europea, DO L 386 29 de diciembre de 2006, páginas 89-100. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:386:0089:0100:ES:PDF>.
442
Decisión Marco del Consejo 2009/315/JAI del 26 de febrero de 2009 relativa a la organización y al
contenido del intercambio de información de los registros de antecedentes penales entre los Estados
Miembros, DO L 93, 7 de abril de 2009, páginas 23–32. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0023:0032:ES:PDF>.
443
Decisión del Consejo 2009/316/JIA del 6 de abril de 2009 por la que se establece el Sistema Europeo
de Información de Antecedentes Penales (ECRIS) en aplicación del artículo 11 de la Decisión Marco
2009/315/JAI, DO L93, 7 de abril de 2009, páginas 33-47. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0033:0048:ES:PDF>.
444
Comisión Europea, Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité
Económico y Social Europeo y al Comité de las Regiones: Examen de la creación de un sistema europeo
de vigilancia de fronteras (EUROSUR), COM(2008) 68 final, 13 de febrero de 2008, Bruselas.
Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0068:FIN:ES:PDF>.
445
Reglamento del Consejo (CE) No. 2007/2004 del 26 de octubre de 2004 por el que se crea una
Agencia Europea para la gestión de la cooperación operativa en las fronteras exteriores de los Estados
146
vigilancia de controles fronterizos. La posibilidad de que Frontex procese datos
personales, y en particular que los transmita a Europol, esta debatiéndose cada vez más.
En la UE la obtención, análisis e intercambio de información personal para propósitos
de cumplimiento de la ley y de seguridad también involucra las actividades del sector
privado. La llamada "privatización de las actividades de represión" consiste en instar a
organizaciones privadas (empresariales o profesionales) para cooperar con las
autoridades del Estado en la prevención o combate a las actividades criminales como el
terrorismo. Esta cooperación se da de distintas formas: conservación de datos de
comunicaciones,446 intercambio de los registros de nombres de pasajeros447 y la
recolección de información de parte de entidades privadas financieras o de otro tipo con
propósitos de combatir el blanqueo de capitales. Con relación a este tipo de
cooperación, la Directiva 2005/60/CE busca prevenir el uso del sistema financiero con
el propósito de realizar blanqueo de capitales y para la financiación del terrorismo.448
Ésta se aplica a instituciones crediticias y financieras, así como a ciertas personas
jurídicas y naturales que trabajan en el sector financiero. A éstas entidades se les exige
identificar al cliente y verificar su identidad, obtener información sobre el propósito y la
intención de la relación de negocios. Además, éstas deben completar un informe de
transacción sospechosa cuando haya sospecha de blanqueo de capitales o
financiamiento del terrorismo, sin importar cualquier excepción o umbral.449 Éstos
informes de transacciones sospechosas se transmiten y procesan por las Unidades de
Inteligencia Financiera que son usualmente parte de las fuerzas del orden o de
organismos administrativos que informan a los Ministerios de Finanzas. Estos informes
pueden ser transmitidos a las autoridades competentes, entre ellas las fuerzas del orden
y a Unidades de Inteligencia Financiera extranjeras. Sobre esa base las investigaciones
penales pueden ser iniciadas si es necesario.
Estas formas de vigilancia que hacen uso de información en manos del sector privado
involucran la obtención, almacenamiento e intercambio con autoridades nacionales de
una amplia categoría de datos de carácter general generados por las personas en su vida
diaria y en su mayoría en la realización de actividades legítimas.
El Programa de Estocolmo,450 el documento de política que orienta el desarrollo de un
Espacio de Libertad, Seguridad y Justicia para el periodo 2010-2014, confirma la
tendencia hacia un refuerzo de las prácticas de tratamiento de datos, al tiempo que se
ocupan de la interacción entre las técnicas intrusivas privadas y la necesidad de proteger
el derecho a la vida privada y a la protección de datos.451 El Programa en especial hace
Miembros de la Unión Europea, DO L 349, 25 de noviembre de 2004, páginas 1–11. Disponible en
<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:349:0001:0011:ES:PDF>.
446
Cfr. Sección "The Data Retention Directive," supra.
447
Cfr. infra esta Sección y la Sección de "The PNR Data Exchange Agreements".
448
Directiva 2005/60/CE del Parlamento Europeo y del Consejo del 26 de octubre de 2005 relativa a la
prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del
terrorismo, DO L 309, 25 de noviembre de 2005, páginas 15-36. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:309:0015:0036:ES:PDF>.
Ver también la Decisión del Consejo del 17 de octubre de 2000 relativo a los acuerdos para la
cooperación entre las unidades de inteligencia financiera de los Estados Miembros con respecto al
intercambio de información, DO L 271, 24 de octubre de 2000, páginas 4-6. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:271:0001:0003:ES:PDF>.
449
Id.
450
El Programa de Estocolmo — Una Europa abierta y segura que sirva y proteja al ciudadano, DO C
115, 4 de mayo de 2010. El Programa surgió en noviembre de 2009. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:es:PDF>.
451
Id., página 18.
147
un llamado para el desarrollo de una Estrategia Interna de Seguridad (con su propia
dimensión externa), lo que genera un amplio uso de gestión e intercambio de
información, basado en una Estrategia de Gestión de Información apuntalada por el
principio de disponibilidad452 y aquel de interoperabilidad,453 es decir, la posibilidad
técnica de unir bases de datos.
Entre otros, el Programa de Estocolmo sugiere restituir el proyecto para un sistema de
Registro de Nombres de los Pasajeros (PNR, en inglés) para toda la UE con fines
represivos.454 Éste sistema permitiría la recolección de datos registrados durante la
compra de boletos de avión ("datos de Registro de Nombres de los Pasajeros (PNR)")455
de pasajeros de vuelos internacionales de líneas aéreas por parte de las autoridades
nacionales designadas por los Estados Miembros, llamadas Unidades de Información
sobre Pasajeros (PIUs, en inglés). Las unidades de Información sobre Pasajeros
utilizarían los datos del Registro de Nombres de los Pasajeros, entre otras cosas, para
"proceder a hacer una evaluación de riesgo que puedan entrañar los pasajeros con objeto
de identificar a las personas que requieran un examen más detallado".456 La Agencia de
Derechos Fundamentales de la Unión Europea (FRA, en inglés),457 el Supervisor
Europeo de Protección de Datos (EDPS)458 y el GT29459 han emitido opiniones críticas
sobre el posible establecimiento de este sistema.
452
Ver el Programa de la Haya, DO C 53, 3 de marzo de 2005, página 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2005:053:0001:0014:ES:PDF>.
Ver
también
Supervisor Europeo de Protección de Datos, Dictamen sobre la propuesta de Decisión Marco del Consejo
sobre el intercambio de información en virtud del principio de disponibilidad (COM (2005)490 final), 28
de febrero de 2006, DO C 116, 17 de mayo de 2006, página 8. El principio de disponibilidad se refiere a
la posibilidad de que los oficiales de las fuerzas del orden de un Estado Miembro obtengan información
de las fuerzas del orden de otro Estado Miembro en las mismas condiciones en las que lo hacen los
oficiales de las fuerzas armadas en ese último Estado Miembro.
453
Ver supra en el texto.
454
La idea avanzó en conjunto con el inicio de las negociaciones con los Estados Unidos de América para
concluir el primer Acuerdo de intercambio de registros de nombres de pasajeros (ver más adelante)
(Comisión Europea, Comunicación de la Comisión al Consejo y al Parlamento Europeo: Transferencia de
datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unión Europea,
COM(2003) 826 final, 16 de diciembre de 2003, Bruselas) Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>. No obstante, una
propuesta concreta solo se presentó cuatro años después (Comisión Europea, Propuesta de Decisión
Marco del Consejo sobre la utilización de datos del registro de nombres de los pasajeros (Passenger
Name Record-PNR) con fines represivos {SEC(2007) 1422} {SEC(2007) 1453} /* COM/2007/0654
final).
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0654:FIN:ES:PDF>.
455
Los Registros de Nombres de los Pasajeros (PNR, en inglés) son diferentes de los datos del Sistema de
Información Anticipada sobre Pasajeros (API, en inglés), la cual es información contenida en la Zona
Legible por Máquina (MRZ, en inglés) de los pasaportes. Los datos de los registros de nombres de los
pasajeros pueden contener hasta 60 campos, que se sobreponen parcialmente pero que exceden los datos
recogidos por el Sistema de Información Anticipada sobre Pasajeros, y que no son datos oficiales
verificados.
456
Comisión Europea, Propuesta de Decisión Marco del Consejo sobre utilización de datos del registro de
nombre de los pasajeros (Passenger Name Record – PNR) con fines represivos, supra en el Art. 3.3.
457
Dictamen de la Agencia de Derechos Fundamentales de la Unión Europea acerca de la propuesta para
una Decisión Marco del Consejo sobre utilización de datos de los registros de nombres de los pasajeros
(Passenger Name Record - PNR) con fines represivos, 28 de octubre de 2008. Disponible en
<http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf>.
458
Supervisor Europeo de Protección de Datos (EDPS), Dictamen acerca de la propuesta de Decisión
Marco del Consejo sobre utilización de datos del registro de nombre de los pasajeros (Passenger Name
Record – PNR) con fines represivos, 20 de diciembre de 2007, DO C 110, 01 de mayo de 2008, página 1.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:110:0001:0015:ES:PDF>.
148
VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A.
El Programa de Estocolmo también apoya la propuesta para un acuerdo de intercambio
de información con propósitos represivos con los Estados Unidos de América (E.U.A.).
El acuerdo estaría basado en el trabajo realizado por el informal Grupo de Contacto de
Alto Nivel (HLCG, en inglés), que fue establecido en el 2006 con el fin de estudiar
como tender un puente entre las diferencias existentes entre los regímenes de protección
de datos de la UE y los E.U.A. para promover el intercambio de datos con fines
represivos a través del Atlántico. De hecho, los intercambios de información
transatlánticos, y más precisamente, transferencias de datos unidireccionales de la UE a
los E.U.A., se han estado incrementando en la última década, sin embargo, estos han
sido a menudo descritos como un obstáculo para estos flujos de datos.
Las actividades del Grupo de Contacto de Alto Nivel (HLCG) finalizaron en el 2009
con la adopción de una Adenda al Informe Final del Grupo de Contacto de Alto Nivel
(HLCG).460 Su trabajo estuvo dedicado a identificar principios comunes entre la UE y
los E.U.A.461 y, cuando fue posible, para alcanzar definiciones comunes de los
principios.462 En relación a la elección de la forma más adecuada para el instrumento
debatido, el Grupo de Contacto de Alto Nivel (HLCG) apoyaba enérgicamente la
adopción de un acuerdo internacional vinculante.
Tanto la UE como los E.U.A. han avalado posteriormente la idea de trabajar hacia el
logro de un acuerdo internacional vinculante sobre protección de datos e intercambio de
datos.463 En enero de 2010, la Comisión Europea lanzó una consulta pública para
459
Grupo de Trabajo sobre Protección de Datos del Artículo 29 y Grupo de Trabajo sobre Policía y
Justicia, Dictamen conjunto sobre la propuesta de Decisión marco del Consejo relativa al uso del registro
de nombres de los pasajeros (“Passenger Name Records” – PNR) a efectos de la aplicación de la ley,
presentado por la Comisión el 6 de noviembre de 2007, WP 145, 05 de diciembre de 2007, Bruselas.
460
Los Informes del Grupo de Contacto de Alto Nivel (HLCG) relativos a intercambio de información y
la protección de la vida privada y los datos personales, 23 de noviembre de 2009, Bruselas, disponible en
<http://register.consilium.europa.eu/pdf/en/09/st15/st15851.en09.pdf>. El Supervisor Europeo de
Protección de Datos emitió un Dictamen sobre el Informe Final: Dictamen del Supervisor Europeo de
Protección de Datos acerca del informe final del Grupo de Contacto de Alto Nivel entre la UE y los
Estados Unidos sobre el intercambio de información y la protección de la vida privada y los datos
personales, 11 de noviembre de 2008, DO C 128, 06.de junio de 2009, página 1. Disponible en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2
008/08-11-11_High_Level_Contact_Group_ES.pdf>. La Adenda se ocupa una serie de temas
anteriormente descritos como pendientes. En particular: 1) La consistencia entre las obligaciones de las
entidades privadas durante las transferencias de datos; 2) Aplicación equivalente y reciproca de leyes de
privacidad y protección de datos personales; 3) La prevención del impacto indebido en las relaciones con
terceros países; y 4) Acuerdos específicos que regulen el intercambio de información y la protección de la
vida privada y los datos personales.
461
Los principios identificados fueron: 1) Especificación del Propósito/Limitación del Propósito; 2)
Claridad/Integridad de Datos; 3) Proporcionalidad/Pertinente y Necesaria; 4) Seguridad de la
Información; 5) Categorías Especiales de Información Personal (datos sensibles); 6) Responsabilidad; 7)
Independencia y Supervisión Eficaz; 8) Acceso Personal y Rectificación; 9) Transparencia y
Notificación; 10) Indemnizaciones; 11) Decisiones Personales Automatizadas; y 12) Restricciones sobre
Transferencias Futuras a Terceros Países.
462
Las definiciones comunes fueron identificadas para nueve o doce principios. Una definición común de
"indemnización" no se pudo alcanzar; solo fue posible acordar que cualquier proceso de indemnización
debe resultar en un recurso efectivo; la definición de "supervisión independiente y eficaz" incorporó las
diferencias estructurales entre los dos regímenes, y, finalmente, la definición de "transparencia y
notificación" sólo aclaró el tipo de información que estaría disponible para los titulares de los datos.
463
Declaración Conjunta UE-EE.UU. sobre "Enhancing transatlantic cooperation in the area of Justice,
Freedom, and Security" ("El mejoramiento de la cooperación transatlántica en el área de Justicia, Libertad
149
obtener opiniones con vista a un futuro acuerdo internacional UE-E.U.A. sobre
protección de datos personales e intercambio de información con fines represivos,464
poniendo en movimiento el debate institucional sobre el tema a nivel de la UE.
Uno de los retos principales surgidos de estos eventos es el nivel de equivalencia entre
los marcos institucionales de la UE y de los E.U.A. Otro reto clave es cómo gobernará
este acuerdo otros y futuros mecanismos de intercambio de información entre la UE y
los E.U.A., tales como aquellos vinculados al tratamiento de datos con fines de
seguridad en los E.U.A. a partir de datos originales obtenidos en la UE por parte de
entidades privadas, en el contexto de actividades no relacionadas – por ejemplo en el
contexto de los Registros de Nombre de los Pasajeros (PNR) o en las llamadas
transferencias de datos de SWIFT.465
LOS ACUERDOS DE INTERCAMBIO DE DATOS DE LOS REGISTROS DE
NOMBRE DE LOS PASAJEROS (PNR) 466
En el 2001 el Gobierno de los E.U.A. empezó a exigir acceso a los sistemas de reserva
de empresas aéreas extranjeras con el fin de tener acceso a los Registros de Nombre de
Pasajeros, esto es, información biográfica detallada y de inteligencia sobre los
pasajeros.467 El cumplimiento de la solicitud requeriría que las aerolíneas violaran la ley
de protección de datos de la UE, mientras que el no cumplimiento podría haber
conducido a sanciones económicas de parte del Gobierno de los E.U.A. Luego de la
intervención de la Comisión Europea, se iniciaron las negociaciones entre la UE y los
E.U.A. sobre cómo concordar los dos sistemas legales.468
Un primer acuerdo469 se finalizó y suscribió en mayo de 2004, acompañado de una
Decisión del Consejo relativa a la celebración del acuerdo sobre el tratamiento y la
y Seguridad"), adoptado en Washington D.C. el 28 de octubre de 2009, página 6, disponible en
<http://www.regeringen.se/content/1/c6/13/43/59/8542bc06.pdf>.
464
Los
resultados
de
la
consulta
están
disponibles
en
<http://ec.europa.eu/justice/news/consulting_public/news_consulting_0005_en.htm>.
465
Otro tema vinculado es la relación entre el acuerdo y los acuerdos negociados entre los EE.UU. y los
Estados Miembros de la UE.
466
Todos los documentos pertinentes están disponibles en el sitio web de la Comisión, bajo el título de
"US – United States - Transfer of Air Passenger Name Record (PNR) Data," (“EE.UU. –Estados Unidos
– Transferencia de datos de los registros de nombre de los pasajeros (PNR)) en
<http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm#countries>.
467
De manera más concreta, por medio de la Sección 15 de la Ley de Seguridad de Aviación y Transporte
de los Estados Unidos (ATSA) (Los Estados Unidos, el Congreso, la Ley de Seguridad de Aviación y
Transporte, 19 de noviembre de 2001). En el 2001, la Oficina de Aduanas y Protección Fronteriza
empezó a exigir a las empresas aéreas internacionales que operaban vuelos desde y hacia, o dentro de
territorio de los Estados Unidos, otorgarles acceso a los datos de sus sistemas de reserva automatizado y
de control de despegue para obtener datos de Registros de Nombre de Pasajeros.
468
Comisión Europea, Comunicación de la Comisión al Consejo y al Parlamento Europeo: Transferencia
de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unión Europea,
COM(2003) 826 final, 16 de diciembre de 2003, Bruselas. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>.
469
Acuerdo entre la Comunidad Europea y los Estados unidos de América sobre el tratamiento y la
transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al departamento de
seguridad nacional, oficina de aduanas y protección de fronteras, de los Estados Unidos, DO L 183, 20 de
mayo
de
2004,
páginas
84–85.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0084:0085:ES:PDF>.
150
transferencia de datos personales470 y, basada en las gestiones de la Oficina de Aduanas
y Protección Fronteriza471 y una Decisión de la Comisión Europea sobre la protección
adecuada de dichos datos.472 Dado que a los E.U.A. se le permitió acceder directamente
a los sistemas de reserva de las compañías aéreas para "jalar" los datos necesarios. El
acuerdo se alcanzó entre las dudas y las críticas de los defensores de la privacidad,
especialmente del Grupo de Trabajo sobre Protección de Datos del Artículo 29 de los
reguladores de la privacidad europeos,473 y por distintas razones, de las compañías
aéreas.
El Parlamento Europeo expresó su crítica adoptando una resolución y presentando dos
acciones de anulación ante el Tribunal de Justicia de la Unión Europea (ECJ)474 contra
470
Decisión del Consejo 2004/496/CE del 17 de mayo de 2004 relativo a la celebración del Acuerdo entre
la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los
datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad
nacional, oficina de aduanas y protección de fronteras, de los Estados Unidos, DO L 183, 20 de mayo de
2004,
páginas
83–85.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0083:0083:ES:PDF>.
471
Carta del Comisionado Bolkestein al Secretario Tom Ridge de los Estados Unidos de América,
Departamento de Seguridad Interna, 18 de diciembre de 2003.
472
Decisión de la Comisión 2004/535/CE del 14 de mayo de 2004 relativa al carácter adecuado de la
protección de datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al
Servicio de Aduanas y Protección de Fronteras de los Estados Unidos (Bureau of Customs and Border
Protection) (notificada con el número C(2004) 1914), DO L 235, 6 de julio de 2004, páginas 11–22.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:235:0011:0022:ES:PDF>.
473
Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen 6/2002 relativo a la
transmisión de listas de pasajeros y otros datos de compañías aéreas a los Estados Unidos, 24 de octubre
de
2002,
WP
66
(Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp66_es.pdf>); Dictamen 4/2003 del
Grupo de Trabajo sobre Protección de Datos del Artículo 29, 13 de junio de 2003, WP 78; Dictamen
2/2004 sobre el carácter adecuado de la protección de datos personales incluidos en los registros de
nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren al Servicio de Aduanas y
Protección de Fronteras de Estados Unidos (Bureau of Customs and Border Protection) (US CBP), WP
87 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp78_es.pdf>);
Dictamen 6/2004 relativo a la implementación de la decisión de la Comisión del 14-V-2004 relativa a la
adecuada protección de datos personales contenidos en los registros de nombres de los pasajeros
(Passenger Name Records –PNR) de pasajeros aéreos transferidos al Servicio de Aduanas y Protección de
Fronteras de los Estados Unidos de América, y del Acuerdo entre la Comunidad Europea y los Estados
Unidos sobre tratamiento y transferencia de datos de los registros de nombres de los pasajeros (PNR) por
parte de compañías aéreas al Departamento de Seguridad Interior de los Estados Unidos de América,
Servicio de Aduanas y Protección de Fronteras, 22 de junio de 2004, WP 95 2 de febrero de 2004;
Dictamen 8/2004 sobre la información a los pasajeros relativa a la transferencia de datos PNR sobre los
vuelos entre la Unión Europea y los Estados Unidos de América, WP 97, 30 de septiembre de 2004
(Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp97_es.pdf>). Las
críticas del Grupo de Trabajo del Artículo 29 relativas al primer acuerdo giraron en torno a la
proporcionalidad de la medida comparada con sus propósitos, los retos para los principios de protección
de datos, las características técnicas de los intercambios (en particular, este consideró que el intercambio
de la información debe ocurrir por medio de una "empujar" en vez de por medio de un "jalar", es decir,
por medio de una solicitud a las compañías aéreas para que envíen a los Estados Unidos de América los
datos solicitados, en vez de permitir a los Estados Unidos de América extraer los datos que necesite (lo
cual reduce consistentemente la posibilidad de supervisión)) y la opción de un marco legal para el
intercambio.
474
Tribunal de Justicia de la Unión Europea Gran Sala, Asuntos acumulados C-317/04 y C-318/04,
Parlamento Europeo contra Consejo de la Unión Europea (C-317/04) y Comisión de las Comunidades
Europeas (C-318/04), Sentencia del 30 de mayo de 2006. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>.
151 el Consejo y la Decisión de la comisión que permite la adopción del Acuerdo.475 El
Tribunal de Justicia de la Unión Europea (ECJ) no consideró todos los alegatos del
Parlamento Europeo, pero anuló las dos Decisiones con base en que estas fueron
adoptadas sobre bases legales erróneas. Dado que buscaban un objetivo dentro del
alcance de "las áreas del Derecho Penal relativas a la seguridad pública y las actividades
del Estado", la elección de la base legal del “primer pilar” fue incorrecta.476 El Tribunal
de Justicia de la Unión Europea (ECJ) fijó una fecha límite (septiembre de 2006) para la
adopción de un nuevo acuerdo.
Dada la ajustada fecha límite fijada por el Tribunal, las partes entraron en negociaciones
para un Acuerdo Temporal,477 suscrito en octubre de 2006.478 El nuevo texto479 no
difiere sustancialmente del primero y fue recibido con renovadas críticas y una mayor
conciencia.
Un tercer Acuerdo fue suscrito dentro de los límites de tiempo establecidos por la
cláusula de suspensión en el Acuerdo Temporal.480 Este consistía de un acuerdo
internacional481 suscrito por ambas partes, y dos cartas, cuya relación jurídica con el
475
En particular, en el Caso C-317/04, el Parlamento Europeo invocó seis motivos de anulación: la
elección errónea del Artículo 95 CE como base jurídica para la Decisión 2004/496, la infracción del
artículo 300 CE, apartado 3, párrafo segundo y del artículo 8 del CEDH y en la violación del principio de
proporcionalidad, de la exigencia de motivación y del principio de cooperación leal. En el Caso 318/04 el
Parlamento Europeo invocó cuatro motivos de anulación, violación del principio de legalidad, de los
principios básicos de la Directiva 95/46/CE, de los derechos fundamentales, y del principio de
proporcionalidad.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>.
476
El Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen 5/2006 sobre la sentencia
del Tribunal Europeo de Justicia de 30 de Mayo de 2006 de los asuntos acumulados C-317/04 y C-318/04
sobre la transmisión de los registros de nombres de pasajeros a los Estados Unidos, 14 de junio de 2006,
WP 122. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp122_es.pdf>.
Dictamen 7/2006 sobre la sentencia del Tribunal de Justicia de las Comunidades Europeas del 30 de
mayo de 2006 en los asuntos acumulados C-317/04 y C-318/04 relativa a la transferencia a los EE.UU.
de datos de los expedientes de los pasajeros y la urgente necesidad de un nuevo acuerdo, 27 de
septiembre
de
2006,
WP
124.
Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp124_es.pdf>.
477
Decisión del Consejo 2006/729/CFSP/JHA del 16 de octubre de 2006 relativo a la firma, a nombre de
la Unión Europea, de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el
procesamiento y la transferencia de los expedientes de los pasajeros (datos PNR) por las compañías
aéreas al Departamento de Seguridad Nacional de los Estados Unidos de América, OJ L 298, 27 de
octubre de 2006, páginas 27–28.
478
Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la
transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al
Departamento de Seguridad del Territorio Nacional de los Estados Unidos, DO L 298, 27 de octubre de
2006,
páginas
29–31.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:298:0029:0031:ES:PDF>.
479
El cual contiene una clausula de suspensión y fue acompañada de dos cartas (Carta del "Departamento
de Seguridad Nacional" (interpretaciones de los PNR); Respuesta del Presidente del Consejo y de la
Comisión a la carta del Departamento de Seguridad Nacional de los Estados Unidos).
480
Decisión del Consejo 2007/551/CFSP/JHA del 23 de julio de 2007 relativa a la firma, en nombre de la
Unión Europea, de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el
tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías
aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR
2007), DO L 204, 4 de agosto de 2007, páginas 16–17.
481
Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la
transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al
Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007) DO L
204,
4
de
agosto
de
2007,
páginas
18–25.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>.
152
acuerdo no fue aclarada.482 Aunque el nuevo texto se ocupa de algunas de las
preocupaciones sustanciales surgidas en los diferentes organismos de la UE desde el
inicio de los intercambios de datos,483 este no fue inmune a las críticas.484 Desde la
entrada en vigor del Tratado de Lisboa han habido enérgicas exigencias para adoptar un
nuevo acuerdo. Debe notarse que la UE también ha suscrito acuerdos de intercambio de
Registros de Nombres de Pasajeros (PNR) con otros países, tales como Australia.485
PROGRAMA DE RASTREO DE FINANCIAMIENTO AL TERRORISMO (TFTP)
En el 2006, el New York Times develó486 el acceso de las autoridades del Departamento
del Tesoro de los Estados Unidos de América a los registros financieros mantenidos por
la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT, en
inglés), con sede en Bélgica. Amparado en el Programa de Rastreo de Financiamiento al
Terrorismo (TFTP, en inglés), las autoridades de los Estados Unidos de América
accedieron a través de la sucursal en su territorio y por medio de requerimientos
judiciales, a los registros financieros tanto de ciudadanos de los Estados Unidos de
América como de extranjeros, incluidos ciudadanos de la UE, con el propósito de
identificar, rastrear y perseguir judicialmente a terroristas. El tema causó fuertes críticas
entre los defensores de la privacidad487 ya susceptibles a causa del asunto de los PNR.
482
La primera explica cómo el Departamento de Seguridad del Territorio Nacional de los Estados Unidos
maneja la recolección, uso, y almacenamiento de los datos PNR, y la segunda reconoce su recepción.
483
Grupo de Trabajo sobre Protección de Datos del Artículo 29, Enfoque común de la UE para el uso de
registros de nombres de los pasajeros (datos PNR) para fines de represión, 31 de enero de 2007
(Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2007_31_01_common_eu_approach_use
_pnr_data_for_law_enforcement.pdf>); Dictamen 2/2007 relativo a la información de los pasajeros en
relación con la transferencia de datos PNR a las autoridades de los Estados Unidos, 15 de febrero de
2007, WP 132 y su Anexo: Breve nota informativa para los viajes entre la Unión Europea y los Estados
Unidos. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp132a_es.doc>.
Taller sobre el enfoque de la UE hacia el nuevo acuerdo sobre datos de pasajeros. Este taller juntó a
autoridades nacionales de protección de datos y otras partes interesadas y no fue una reunión del Grupo
de Trabajo del Artículo 29, 26 de marzo de 2007. Informe disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2007_03_26_pnr_workshop_report_en.p
df>.
484
Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen No. 5/2007 relativo al nuevo
Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia
de datos del registro de nombres de los pasajeros (PNR) por parte de las compañías aéreas al
Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Department of Homeland
Security, en inglés), celebrado en julio de 2007, 17 de agosto de 2007, WP 138. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp138_es.pdf>. Dictamen 2/2007 relativo
a la información de los pasajeros en relación con la transferencia de datos PNR a las autoridades de los
Estados Unidos. Emitido el 15 de febrero de 2007, revisado y actualizado el 24 de junio de 2008, 24 de
junio
de
2008,
WP
151.
Disponible
en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp151_es.pdf>.
485
Acuerdo entre la Unión Europea y Australia sobre el tratamiento y la transferencia de datos, generados
en la Unión Europea, del registro de nombres de los pasajeros (PNR) por las compañías aéreas a los
Servicios de Aduanas de Australia, DO L 213, 8 de agosto de 2008, páginas 49–57. Disponible en
<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:213:0049:0057:ES:PDF>.
486
Eric Lichtblau & James Risen, "Bank Data Is Sifted by U.S. in Secret to Block Terror," The New York
Times,
23
de
junio
de
2006,
disponible
en
<http://www.nytimes.com/2006/06/23/washington/23intel.html>.
487
Supervisor Europeo de Protección de Datos, Dictamen sobre el rol del Banco Central Europeo en el
caso
SWIFT,
1
de
febrero
de
2007,
disponible
en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Inquiries/20
153
Las autoridades de la UE ingresaron en negociaciones transatlánticas para regular el
acceso y el procesamiento de los datos bancarios de los ciudadanos de la UE. Como
resultado de ello, los Estados Miembros de la UE también podrían tener acceso al
resultado de las actividades de tratamiento realizadas por las autoridades de los Estados
Unidos de América.
En espera de un acuerdo internacional, la Sociedad de Telecomunicaciones Financieras
Interbancarias Mundiales (SWIFT) se adhirió al Acuerdo de Puerto Seguro y adoptó
una nueva "arquitectura distribuida", permitiendo que los mensajes dentro de Europa
sean procesados y almacenados en los centros de datos de Europa. Además, el
Departamento del Tesoro de los Estados Unidos de América aclaró temas vinculados a
su acceso y procesamiento de datos obtenidos por la Sociedad de Telecomunicaciones
Financieras Interbancarias Mundiales (SWIFT) y ofreció garantías. Como resultado de
ello se suscribió un acuerdo temporal en noviembre de 2009488 con el objetivo explícito
de negociar un acuerdo apropiado después de la entrada en vigor del Tratado de
Lisboa.489
El Parlamento Europeo, al que el Tratado de Lisboa le ha otorgado nuevos poderes en
relación con los acuerdos internacionales, votó en contra del acuerdo en febrero de
2010490 motivado por la insuficiente protección de datos en el acuerdo, una
preocupación también expresada por el Supervisor Europeo de Protección de Datos
(EDPS, en inglés). 491 En consecuencia, se iniciaron nuevas negociaciones y un Proyecto
de Decisión del Consejo fue remitido en junio de 2010.492 Aunque se han reconocido las
mejoras realizadas, el Consejo no ha podido convencer a sus críticos, entre ellos al
07/07-02-01_Opinion_ECB_role_SWIFT_EN.pdf>; Grupo de Trabajo sobre Protección de Datos del
Artículo 29, Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de
Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial
Telecommunication – SWIFT), WP 128, 22 de noviembre de 2006. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>.
488
Simon Taylor, "EU Agrees New Bank Data Deal with US," European Voice, 30 de noviembre de 2009
disponible
en
<http://www.europeanvoice.com/article/2009/11/eu-agrees-new-bank-data-deal-withus/66563.aspx>.
489
Decisión del Consejo 2010/16/PESC/JAI del 30 de noviembre de 2009 relativa a la firma, en nombre
de la Unión Europea, del Acuerdo entre la Unión Europea y los Estados Unidos de América relativo al
tratamiento y la transferencia de datos de mensajería financiera de la Unión Europea a los Estados
Unidos, a efectos del Programa de Seguimiento de la Financiación del Terrorismo, DO L 8, 13 de enero
de
2010,
páginas
9-10.
Disponible
en
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:008:0009:0010:ES:PDF>.
490
Parlamento Europeo Nota de Prensa, SWIFT: el Parlamento Europeo rechaza el acuerdo con Estados
Unidos, Justicia y Asuntos de interior, 15 de febrero de 2010, disponible en
<http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+IMPRESS+20100209IPR68674+0+DOC+XML+V0//ES>.
491
Supervisor Europeo de Protección de Datos (EDPS), Comentarios sobre distintos acuerdos
internacionales, en particular los acuerdos UE-EE.UU. y el acuerdo UE-AUS sobre PNR, el acuerdo UEEE.UU. relativo al tratamiento y la transferencia de datos de mensajería financiera de la Unión Europea a
los Estados Unidos, a efectos del Programa de Seguimiento de la Financiación del Terrorismo (acuerdo
TFTP, en inglés), y la necesidad de un enfoque integral para los acuerdos internacionales de intercambio
de
datos,
25
de
enero
de
2010.
Disponible
en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/
2010/10-01-25_EU_US_data_exchange_EN.pdf>.
492
Propuesta para una Decisión del Consejo sobre la conclusión del Acuerdo entre la Unión Europea y
los Estados Unidos de América relativa al tratamiento y la transferencia de datos de mensajería financiera
de la Unión Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiación del
Terrorismo
(TFTP
II,
en
inglés),
28
de
junio
de
2010.
Disponible
en
<http://register.consilium.europa.eu/pdf/en/10/st11/st11580.en10.pdf>.
154
Supervisor Europeo de Protección de Datos493 al GT29 junto con el Grupo de Trabajo
sobre Policía y Justicia494 y algunos Miembros del Parlamento Europeo (MEPs, en
inglés).495 A pesar de ello, el Parlamento Europeo halló que el acuerdo final en
combinación con los compromisos legalmente vinculantes en la Decisión del Consejo
cumple con la mayoría de sus exigencias y por tanto dio el consentimiento para la
conclusión del acuerdo el 5 de julio de 2010.496
VIII. ACTORES REGULATORIOS CLAVE
EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS
El Supervisor Europeo de Protección de Datos (EDPS) es uno de los actores clave en el
área de privacidad y protección de datos en la UE.497 Él es responsable de vigilar el
tratamiento de datos personales de la administración de la UE, aconsejando sobre
políticas y legislación que se vinculen o tengan un impacto sobre el derecho a la
privacidad y el derecho a la protección de datos de carácter personal y coopera con
autoridades similares (Autoridades de Protección de Datos de los Estados Miembros en
su mayor parte a través de su participación en el GT29).
493
Supervisor Europeo de Protección de Datos (EDPS), Dictamen del 22 de junio de 2010 sobre la
propuesta de Decisión del Consejo relativa a la celebración del Acuerdo entre la Unión Europea y los
Estados Unidos de América sobre el tratamiento y transferencia de datos de mensajería financiera de la
Unión Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiación del
Terrorismo
(TFTP
II).
Disponible
en
<http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2
010/10-06-22_Opinion_TFTP_ES.pdf.
494
Grupo de Trabajo sobre Protección de Datos del Articulo 29 y el Grupo de Trabajo sobre Policía y
Justicia, Carta del Sr. Jacob Kohnstamn, Presidente del Grupo de Trabajo sobre Protección de Datos del
Artículo 29 y el Sr. Francesco Pizzetti, Presidente del Grupo de Trabajo sobre Policía y Justicia dirigida
al Sr. Juan Fernando López Aguilar, Presidente de la Comisión de Libertades Civiles, Justicia y Asuntos
de Interior (LIBE Committee) en relación al Acuerdo UE-EE.UU. del Programa de Seguimiento de la
Financiación del Terrorismo (Acuerdo TFTP II), 25de junio de 2010. Disponible en
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2010_06_25_letter_to_libe_en.pdf>.
495
Ver la Recomendación sobre la propuesta de Decisión del Consejo relativa a la celebración del
Acuerdo entre la Unión Europea y los Estados Unidos de América relativo al tratamiento y la
transferencia de datos de mensajería financiera de la Unión Europea a los Estados Unidos a efectos del
Programa de Seguimiento de la Financiación del Terrorismo (11222/1/2010/REV 1 y COR 1 – C70158/2010 – 2010/0178(NLE)) Comisión de Libertades Civiles, Justicia y Asuntos de Interior, Opinión
Minoritaria, página 11. Disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=//EP//NONSGML+REPORT+A7-2010-0224+0+DOC+PDF+V0//ES>.
496
Id., Proyecto de Resolución Legislativa del Parlamento Europeo sobre la propuesta de Decisión del
Consejo relativa a la celebración del Acuerdo entre la Unión Europea y los Estados Unidos de América
relativo al tratamiento y la transferencia de datos de mensajería financiera de la Unión Europea a los
Estados Unidos a efectos del Programa de Seguimiento de la Financiación del Terrorismo
(11222/1/2010/REV 1 y COR 1 – C7-0158/2010 – 2010/0178(NLE)), páginas 5-9. Disponible en
<http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-20100224+0+DOC+PDF+V0//ES>.
497
Ver la página web del
Supervisor Europeo de Protección de Datos (EDPS) en
<http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=es>.
155
EL GRUPO DE TRABAJO DEL ARTÍCULO 29
El GT29 sirve como plataforma para el intercambio y coordinación entre las autoridades
de supervisión de los Estados Miembros de la UE y cumple también un importante
papel como un organismo consultivo.498 Las tareas del GT29 están establecidas en el
Artículo 30 de la Directiva sobre Protección de Datos y en el Artículo 15 de la Directiva
sobre Privacidad Electrónica: estudiar toda cuestión relativa a la aplicación de las
disposiciones nacionales tomadas para la aplicación de la legislación de protección de
datos de la UE con vistas a contribuir a su aplicación homogénea; proveer a la
Comisión Europea opiniones sobre el nivel de protección existente dentro de la
Comunidad y en terceros países; asesorar a la Comisión Europea sobre cualquier
medida para salvaguardar los derechos y las libertades de las personas naturales con
relación al tratamiento de datos de carácter personal y sobre cualquier otra medida
propuesta a la Comunidad que afecta dichos derechos y libertades; emitir dictámenes
sobre los códigos de conducta elaborados a nivel de la UE.
El GT29 puede hacer, por propia iniciativa, recomendaciones sobre cualquier materia
vinculada a la privacidad y a la protección de datos en la UE. Este ha conducido
consultas sobre temas de protección de datos vinculados a distintos tópicos499 y ha
publicado dictámenes sobre muchos y distintas materias, entre ellas la introducción de
datos biométricos en pasaportes y visas, la protección de los datos de carácter personal
de los niños, cláusulas contractuales estándar para la transferencia de datos personales a
procesadores establecidos en terceros países, o una propuesta de la industria para una
evaluación del impacto del uso de aplicaciones de identificación por radiofrecuencia
(RFID).500 Los dictámenes del GT29 son un punto de referencia común para la
interpretación de la legislación de protección de datos de la UE.
OTRAS REDES DE AUTORIDADES DE PROTECCIÓN DE DATOS
Redes de protección de datos formadas por iniciativa propia
Existen en Europa varias redes de protección de datos, formadas por iniciativa propia.
Entre ellas tenemos:
-
La Conferencia Europea de Autoridades de Protección de Datos: representantes
de las autoridades de protección de datos de los Estados Miembros de la UE y
del Consejo de Europa se reúnen anualmente, junto con autoridades subnacionales y organismos supervisores conjuntos en el campo de la policía, la
justicia y la seguridad. Su conferencia de 2010, se realizó en Praga, y estuvo
dedicada a una serie de tópicos tales como los estándares de protección de datos
UE/ E.U.A. en el área de cooperación policial y judicial en materia penal, el uso
498
Ver <http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm>.
Tales como derechos de propiedad intelectual, identificación por radiofrecuencia (RFID), video
vigilancia, normas corporativas vinculantes, historias clínicas electrónicas y más recientemente sobre la
protección de datos de carácter personal de los niños. Se pueden realizar consultas en línea al Grupo de
Trabajo
del
Artículo
29
("GT29")
en
<http://ec.europa.eu/justice/policies/privacy/workinggroup/consultations/index_en.htm>.
500
Los
documentos
adoptados
por
el
GT29
están
disponibles
en
<http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2010_en.htm>.
499
156
-
de escáneres de cuerpo entero para seguridad aeroportuaria y el futuro de la
privacidad y la protección de datos en Europa.
Las Autoridades de Protección de Datos de Europa Central y Oriental
(CEEDPA, en inglés): en el 2001, los Comisionados de Protección de Datos de
la República Checa, Hungría, Lituania, Eslovaquia, Estonia, Letonia y Polonia
suscribieron una declaración conjunta acordando tener una cooperación y
asistencia estrechas.501 Desde entonces a estos países se les han unido Bulgaria,
Rumania, Croacia y Macedonia. La 12da Reunión de los Comisionados de
Protección de Datos de Europa Central y Oriental se realizó en Mayo de 2010 en
Sopot (Polonia) y a ella concurrieron delegaciones de Albania y Moldavia.
Agencia Europea de Seguridad de las Redes y de la Información
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, en inglés)
es una agencia de la UE, la cual formalmente se constituyó en el 2004.502 La agencia
asiste a la Comisión Europea, los Estados Miembros, y al sector privado en el
cumplimiento de los requerimientos de la seguridad de redes y de la información. La
ENISA también hace el seguimiento del desarrollo de estándares, promueve actividades
de evaluación de riesgos y de rutinas interoperables de gestión de riesgos y produce
investigaciones en aquellos temas que tienen impacto en las organizaciones del sector
público y privado.
Agencia de los Derechos Fundamentales de la Unión Europea
La Agencia de los Derechos Fundamentales de la Unión Europea503 (FRA, en inglés),
con sede en Viena, fue establecida por el Reglamento del Consejo 168/2007.504 Esta
reemplazó al Observatorio Europeo del Racismo y la Xenofobia (EUMC, en inglés).
La FRA asesora a instituciones de la UE, y a Estados Miembros cuando adopten la
legislación de la UE, cuando toman medidas o deciden cursos de acción, con objeto de
garantizar el pleno cumplimiento de los derechos fundamentales.505 Estos incluyen los
derechos fundamentales reconocidos por la Convención Europea de Derechos Humanos
(ECHR, en inglés) y por la Carta de los Derechos Fundamentales de la Unión Europea.
La Agencia está facultada, entre otras cosas, a informar al público, desarrollar normas
para mejorar la comparabilidad, realizar investigaciones y formular y publicar
conclusiones y dictámenes, ya sea por propia iniciativa o a petición de la Comisión
Europea, el Consejo de Europa o el Parlamento Europeo, sobre temas vinculados a la
protección de datos y la privacidad.506 Para llevar a cabo estos cometidos, ésta coopera
con una serie de organismos e instituciones de la UE e internacionales; especialmente
501
La página web de las Autoridades de Protección de Datos de Europa Central y Oriental es:
<http://www.ceecprivacy.org/>.
502
La página principal de ENISA es <http://www.enisa.europa.eu/>.
503
La página principal del FRA es <http://fra.europa.eu/fraWebsite/home/home_en.htm>.
504
Reglamento del Consejo No 168/2007 del 15 de febrero de 2007 por el que se crea una Agencia de los
Derechos Fundamentales de la Unión Europea, DO L 53, 22 de febrero de 2007, páginas 1-14. Disponible
en <http://fra.europa.eu/fraWebsite/attachments/reg_168-2007_es.pdf>.
505
Id., Art. 2.
506
Id., Art. 4.
157
con el Consejo de Europa, para evitar la duplicación del trabajo, pero también para con
los Estados Miembros y la sociedad civil.507
EL CONSEJO DE EUROPA
El Consejo de Europa es distinto de la UE. En 1950 el Consejo de Europa adoptó la
Convención Europea de Derechos Humanos, la cual es actualmente aplicable en todos
los Estados Miembros de la UE.508 El Artículo 8 párrafo 1 de la Convención Europea de
Derechos Humanos (ECHR) declara que todos tienen derecho al respeto a su vida
privada y familiar, su hogar y su correspondencia.509 El Párrafo 2 dispone que el
derecho mencionado anteriormente no es absoluto en el sentido de que puede ser
aceptable para las autoridades públicas limitarlo cuando la "interferencia" esta "de
acuerdo a ley" y es "necesaria en una sociedad democrática" en la búsqueda de uno o
más de los siguientes objetivos legítimos: "en aras de la seguridad nacional, la seguridad
pública o el bienestar económico del país, para la prevención del desorden o del crimen,
para la protección de la salud o de la moral o para la protección de los derechos y
libertades de otros."
El Tribunal Europeo de Derechos Humanos (ECHR, en inglés), con sede en
Estrasburgo, es el intérprete supremo de la Convención Europea de Derechos Humanos
(ECHR). En todos estos años ha estado aclarando el alcance protector del Artículo 8 de
la Convención Europea de Derechos Humanos, en especial en relación con el
tratamiento de datos de carácter personal. El Tribunal ha establecido en particular que el
derecho al respeto a la vida privada del Artículo 8 de la Convención Europea de
Derechos Humanos incluye una serie de obligaciones positivas de parte de los Estados,
los cuales pueden involucrar la adopción de medidas diseñadas para garantizar la
protección de los datos de carácter personal en la esfera de las relaciones
interpersonales.510 En varias sentencias, la Corte se ha referido explícita o
implícitamente a los principios de la protección de datos.511
Siguiendo los avances de las tecnologías de la información, el Consejo de Europa
emitió, por separado, un Convenio para la Protección de Personas en relación al
Tratamiento Automático de Datos de Carácter Personal en 1981 (conocido como el
507
508
Id., Art. 7.
Ver
<http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=005&CM=8&DF=15/11/2010&C
L=ENG>.
509
Id.
510
Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 20511/03, 17 de julio de 2008, I.
contra. Finlandia, Sentencia, §§ 36-38. Disponible en <http://www.5rb.com/docs/I-vFinland%20ECHR%2017%20July%202008.pdf>.
511
Ver, por ejemplo, Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 9248/81, 26 de
marzo de 1987, Leander contra Suecia, Sentencia, § 48; Tribunal Europeo de Derechos Humanos
(ECtHR), Gran Sala, Expediente No. 14310/8828, 28 de octubre de 1994, Murray contra El Reino Unido,
Sentencia, § 84; Gran Sala, Expediente No. 28341/95, 4 de mayo de 2000, Rotaru contra Rumania,
Sentencia, §§ 43 y 44; Gran Sala, Expediente No. 27798/95 16 de diciembre de 2000, Amann contra
Suiza, Sentencia, §§ 15-29, 65; Expediente No. 44787/98, 25 de septiembre de 2001, P.G. y J.H. contra
El Reino Unido, Sentencia, §. 59; Expediente No. 44647/98, 28 de enero de 2003, Peck contra El Reino
Unido, Sentencia, § 59; Gran Sala, Expedientes Nos. 30562/04 y 30566/04, 4 de diciembre de 2008, S. y
Marper contra El Reino Unido, Sentencia, § 68.
158
"Convenio No. 108").512 A las Partes de este Convenio, entre los cuales se hallan todos
los Estados Miembros de la UE, se les exige implantarlo en su legislación nacional. El
Convenio No. 108 está abierto para cualquier país que haya promulgado legislación "en
concordancia con" los estándares establecidos por éste; y éste fue modificado en 1999
haciendo posible que la UE pudiera adherirse al mismo.513 En el 2001 se aprobó un
Protocolo Adicional relativo a las autoridades de supervisión y a los flujos
transfronterizos de datos, el cual entró en vigor en el 2004.514 Más adelante, el Convenio
No. 108 se complementó con una serie de Recomendaciones,515 tales como la
Recomendación que Regula el uso de los Datos Personales en el Ámbito Policial.516
Recientemente, el Comité Consultivo del Convenio para la Protección de Personas en
relación al Tratamiento Automático de Datos de Carácter Personal ha estado trabajando
activamente en el tema de creación de perfiles. Este adoptó en junio de 2010 un
Proyecto de Recomendación sobre el tema.517
Además, éste ha iniciado un proceso de análisis del Convenio No. 108 y se espera que
se empiece a debatir su posible revisión en un corto plazo.
512
Convenio para la protección de personas en relación al tratamiento automático de datos de carácter
personal, adoptado por el Consejo de Europa en Estrasburgo, 28 de enero de 1981, disponible en
<http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm>.
513
Modificaciones al Convenio para la protección de personas en relación al tratamiento automático de
datos de carácter personal (ETS No. 108) que permite a las Comunidades Europeas adherirse, adoptado
por el Comité de Ministros, en Estrasburgo, 15 de junio de 1999, disponible en
<http://conventions.coe.int/Treaty/en/Treaties/Html/108-1.htm>.
514
Protocolo Adicional al Convenio para la protección de personas naturales relativo al tratamiento
automático de datos de carácter personal, en relación a autoridades de supervisión y a flujos
transfronterizos de datos (CETS No. 181), aprobado por el Comité de Ministros del Consejo de Europa en
Estrasburgo,
8
de
noviembre
de
2001,
disponible
en
<http://conventions.coe.int/treaty/en/Treaties/Html/181.htm>.
515
Todas
las
recomendaciones
están
disponible
en
<http://www.coe.int/t/dghl/standardsetting/dataprotection/Legal_instruments_en.asp>.
516
Recomendación del Consejo de Europa No. R (87) 15 del Comité de Ministros a los Estados
Miembros regulando el uso de datos personales en el ámbito policial.
517
Comité Consultivo del Convenio para la protección de personas en relación al tratamiento automático
de datos de carácter personal, Proyecto de Recomendación sobre la protección de personas en relación al
tratamiento automático de datos de carácter personal en el contexto de creación de perfiles, adoptado en
su reunión plenaria 26ta, junio de 2010, Estrasburgo.
159
160
E. España
518
(Extracto de: Privacidad y Derechos
Humanos en Europa 2010 )
I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y
PROTECCIÓN DE DATOS PERSONALES Y MARCO
INSTITUCIONAL
Derechos de privacidad y protección de datos personales
recogidos en la Constitución
La Constitución Española reconoce el derecho a la intimidad personal, el secreto de las
comunicaciones y la protección de datos de carácter personal. El Artículo 18 de la
Constitución dice lo siguiente: "(1) Se garantiza el derecho al honor, a la intimidad
personal y familiar y a la propia imagen. (2) El domicilio es inviolable. Ninguna entrada
o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo
en caso de flagrante delito. (3) Se garantiza el secreto de las comunicaciones y, en
especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. (4) La Ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos."519
Normas legales y reglamentos sobre los derechos de privacidad
y protección de datos personales
Legislación general
La primera Ley Orgánica Española sobre esta materia es la de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), promulgada
en el año 1992 y modificada en el año 1999 en la Ley Orgánica de Protección de Datos
(LOPD), que sitúa a la legislación española más en línea con la Directiva Europea de
Protección de Datos.520 La LOPD es aplicable a los ficheros de información del sector
público y privado. La Ley establece que los ciudadanos tienen derecho a acceder a sus
datos personales sometidos a tratamiento electrónico y les garantiza el derecho de
518
El informe EPHR (European Privacy and Human Rights) "Spain" ("España") ha sido actualizado en
octubre de 2010 por Antoni Farriols Sola, Comisión de Libertades e Informática (Madrid), en noviembre
de 2010 por Ferran Adell, Universitat Autònoma de Barcelona y en enero de 2011 por Javier Sempere
(Agencia de Protección de Datos de la Comunidad de Madrid).
519
La Constitución Española, reformada en agosto de 1992, en <http://www.constitucion.es/>.
520
Véase la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los
Datos de Carácter Personal (LORTAD), vigente hasta el 14
de enero de 2000, en
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1992/24189>; Véase también la
Ley Orgánica 15/99 de 13 de Diciembre 1999 de Protección de Datos de Carácter Personal (LOPD), en
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1999/23750>.
161
rectificar o cancelar los datos inexactos o incorrectos. Además, la LOPD también
restringe el acceso a los datos por cuenta de terceros al requerir el consentimiento del
afectado para el propósito específico para el que fueron recogidos sus datos. Se
protegen de forma cualificada los datos especialmente sensibles. Sin embargo, las
asociaciones de consumidores manifestaron en su día su preocupación por las
disposiciones de la Ley que permitían el uso de la información sin consentimiento,
excepto cuando el consumidor hubiera indicado expresamente lo contrario. En 1999, se
aprobó un reglamento sobre las medidas secundarias necesarias para proteger sistemas
de ficheros automatizados de acuerdo con la LOPD.521
Un nuevo Real Decreto publicado el 19 de enero de 2008 y que entró en vigor el 19 de
abril de 2008, implementa la LOPD para impedir el uso de datos de carácter personal
sin previo conocimiento y consentimiento del interesado. Garantiza que cualquier
persona tendrá el derecho de acceso, rectificación, cancelación u oposición de sus datos
de carácter personal y de revocar su consentimiento al responsable del fichero de forma
fácil y libre de cargos. El Decreto también protege con medidas de seguridad más
estrictas los datos especialmente sensibles.522
El Real Decreto 1720 /2007 implementa la Ley Orgánica 15/1999 de protección de
datos de carácter personal e introduce algunas novedades: regula el consentimiento para
el tratamiento de datos de los menores de edad (el menor de 14 años necesita el
consentimiento de sus padres) y establece las medidas de seguridad a seguir para tratar
los datos de carácter personal en ficheros no automatizados. Este Decreto también
establece el Procedimiento Administrativo que los responsables del fichero han de
observar para facilitar el acceso del interesado a sus datos personales, el procedimiento
para registrar los códigos de comportamiento y las condiciones bajo las que el
responsable del fichero está autorizado a tratar los datos de carácter personal con fines
históricos, estadísticos o científicos. El Real Decreto también trata otras cuestiones que
fueron reguladas previamente en otros Reales Decretos e instrucciones,523 como el
movimiento internacional de datos personales, los procesos de ejecución de la Agencia
Española de Protección de Datos y los derechos de las personas, como el derecho de
acceso a los propios datos y los derechos de cancelación, rectificación u oposición.
Otro Real Decreto de 8 de enero de 2010, modifica la LOPD para impedir el
intercambio y comparación de datos de carácter personal entre distintos ficheros, sin el
consentimiento previo del interesado.524
521
Véase el Real Decreto 994/1999, del 11 de junio, por el que se aprueba el Reglamento de medidas de
seguridad de los ficheros automatizados que contengan datos de carácter personal, en
<http://noticias.juridicas.com/base_datos/Admin/rd994-1999.html>.
522
Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, 21 de diciembre de 2007,
BOE
No.
17,
19
de
enero
de
2008,
en
<https://www.agpd.es/portalweb/canaldocumentacion/legislacion/estatal/common/pdfs/RD_1720_2007.p
df>.
523
Una "instrucción" es un documento legal elaborado por la AEPD que es vinculante para los
responsables del fichero y regula un área específica relacionada con la protección de datos de carácter
personal (p. ej. la vigilancia o el movimiento internacional).
524
Real Decreto 3/2010 Disposición adicional cuarta. Modificación del Reglamento de desarrollo de la
Ley Orgánica 15/1999 de protección de datos de carácter personal aprobado por Real Decreto 1/20/2007,
8
de
enero
de
2010
(Real
Decreto
3/2010),
en
español
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/art.81.5b
_RDLOPD.pdf>.
162
Legislación sectorial
La Ley Orgánica 4/2007 de 12 de abril de Universidades525 permite la publicación en
Internet de las calificaciones de los estudiantes universitarios. La Ley 30/2007, de 30 de
octubre, de Contratos del Sector Público526 regula las condiciones para contratar a
personas responsables del tratamiento de datos de carácter personal por parte de los
Organismos públicos.
Agencia española de protección de datos
La Agencia Española de Protección de Datos (AEPD) se encarga de aplicar la LOPD.527
En 2000, el Tribunal Constitucional Español dicta tres sentencias relacionadas con la
legislación de protección de datos y con la AEPD y su potestad para aplicar dicha
legislación.528 La primera, por un recurso de inconstitucionalidad respecto a la Ley
Orgánica de 1992, por incumplimiento de las disposiciones contenidas en la
Constitución relativas al conflicto de competencias entre el Estado y otros Entes
Públicos (como la AEPD). El Tribunal rechaza este recurso. La segunda sentencia está
relacionada con otro recurso de inconstitucionalidad originariamente contra la Ley de
1992 y que finalmente se presentó contra la Ley de 1999. Esta sentencia defiende la
constitucionalidad de la Ley en general, a pesar de que el Tribunal revoca algunas
disposiciones que permiten la cesión entre Administraciones de datos de carácter
personal sobre ciudadanos españoles sin su consentimiento. El Tribunal resuelve que
dichas disposiciones infringen el derecho a la intimidad garantizado a los ciudadanos en
virtud del Artículo 18 de la Constitución Española.529 La tercera sentencia está
relacionada con un caso de tratamiento de datos de salud de un trabajador por parte del
empresario. El Tribunal considera que se infringe el derecho a la intimidad
constitucional del demandante cuando el empresario incluye los datos médicos del
trabajador en el fichero de los partes de baja.
Para poder velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, la AEPD mantiene un registro de ficheros en España y se
encarga de controlar las infracciones de la LOPD. En diciembre de 2007,530 había
1.017.266 ficheros inscritos, 61.553 de titularidad privada y 955.713 de titularidad
525
Ley Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001, de 21 de
diciembre, de Universidades, BOE Núm. 89, 13 de abril de 2007.
526
Ley 30/2007, de 30 de octubre, de contratos del sector público Ley 30/2007 de contratos del sector
público, BOE Núm., 31 de octubre de 2007, en <http://www.cert.fnmt.es/legsoporte/Ley%20302007.pdf>.
527
Véase Agencia Española de Protección de Datos <https://www.agpd.es>.
528
Sentencias 290/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-T-2001330>, 292/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2000-5236> y
202/1999
<http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1999-3782>
respectivamente.
529
Sentencia 292/2000, supra.
530
En 2005, se iniciaron 387 procedimientos administrativos sancionadores, en comparación con los 148
de 2002. Las fases instructoras se incrementaron en un 60%, de 723 en 2002 a 1158 en 2005. Los
procedimientos contra organismos oficiales se triplicaron, de 13 en 2002 a 52 en 2005. AEDP, Memoria
2005,
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/memorias/memorias_2005/common/pdfs/M
EMORIA-APD_2005.pdf>.
163
pública, en comparación con los 815.093 ficheros inscritos en diciembre de 2006,
56.138 de titularidad privada y 758.955 de titularidad pública.531
En 2007 el número de denuncias presentadas al Canal del Ciudadano de la AEPD se
incrementa en un 30 por ciento (para un total de 47.741 consultas). Las visitas a la
página web de la AEPD aumentan, de 1.518.714 en 2006 a 2.230.120 en 2007.532
Durante el 2007533 el número de trabajadores de la AEPD pasa a ser 103, de los 99 en
2006.534 En 2007, hay 849 resoluciones sobre procedimientos de tutela de derechos,535
frente a las 556 en 2006 y las 579 en 2005.536 También en 2007 se inician 879
procedimientos sobre tutela de derechos, 617 de ellos relacionados con el derecho de
acceso a los propios datos, 545 con el derecho de cancelación, 26 con el derecho de
rectificación de los propios datos y 32 con el derecho de oposición. Se dictan 849
resoluciones, 617 de las cuales son estimativas y 155 desestimativas.537 La AEPD lleva
a cabo 396 procedimientos sancionadores en 2007, en comparación con los 326
llevados a cabo en 2006.538
Entre el 2008 y el 2010, la AEPD publica varias guías para la correcta aplicación de la
LOPD: la "Guía de Protección de Datos para Responsables de Ficheros" que incluye
herramientas y reglas para el tratamiento de los ficheros de acuerdo con la LOPD;539 la
"Guía de Seguridad de Datos";540 un informe sobre los derechos de los menores y las
obligaciones de sus progenitores;541 una guía sobre video vigilancia respetando la
LOPD, dirigida a empresas, asociaciones y particulares;542 y la última, en 2009, sobre la
protección de datos en las relaciones laborales.543 La AEPD también mejora su sitio
web: incluye una nueva sección con información práctica sobre la protección de datos
en Internet.544
531
AEPD,
Memoria
2007,
en
<https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria
_AEPD_2007.pdf>.
532
Id.
533
En 2005 el personal de la AEDP pasó de los 89 a los 98 empleados. AEDP, Memoria 2005, supra.
534
AEDP, Memoria 2007, supra.
535
AEDP, Memoria 2007, supra.
536
Correo electrónico de Esperanza Zambrano Gómez, Agencia Española de Protección de Datos, a
Guilherme Roschke, Skadden Fellow, Electronic Privacy Information Center (EPIC), 2 de agosto de
2007.
537
AEDP, Memoria 2007, supra.
538
AEDP, Memoria 2007, supra.
539
Guía
de
Protección
de
Datos
para
Responsables
de
Ficheros,
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsab
le_ficheros.pdf>.
540
Guía
de
Seguridad
de
Datos,
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad
_datos_2008.pdf>.
541
Derechos
de
los
menores
y
obligaciones
de
sus
progenitores
en
<https://www.agpd.es/portalwebAGPD/canal_joven/common/pdfs/recomendaciones_menores_2008.pdf>
.
542
Guía
sobre
Videovigilancia
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/
guia_videovigilancia_en.pdf>.
543
Guía
de
la
Protección
de
Datos
en
las
Relaciones
Laborales,
en
<https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/
guia_relaciones_laborales.pdf>.
544
Página web de la AEPD <https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/indexides-idphp.php>.
164
En noviembre de 2009, la AEDP organiza la XXXI Conferencia Internacional de
Protección de Datos y Privacidad. Al final de esta reunión internacional, los comisarios
presentan una propuesta conjunta para el proyecto de Estándares Internacionales para la
protección de la privacidad y de los datos de carácter personal. El propósito del
documento es definir un conjunto de principios y derechos que garanticen la protección
uniforme efectiva e internacional de la privacidad en relación con el tratamiento de
datos de carácter personal a la vez que facilite el movimiento internacional de dichos
datos a escala mundial.545
Las memorias anuales de 2008 y 2009 de la AEPD indican que la mayoría de las
reclamaciones sobre la protección de datos se relacionan con Internet, la video
vigilancia y las listas de morosos.
En octubre de 2008, el Director de la AEPD comparece ante la Comisión Constitucional
del Congreso de los Diputados para dar cuenta de la Memoria 2007 de la AEPD. En su
discurso expresa que los ciudadanos son prioridad para la AEPD y que es necesario
concienciar a la ciudadanía sobre el derecho a la protección de sus datos,
proporcionándoles más información y animándoles a que denuncien y recurran cuando
consideren que sus derechos han sido vulnerados. También habla de los temas en los
que la AEPD pone un mayor interés: la video vigilancia, la publicidad mediante móvil e
Internet, la difusión de imágenes a través de Internet o YouTube o, por ejemplo, los
motores de búsqueda.546 Por último, manifiesta: "La conclusión es clara: la
concienciación ciudadana en España es superior a la media europea."547
En abril de 2008, la AEPD organiza una reunión informativa para hablar sobre las
novedades de la LOPD. Dicha reunión cuenta con la asistencia de más de 2.000
personas de los sectores público y privado.548
La Memoria 2007 de la AEPD incluye una sección con recomendaciones surgidas de la
experiencia de la Agencia, que resultan especialmente interesantes para el público en
general. En la esfera legal, afirma la necesidad de la autorregulación de la publicación
anónima, en línea o fuera de línea, de los reglamentos y sentencias sobre los sistemas
internos de presentación de informes gestionados por empleados dentro de las empresas,
para garantizar la confidencialidad del demandante y los derechos del acusado. También
incide en la necesidad de elaborar un "Plan de Promoción de Buenas Prácticas" que
garantice la privacidad.
La AEPD también apunta en su Memoria 2007 que en el caso de litigios relacionados
con redes entre pares (P2P), donde convergen las cuestiones legales de la privacidad y
de los derechos de autor, sólo mediante una ley se podrá determinar qué datos
personales se pueden utilizar y con qué objeto, así como establecer el equilibrio entre la
protección de datos y la propiedad intelectual.549 A este respecto, la AEPD propone una
545
Propuesta Conjunta de Estándares Internacionales de Protección de Datos y Privacidad, en
<https://www.agpd.es/portalwebAGPD/internacional/Estandares_Internacionales/index-ides-idphp.php>.
546
Comparecencia ante la Comisión Constitucional del Congreso de los Diputados del señor Director de
la AEPD, para informar sobre la Memoria 2007 de la AEPD, 1 de octubre de 2008 en
<https://www.agpd.es/portalweb/canaldocumentacion/comparecencias/common/pdfs/comparecencia_200
8.pdf>.
547
Id.
548
I
Sesión
Anual
Abierta
de
la
AEPD,
22
de
abril
de
2008,
en
<https://212.170.242.196/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php>.
549
AEPD,
Memoria
2007,
en
<https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria
_AEPD_2007.pdf>.
165
iniciativa de impulso de cautelas especiales para evitar el intercambio indeseado de
datos especialmente protegidos a través de redes P2P en Internet.550
(Véase más información en el apartado "Comercio electrónico")
En enero de 2005, la AEPD decide publicar sus resoluciones en su página web, un mes
después de haberlas notificado a los interesados, para lograr una mayor transparencia en
su actividad y contribuir a su conocimiento público551, a excepción de las relacionadas
con la inscripción de los ficheros en el Registro General de Protección de Datos.
Dos cuestiones que la AEPD trata con especial interés en 2004 y 2005 son la lucha
contra el "spam" y el estímulo a las pequeñas y medianas empresas (PYMES) para que
registren sus ficheros de datos personales en el Registro General de Protección de Datos
(RGPD). A pesar de que el registro de los ficheros de datos personales es obligatorio,
sólo un 10 por ciento de las PYMES que funcionan en España cumplen la ley.552 En
relación a la lucha contra el "spam", la AEPD anuncia a tal efecto la firma de un
acuerdo, Protocolo de Acuerdo con la Comisión Federal del Comercio de los Estados
Unidos. Este protocolo trata de facilitar la colaboración entre España y Estados Unidos
de América en su lucha contra el "spam". También anuncia que se han llevado a cabo
cientos de investigaciones en relación con este problema, que resultan en 14 acciones
legales por infracción de la legislación de protección de datos, seis de las cuales fueron
resueltas. De estos seis casos resueltos, dos fueron calificados como "infracciones
graves", otros dos como "infracciones menos graves" y los dos restantes fueron
desestimados.553 En general, las infracciones contra la normativa anti-spam podrán
sancionarse con multas de hasta 30.000 euros.
En 2004, la AEPD considera el "Carácter de Dato Personal de la Dirección IP"554 y
establece que la dirección IP ha de considerarse un "dato de carácter personal" y que,
por consiguiente, el responsable del fichero que maneje dicha información deberá
observar lo establecido en la LOPD. La no observación de lo establecido podrá
sancionarse con multas para el infractor de hasta 300.000 euros.555
Jurisprudencia sobre los derechos de privacidad y protección de
datos personales
El 16 de agosto de 2010, un Juzgado de Madrid admite a trámite la denuncia presentada
por la asociación de usuarios de Internet APEDANICA, según la cual Google habría
recogido y almacenado ilegalmente información de usuarios de redes WiFi durante la
550
Id.
Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre la
publicación
de
sus
resoluciones
<https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion1-2004.pdf>.
552
"Sólo el 10% de las PYMES españolas cumple la Ley de Protección de Datos", Atlántico, 13 de abril
de 2005.
553
AEPD,
nota
de
prensa,
23
de
febrero
de
2005,
en
<https://www.agpd.es/upload/Prensa/Nota%20eeuu.pdf>.
554
Agencia Española de Protección de Datos, "Carácter de dato personal de la dirección IP," (Informe
327/03), en <https://www.agpd.es/index.php?idSeccion=390>.
555
Marta Escudero y Javier Maestre, "Como consecuencia, muchos webmasters deberán registrar sus
ficheros
en
la
Agencia,"
5
de
julio
de
2004,
en
<http://www.kriptopolis.com/more.php?id=201_0_1_0_M>.
551
166
captura de imágenes para su servicio Street View desde 2008556. Según la AEPD, los
hechos podrían infringir la Ley Orgánica de Protección de Datos de Carácter
Personal557.
(Véase más información en el apartado "Derecho a la intimidad en exteriores")
En 2008 el Tribunal Supremo conoce de un caso en el que el demandado, la Asociación
Contra la Tortura, publica en Internet una lista de nombres y apellidos de las personas
investigadas por tortura. El Tribunal Supremo, en Sentencia de 26 de junio de 2008,
confirma la decisión tomada por la AEPD de sancionar a la Asociación por haber
publicado datos personales en Internet sin el consentimiento de los sujetos. El Tribunal
Supremo considera que no se puede alegar el derecho a la libertad de expresión.558
El Tribunal Superior de Justicia de las Comunidades Europeas resuelve en su Sentencia
de 28 de enero de 2008 que las Directivas sobre protección de derechos de autor no
obligan a divulgar datos personales en un proceso civil, pero que las autoridades
competentes de los Estados Miembros deben adoptar medidas para garantizar el
equilibrio entre los derechos de autor y propiedad intelectual y los de privacidad y
protección de datos personales.559 (Véase más información en el apartado "Comercio
electrónico")
El Tribunal Supremo no admite la cancelación de datos en libros de bautismo: revoca la
sentencia dictada con fecha 10 de octubre de 2007 por la Audiencia Nacional que
ratificaba el criterio mantenido por la AEPD desde 2004. La AEPD considera los libros
de bautismo ficheros que contienen datos de carácter personal y, por lo tanto, pide que
se les apliquen los principios de protección de datos, como el principio de calidad y
exactitud de los datos.560
En 2007 se dan dos sentencias del Tribunal Supremo sobre el derecho a la intimidad en
el trabajo: en el primer caso, el empresario utiliza las huellas dactilares de sus
556
AFP, "Spanish Judge Probes Complaint over Google's Street View," ("Un magistrado español admite
una
demanda
sobre
el
Street
View
de
Google"),
16
de
agosto
de
2010
<http://www.google.com/hostednews/afp/article/ALeqM5j2pPKEWPkNBcWqrYYj-BUlHA3Ntg>.
Véase también "Spanish DPA Opens Infringement Procedures for Google Streetview", ("La AEPD abre
una investigación a Google por el StreetView"), EDRi-gram - Número 8.20, 20 de octubre 2010
<http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View
Faces Citizens' Reservation in EU", (“El Street View de Google se enfrenta las reservas de los ciudadanos
en
la
UE”),
EDRi-gram
–
Número
8.16,
25
de
agosto
de
2010,
<http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>;
Fiona
Govan, "Spain Takes on Google over Privacy Violations in Street View", ("España se enfrenta a Google
por la infracción del derecho a la intimidad de su servicio Street View"), The Telegraph, 17 de agosto de
2010
<http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>.
557
AEPD, "La AEPD abre una investigación a Google por la captación de Datos de Redes WI-FI en
España",
en
<https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/
100519_NP_GOOGLE_WIFI_WEB.pdf>.
558
AEPD, "Desestima el recurso de casación interpuesto por la Asociación contra la Tortura. El TS
confirma el criterio de la AEPD al sancionar y cancelar la difusión de datos de funcionarios en la Web
de
la
Asociación
contra
la
Tortura",
en
<https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2008/notas_prensa/common/julio/
NP_180708_tribunal_supremo.pdf>.
559
Id.
560
AEPD, "El Tribunal Supremo no admite la cancelación de datos en libros de bautismo", en
<https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2008/notas_prensa/common/sept/np_0809
30_sentencia_TS.pdf>.
167
trabajadores para controlar sus actividades en horario laboral y en el segundo, el
empresario realiza una intromisión en el correo electrónico y las páginas de Internet
visitadas por sus trabajadores.
(Véase más información en el apartado "Jurisprudencia sobre los Derechos de
Privacidad y Protección de Datos Personales")
En diciembre de 2004, 12 personas de diferentes agrupaciones sociales de Cataluña
presentan una denuncia ante la AEPD por la inclusión de sus datos personales y
fotografías en un fichero ilegal de naturaleza "política" por parte de la Brigada
Provincial de Información. Los demandantes no tenían antecedentes penales, pero
formaban parte de una lista de 30 personas cuyas fotografías fueron mostradas durante
su interrogatorio el 3 de octubre de 2004 a tres detenidos acusados de lanzar cócteles
molotov contra la comisaría del distrito barcelonés de Sants. Este procedimiento sólo
habría sido legal si las personas cuyas fotografías fueron mostradas hubieran tenido
antecedentes penales. Además, las fotografías mostradas no son las de sus DNI, sino
que habían sido tomadas durante su participación en actividades públicas. Los
demandantes alegan que se ha infringido el Artículo 7.4 de la LOPD de 1999, que
prohíbe "los ficheros creados con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o
étnico, o vida sexual." La policía niega que dispusiera de un fichero con la identidad de
personas vinculadas a agrupaciones sociales y declara que el único archivo existente es
el de los ciudadanos con antecedentes, aunque admite que la policía trabaja con un
fichero para sus investigaciones, que está tutelado por la Agencia Española de
Protección de Datos.561
II. CAMPOS DE ACCIÓN
Seguridad Nacional, Vigilancia por parte del Gobierno y Aplicación
de la Ley
Escuchas, acceso a las comunicaciones e interceptación
Según el código criminal, la interceptación de comunicaciones electrónicas requiere una
orden judicial.562 En España ha habido diversos escándalos relacionados con la
interceptación ilegal por parte de los servicios de inteligencia. En 1995, el
Vicepresidente Narcís Serra, el Ministro de Defensa Julián García Vargas y el Director
de Inteligencia Militar Emilio Alonso Manglano tuvieron que dimitir después de que
saliera a la luz que habían interceptado las conversaciones de cientos de personas, entre
ellas el Rey Juan Carlos.563 Más recientemente, Juan Alberto Perote, antiguo Jefe de
Operaciones del Centro Superior de Información de la Defensa (CESID, el servicio
secreto español que formó parte de las Fuerzas Armadas hasta 2002 cuando fue
reemplazado por el CNI) fue declarado culpable el 12 de abril de 2005 y condenado a
561
"12 activistas de Barcelona denuncian que la policía les incluye en un fichero ilegal", El País, 30 de
diciembre de 2004.
562
Ley
Orgánica
10/1995,
de
23
de
noviembre,
del
Código
Penal.
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1995/25444>,
Código
Penal,
artículos 197-199.
563
"Los socialistas españoles solicitan a la oposición que se disculpe en el asunto de las escuchas",
Reuters, 6 de febrero de 1996.
168
cuatro años de cárcel. En el primer juicio de 1999, Manglano y Perote fueron
condenados a seis meses de cárcel cada uno y otros cinco cargos del CESID también
fueron condenados a seis meses, si bien el Tribunal Constitucional anuló la sentencia el
29 de marzo de 2004 al considerar que el juez que instruyó el caso no había sido
imparcial. Los cargos presentados contra Emilio Alonso Manglano y otros cinco
empleados del CESID por una acusación particular formada por personas y
asociaciones que habían sido objeto de vigilancia fueron retirados. Perote criticó la
sentencia emitida en su contra alegando que su director Manglano y varios miembros
del gobierno del Partido Socialista de aquel entonces sabían de "esta actividad" llevada
a cabo de 1983 a 1991.564
Las pruebas recogidas mediante escuchas ilegales están sujetas a una norma de
exclusión, y en noviembre de 2002 la Audiencia de Barcelona desestimó un caso porque
las pruebas estaban viciadas.565 En mayo de 2001, una acusación pidió condenas de 12
años para cada uno de dos detectives acusados de realizar escuchas ilegales.566 En
diciembre de 2004 el Tribunal Superior declaró que "la aprobación de una normativa
apropiada para las intercepciones telefónicas" no puede posponerse, tras retirar los
cargos a dos presuntos narcotraficantes al considerarse irregulares las intercepciones
telefónicas utilizadas para condenarlos en la Audiencia Nacional. Dicho Tribunal añadió
que España ya había sido condenada por el Tribunal Europeo de Derechos Humanos
por no especificar el carácter de los delitos que pueden dar lugar a esas intercepciones,
ni establecer la duración máxima de las mismas.567
La Ley General de Telecomunicaciones (LGT) de 2003 ampara el derecho de las
personas a utilizar criptografía robusta, pero también incluye una disposición, el artículo
36, que permite el uso de un sistema de recuperación de claves.568 Las anteriores
versiones de esta disposición fueron objeto de una gran oposición por parte de los
abogados de libertades civiles.569 El nuevo artículo 36 no supone un gran cambio
respecto al anterior artículo 52, que requería la notificación de los algoritmos utilizados,
pero sigue siendo ambiguo cuando se refiere a la creación de un sistema de depósito de
claves.570
A principios de 2004, el Cuerpo Nacional de Policía y la Guardia Civil informaron que
iban a empezar a utilizar un nuevo programa de software, SINTEL, que les permite
interceptar directamente comunicaciones telefónicas sin necesidad de recabar
previamente una autorización judicial. SINTEL, que fue diseñado en un acuerdo secreto
564
"Perote, condenado a cuatro meses de arresto por las escuchas del Cesid," El País, 13 de abril de 2005;
y "Cuatro meses de prisión para Perote por las escuchas del Cesid," El País, 4 de abril de 2005.
565
"Secreto Comunicaciones Audiencia invalida pruebas obtenidas por 'pinchazo' teléfono," Servicio
Español de Noticias, 23 de noviembre de 2000.
566
"Pinchazos telefónicos: Fiscalía pide 24 años para detectives por pinchar teléfonos," Servicio Español
de Noticias, 7 de mayo de 2001.
567
"El Supremo cree inaplazable regular el control de teléfonos," El País, 13 de diciembre de 2004.
568
Ley
32/2003,
de
3
de
noviembre,
General
de
Telecomunicaciones.,
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/20253>,
parcialmente
traducido al inglés en <https://www.agpd.es/upload/Ley_32-2003_LGT.pdf>.
569
Véase Campaña para una Libertad Global en Internet (Global Internet Liberty Campaign), "La nueva
Ley Española de Telecomunicaciones abre una puerta hacia los sistemas obligatorios de recuperación de
claves (New Spanish Telecommunications Law Opens a Door to Mandatory Key Recovery Systems),"
julio de 1998, en <http://www.gilc.org/crypto/spain/gilc-crypto-spain-798.html>.
570
Véase "No al Articulo 36 restricciones a la criptografía: La nueva Ley General de Telecomunicaciones
impone la obligación de revelar las claves de cifrado," marzo de 2003, en
<http://www.spain.cpsr.org/02042003.php>; Mercé Molist, "El Congreso no aclara el depósito del cifrado
en la Ley de Telecomunicaciones," El País, 12 de junio de 2003.
169
en octubre de 2001, funciona en tiempo real. Además de registrar el contenido de la
comunicación, el programa también proporciona la identidad de los dos interlocutores y
el lugar desde el que están llamando.571
SITEL ha suscitado un debate controvertido sobre la necesidad de determinadas
herramientas para luchar contra el crimen en España y la defensa de los derechos
fundamentales de los ciudadanos. La Asociación de Internautas española presentó una
moción572 ante la Audiencia Nacional573 para que se pronunciara acerca de si la policía
puede acceder a la base de datos personales de SITEL sin el consentimiento previo del
juez y sin pruebas suficientes de que se está cometiendo una infracción. La moción fue
desestimada.574
A principios de 2010, el Tribunal Supremo decidió que la policía podía tener acceso a
determinados datos (números de teléfono, nombres y apellidos) de la agenda de móvil
de las personas arrestadas sin una orden judicial, pero no al contenido de las llamadas
ya que están protegidas por el derecho constitucional de confidencialidad de las
comunicaciones.
Legislación sobre seguridad nacional
Tras el ataque terrorista a un tren de cercanías de Madrid el 11 de marzo de 2004 se
anunció la implementación de una serie de medidas en relación con el problema del
terrorismo islámico; entre las más destacadas, estaba la puesta bajo vigilancia de imanes
“radicales” y antiguos muyahidines (musulmanes que habían luchado en Afganistán o
en los Balcanes) y la creación de bases de datos para averiguar sus números.575
El Proyecto de Ley de Defensa Nacional576, publicado el 31 de marzo de 2005, pretende
ampliar el ámbito de actividad del Centro Nacional de Inteligencia (o CNI),577
encomendándole la tarea de contribuir "a la obtención, evaluación e interpretación de la
información necesaria para prevenir y evitar riesgos o amenazas que afecten a la
independencia e integridad de España, a los intereses nacionales y a la estabilidad del
Estado de Derecho y sus instituciones" (Artículo 26). La Ley se aprobó el 17 de
noviembre de 2005.578 Las palabras "riesgos o amenazas" modifican la redacción del
decreto por el que se creó el CNI y que establecía que su actividad era la de prevenir y
evitar "el peligro, las amenazas o la agresión", expresión que no admite una
interpretación tan amplia. Diversos expertos citados en el periódico El País sugirieron
que "el riesgo que afecta a la integridad de España" es tan ambiguo que puede
interpretarse que concede al servicio de inteligencia el papel de contrarrestar propuestas
571
"Policía y Guardia Civil pueden pinchar los teléfonos informáticamente," 19 de febrero de 2004, en
<http://www.nodo50.org/tortuga/article.php3?id_article=204>.
572
Moción
de
la
Asociación
de
Internautas
en
<http://www.internautas.org/archivos/pdf/STS_interceptacion_comunicaciones.pdf>.
573
Audiencia Nacional, página web <http://www.audiencianacional.es/>.
574
Tribunal
Supremo,
Sala
de
lo
penal,
Sentencia
Nº
1078/2009,
en
<http://s.libertaddigital.com/doc/sentencia-del-ts-que-avala-sitel-22755838.pdf>.
575
"Censo de ex muyahidines e imanes radicales", El País, 30 de mayo de 2004.
576
Proyecto de Ley Orgánica de la Defensa Nacional 121/000031, Boletín Oficial de las Cortes
Generales, 31 de marzo de 2005.
577
Servicio Español de Inteligencia.
578
Ley Orgánica 5/2005, de 17 de noviembre, de la Defensa Nacional, en
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2005/18933>.
170
políticas como el llamado Plan Ibarretxe, propuesto por el Lehendakari (el presidente
del gobierno vasco) para cambiar el estatuto de la comunidad autónoma vasca.579
Retención de datos
En 2007, el Parlamento aprobó la Ley de Retención de Datos (Ley 25/2007 de 18 de
octubre de 2007)580 que implanta la Directiva de la UE sobre Retención de Datos
(2006/24/CE).581 Dicha ley establece que el periodo de retención es de 12 meses y,
además, prohíbe el anonimato de los usuarios de móviles con tarjeta prepago.
Durante la fase de preparación previa a la implementación de la Directiva por parte del
Parlamento organizaciones de Internet y de derechos civiles opusieron una fuerte
resistencia a la misma y todos ellos se adscribieron a la campaña europea "La Retención
de Datos no es la solución".582
Bases de datos nacionales creadas para hacer cumplir ley y
velar por la seguridad
A consecuencia de los ataques terroristas de 2001 en los Estados Unidos de América y
de 2004 en Madrid, se promulgaron dos nuevas leyes con el fin de combatir el
terrorismo. Estas dos leyes están redactadas para complementarse entre sí y afectan
directamente al ámbito de la protección de datos mediante la creación de nuevas bases
de datos de titularidad pública.
La primera de ellas tiene como objeto prevenir y bloquear la financiación terrorista.583
Establece la creación de una Comisión de Vigilancia de Actividades de Financiación del
Terrorismo. Esta institución tiene autoridad para bloquear fondos, cuentas bancarias y
demás activos financieros pertenecientes a organizaciones o personas vinculadas a
actividades terroristas. Desarrolla sus investigaciones en la esfera administrativa y
colabora con la judicatura a la hora de transmitir sus conclusiones a los jueces que
instruyen las causas criminales. La ley establece la obligación por parte de las
instituciones financieras (a saber, los bancos, entidades de crédito, oficinas de cambio),
y de todas las personas citadas en la ley contra el blanqueo de capitales (Ley 19/2003,
descrita más adelante), de colaborar aportando toda la información requerida
(incluyendo datos personales) sobre los fondos congelados. En relación con lo
579
"El Borrador permite al Servicio Secreto investigar cualquier riesgo que afecte a la integridad de
España," El País, 18 de marzo de 2005.
580
Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y
a las redes públicas de comunicaciones, BOE núm. 251, 19 octubre 2007 (BOE Núm. 251, 19 de octubre
de 2007, en <http://noticias.juridicas.com/base_datos/Admin/l25-2007.html>.
581
Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la
Directiva
2002/58/CE
<http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:01:ES:HTML>.
582
"La retención de datos no es la solución (Data Retention is no Solution),"
<http://www.dataretentionisnosolution.com>. Veáse también R-ES, "¿Cómo Te Afecta La Retención de
Datos?", 27 de septiembre de 2005 <http://wiki.dataretentionisnosolution.com/index.php/Texto_cpsr_es>.
583
Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo, en
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/10289>;
véase
también
<http://www.igsap.map.es/cia/dispo/26927.htm>.
171
dispuesto en la LOPD, esta ley estipula, además, que los ficheros creados por la
Comisión de Vigilancia serán considerados ficheros de titularidad pública y, por tanto,
están exentos en lo que se refiere a los derechos de acceso, rectificación y cancelación.
No obstante, esta ley ha sido modificada recientemente por la Ley 10/2010, de 28 de
abril de 2010, sobre la prevención del blanqueo de capitales y financiación del
terrorismo584. Dicha ley prevé la creación de ficheros de personas con responsabilidad
pública, incluyendo los nombres y apellidos de sus familiares, y tiene como objeto el de
prevenir el blanqueo de capitales y la financiación del terrorismo. Esta ley implementa
las Directivas 2005/60/CE y 2006/70/CE.
La segunda normativa es la Ley 19/2003, promulgada en julio de 2003, que regula el
movimiento de capitales y las transacciones internacionales.585 Esta ley tiene como
objeto prevenir el blanqueo de capitales y está estrechamente relacionada con la ley
sobre la financiación de actividades terroristas. Fue aprobada como una modificación de
la ley de 1993 sobre la prevención del blanqueo de capitales. La nueva normativa
también incorpora a la legislación nacional la Directiva 2001/97 sobre la prevención del
blanqueo de capitales.586
Esta ley no sólo se aplica a crímenes terroristas, al tráfico ilícito de estupefacientes y al
crimen organizado (la situación actual), también al resto de crímenes considerados
graves (castigados con más de tres años de cárcel) y a todas las actividades de blanqueo
de capitales relacionadas. La ley también impone nuevas obligaciones a personas como
auditores, contables externos (no sólo a los contables internos de las empresas) y a
asesores fiscales. Los notarios, juristas y letrados también tienen que colaborar
respetando plenamente el secreto profesional y sin perjuicio del derecho constitucional
a la defensa.
La Ley Orgánica 10/2007 de 8 de octubre de 2007 regula la base de datos policial de
ADN, controlada por el Ministerio del Interior. Esta base de datos contiene los registros
de ADN obtenidos de investigaciones criminales (sin el consentimiento del titular de los
datos) y de la identificación de cadáveres. La nueva ley dispone que deberá borrarse un
registro de ADN si el crimen entra dentro del periodo de limitación. Si el titular de los
datos es culpable, los datos se borrarán de acuerdo con la ley de antecedentes penales; y
si no es culpable, su ADN deberá borrarse de la base de datos.
Acuerdos nacionales e internacionales sobre la divulgación de
datos
No hay informes nuevos en esta sección.
584
Ley 10/2010, de 28 de abril de prevención del blanqueo de capitales y de la financiación del
terrorismo, en <http://noticias.juridicas.com/base_datos/Admin/l10-2010.html>.
585
Ley 19/2003, de 4 julio, sobre régimen jurídico de los movimientos de capitales y de las transacciones
económicas con el exterior y sobre determinadas medidas de prevención del blanqueo de capitales, en
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/13471>.
586
Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2001 sobre
blanqueo de capitales: prevención de la utilización del sistema financiero (Directiva del Parlamento
Europeo y del Consejo 2001/97/CE de 4 diciembre de 2001 sobre el blanqueo de capitales: Prevención
de la utilización del sistema financiero), en <http://europa.eu.int/scadplus/leg/es/lvb/l24016.htm>.
172
Ciberdelincuencia
El 3 de junio de 2010, España ratificó la Convención sobre Ciberdelincuencia del
Consejo Europeo.
Infraestructura crítica
No hay informes nuevos en esta sección.
Internet y Privacidad del Consumidor
Comercio electrónico
En su Memoria Anual de 2007, la AEPD exponía que, en los litigios sobre
comunicaciones entre pares (P2P), donde convergen las cuestiones legales de la
privacidad y de los derechos de autor, sólo mediante una ley se podrá determinar qué
datos personales se pueden utilizar y con qué objeto, así como establecer el equilibrio
entre la protección de datos y la propiedad intelectual.587 El Director de la AEPD se
remitió a la resolución del Tribunal de Justicia del 28 de enero de 2008, según la cual
"las Directivas sobre la protección de derechos de autor no imponen el deber de facilitar
la divulgación de datos personales en un proceso civil y las autoridades competentes de
los Estados Miembros deberán tomar las medidas adecuadas para garantizar el
equilibrio entre los derechos de autor y la propiedad intelectual, por un lado, y la
privacidad y la protección de datos personales, por el otro".588
A nivel administrativo, la Autoridad Española de Protección de Datos recomendó una
iniciativa para promover medidas especiales de precaución con el fin de evitar el
intercambio no deseado de datos personales en Internet a través de las redes de
intercambio de archivos entre pares (P2P). La AEPD insistió en que los usuarios deben
ser conscientes de los riesgos que implica la divulgación de la información almacenada
en sus ordenadores y que deben evitar compartir de forma involuntaria por Internet
cualquier carpeta que contenga archivos con datos personales.589
Seguridad cibernética
No hay informes nuevos en esta sección.
Marketing con base en el comportamiento en Internet y
privacidad de los motores de búsqueda
El 1 de diciembre de 2007, la AEPD emitió una recomendación acerca de los motores
de búsqueda de Internet. En ella advertía que la información contenida en las políticas
587
Memoria
anual
de
la
AEPD
de
2007,
en
<https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria
_AEPD_2007.pdf>.
588
Id.
589
Id.
173
de privacidad de los motores de búsqueda sobre el uso de los datos personales no es
suficientemente clara y, probablemente, es ininteligible para la comunidad general de
usuarios de Internet. También subraya que es necesario limitar el uso y el
almacenamiento de datos personales. La información debe borrarse en cuanto deje de
ser necesaria para la prestación del servicio. Los servicios de motores de búsqueda
están obligados a permitir que los titulares de los datos ejerzan los derechos de
cancelación y oposición en relación con sus datos personales si éstos aparecen en otras
páginas web. Asimismo, alertó sobre la necesidad de establecer estándares
internacionales con el objeto de definir y acordar normas que garanticen la privacidad
en Internet.590
La AEPD ha recibido numerosas quejas de personas que, como titulares de los datos
personales, quieren ejercer su derecho a cancelar la publicación de sus datos personales
en los boletines oficiales. La Agencia de Protección de Datos de la Comunidad de
Madrid, o APDCM, emitió una recomendación (2/2008) sobre la publicación de datos
personales en los boletines oficiales591 y en las páginas web de las instituciones públicas
de la Comunidad de Madrid.592 El problema surgió cuando se demostró que mediante
un simple motor de búsqueda pueden encontrarse fácilmente los nombres y los datos
identificativos de personas en los boletines oficiales. La recomendación autorizó a las
instituciones públicas de la Comunidad de Madrid para aplicar el principio de calidad
siempre que publiquen disposiciones administrativas en los boletines oficiales o en sus
páginas web (como sanciones, subvenciones, etc.). Así por ejemplo, en el caso de las
subvenciones, el principio de calidad establece que sólo debe publicarse el resultado
total de las subvenciones y no el parcial. Los boletines oficiales también han
implementado dicho principio de tal forma que los nombres de personas publicados en
los mismos no sean indexados por los motores de búsqueda online. Como respuesta a
ello, el Ayuntamiento de Madrid publicó una instrucción593 sobre la publicación de
datos personales en su boletín oficial y, por su parte, la Autoridad Catalana de
Protección de Datos (Autoritat Catalana de Protecció de Dades594) estableció una
recomendación sobre la publicación de datos personales en Internet.595
590
Agencia Española de Protección de Datos, "Declaración de la AEPD sobre buscadores de Internet
(2007)",
1
de
diciembre
de
2007,
en
<https://www.agpd.es/portalweb/canaldocumentacion/recomendaciones/common/pdfs/declaracion_aepd_
buscadores_en.pdf>.
591
Los Boletines Oficiales son periódicos que se publican diariamente por los que los organismos
públicos hacen públicos sus actos y resoluciones administrativas. [Nota del editor.]
592
Esto afecta a la administración de la Comunidad de Madrid, ayuntamientos, asociaciones profesionales
y universidades públicas.
593
BOAM nº 6341, 3 de enero de 2011, en <http://www.madrid.es/portales/munimadrid/es/Inicio/ElAyuntamiento/Boletin-Oficial-del-Ayuntamiento/Buscador-Boletines/1-Instruccion-Medidas-AgenciaProtec.-Datos-Cdad.-deMadrid?vgnextfmt=default&vgnextoid=4442a3045ef2d210VgnVCM2000000c205a0aRCRD&vgnextcha
nnel=7a698db0ae967010VgnVCM1000009b25680aRCRD>.
594
Autoritat Catalana de Protecció de Dades, página web <http://www.apd.cat>.
595
Recomendación 1/2008 de la Agencia Catalana de Protección de Datos sobre la difusión de
información que contenga datos de carácter personal a través de Internet, Abril 2008, en
<http://www.apdcat.net/media/687.pdf>.
174
Redes sociales y comunidades virtuales online
En 2008, las reclamaciones presentadas ante la AEPD crecieron en un 45% con una
especial preocupación de los ciudadanos por Internet y las redes sociales.596
La AEPD ha trabajado con Tuenti (la red social española para jóvenes con más de 8
millones de usuarios) y Facebook para implantar un sistema de verificación del usuario
(consentimiento parental) para niños menores de 14 años.
Seguridad para los jóvenes en Internet
La Ley 34/2002 de 11 de julio de 2002 de Servicios de la Sociedad de Información y de
Comercio Electrónico se modificó por la Ley 56/2007 de 28 de diciembre de 2007 de
medidas de impulso a la Sociedad de Información.597
La LOPD prohíbe la captación de datos de menores de 14 años de edad sin el
consentimiento de sus padres o tutores. Dado que muchos perfiles en las páginas web de
redes sociales pertenecen a menores de 14 años, en los dos últimos años han sido
muchas las iniciativas en España para mejorar el modo en que dichas páginas web
protegen y controlan las actividades de los menores. También se ha pedido una mayor
implicación por parte de las autoridades educativas nacionales y de los padres.
El 9 de febrero de 2010 se celebró el Día Internacional de Internet Seguro, promovido
por la Comisión Europea y organizado en la Unión Europea por INS@FE, la red
europea de asociaciones que "defienden un uso seguro y responsable de los dispositivos
de Internet y móviles entre la gente joven"598, y en España, a través de la asociación
"Protégeles".
La AEPD también ha organizado varias actividades que pretenden aumentar la
sensibilización sobre la privacidad entre los menores a través de directrices y un área
especial en su página web.599
En 2009 y 2010, la Agencia de Protección de Datos de la Comunidad de Madrid lanzó
un proyecto dirigido a los menores, con presentaciones sobre los riesgos de la pérdida
de privacidad en Internet realizadas en cada uno de los 404 centros de educación de la
Comunidad de Madrid con la ayuda de profesores, directores y tutores, 60 expertos en
privacidad (magistrados, abogados y consultores). La APDCM dio a los estudiantes un
manual sobre privacidad600 en Internet, editado por la Comisión de Libertades
596
EFE, "Las reclamaciones ante protección de datos crecieron un 45% en 2008. Los Españoles presentan
una 'preocupación extraordinaria' ante el auge de las redes sociales en Internet", El País.com, 15 de abril
de
2009,
en
<http://www.elpais.com/articulo/sociedad/reclamaciones/Proteccion/Datos/crecieron/45/2008/elpepusoc/
20090415elpepusoc_4/Tes>.
597
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico,
en <http://noticias.juridicas.com/base_datos/Admin/l34-2002.html>.
598
Página web de INS@FE <http://www.saferinternet.org/>.
599
AEPD,
Internet
y
Datos
Personales
<http://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php>;
<http://www.agpd.es/portalweb/canalciudadano/menores/index-ides-idphp.php>.
600
Manuales
prácticos
del
proyecto
CLI-PROMETEO
2008-2009
<http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253706444391&language=es&pagei
d=1252308394307&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaPublicacion&v
est=1252308394307>.
175
Informáticas, o CLI.601 Otros organismos para la protección de datos (de Cataluña y el
País Vasco) también han elaborado materiales especialmente dirigidos a los menores.602
La asociación sin ánimo de lucro CLI desarrolló el proyecto "CLI-PROMETEO" con la
intención de fomentar el uso de las tecnologías de la información entre niños y
adolescentes sin descuidar la protección de datos. El proyecto ha recibido la subvención
del Departamento de Industria, Turismo y Comercio y el apoyo de varias instituciones,
entre ellas la AEPD.
Privacidad Territorial
Vigilancia por videocámara
La Ley Orgánica 4/1997603 regula el uso de sistemas de video vigilancia por la policía y
para el control del tráfico, mientras que la Ley 19/2007, de 11 de julio, contra la
Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte604 regula su uso en
eventos deportivos. La Ley de Seguridad Privada de 1992605 y el Real Decreto-ley de
Seguridad Privada606 regulan su uso por parte de empresas de seguridad y en los bancos.
En diciembre de 2006, la AEPD publicó un nuevo reglamento sobre vigilancia por
videocámara.607 Las imágenes obtenidas por cámaras situadas en lugares públicos deben
considerarse datos personales, y los archivos que contienen tanto imágenes como datos
derivados de las mismas deben ser objeto de protección. Sólo se recurrirá a las cámaras
cuando la implementación de otros medios de vigilancia ofrezca dificultades. Deberá
colocarse una etiqueta distintiva en un lugar visible, y los datos obtenidos deberán
borrarse al cabo de un mes. Este reglamento es de aplicación a la grabación,
transmisión, conservación y almacenamiento, incluyendo la reproducción en tiempo
601
Manuales
prácticos
del
proyecto
CLI-PROMETEO
2008-2009
<http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253706444391&language=es&pagei
d=1252308394307&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaPublicacion&v
est=1252308394307>.
602
Autoridad
Catalana
de
Protección
de
Datos,
Privacidad
para
jóvenes
<http://www.apdcat.net/es/contingut.php?cont_id=305&cat_id=250>; Datuak Babesteko Euskal Bulegoa
- Agencia Vasca de Protección de Datos (Basque Data Protection Authority), Reda y Neto: Cuidando los
datos personales <http://www.avpd.euskadi.net/s04-kontuzdt/es>; Agencia Española de Protección de
Datos,
Internet
y
datos
personales
<https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php>.
603
Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
fuerzas
y
cuerpos
de
seguridad
en
lugares
públicos,
en
<http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>.
604
Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
fuerzas
y
cuerpos
de
seguridad
en
lugares
públicos,
en
<http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>.
605
Ley
23/1992,
de
30
de
julio,
de
seguridad
privada,
en
<http://noticias.juridicas.com/base_datos/Admin/l23-1992.html>.
606
Real Decreto-ley 2/1999, de 29 de enero, por el que se modifica la Ley 23/1992, de 30 de julio, de
seguridad privada, en <http://noticias.juridicas.com/base_datos/Admin/rdl2-1999.html>.
607
Agencia Española de Protección De Dados, Instrucción 1/2006, de 8 de noviembre sobre el
tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras,
12
de
diciembre
de
2006,
disponible
en
español
en
<http://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion_1_2006_videovigilan
cia.pdf>,
disponible
en
inglés
en
<https://www.agpd.es/upload/English_Resources/Instruccion%20videovigilancia%20EN.pdf>.
176
real y la emisión. Quedan excluidas las grabaciones para uso doméstico y el uso de
imágenes por los cuerpos de seguridad y la judicatura.
La APDCM publicó la Instrucción 1/2007608 sobre el uso de vigilancia por videocámara
con fines de seguridad, para controlar áreas restringidas o el tráfico, así como para fines
sanitarios, de investigación o científicos. El responsable del tratamiento de los datos
tiene que justificar que la vigilancia por videocámara es necesaria y comunicárselo a la
APDCM para que evalúe la proporcionalidad. La agencia de protección de datos de
Cataluña también elaboró una Instrucción sobre vigilancia por videocámara en 2009,
según la cual, el responsable del tratamiento está obligado a comunicar su sistema de
vigilancia por videocámara a dicho organismo.609
Privacidad de localización (GPS, teléfonos móviles, servicios
basados en la localización, etc.)
El servicio Street View de Google empezó a captar información en 2008 a través de
personas conectadas a sus redes wifi inalámbricas. Según la AEPD, estos hechos
podrían constituir una violación de la Ley Orgánica de Protección de Datos.610 El 16 de
agosto de 2010, un juez inició una investigación a partir de la denuncia de una
asociación de usuarios de Internet (AEPDANICA) según la cual Google habría captado
y almacenado ilegalmente datos de usuarios conectados a redes wifi al hacer fotografías
para su servicio Street View.611
608
APDCM, Instrucción1/2007 de 16 mayo 2007 sobre el tratamiento de datos personales a través de los
sistemas de cámaras o videocámaras en el ámbito de los órganos y administraciones públicas de la
Comunidad de Madrid.
609
El informe debe incluir el número de cámaras utilizadas, si se trata de cámaras fijas o móviles, si están
colocadas a menos de 50 metros de un hospital, iglesia o escuela, así como justificar la proporcionalidad
de su uso.
610
AEPD, "La AEPD abre una investigación a Google por la captación de datos de redes wi-fi en
España",
en
<https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/
100519_NP_GOOGLE_WIFI_WEB.pdf>.
611
AFP, "Spanish Judge Probes Complaint over Google's Street View (Un juez español investiga una
denuncia a Street View de Google)", 16 de agosto de 2010. Véase también, "Spanish DPA Opens
Infringement Procedures for Google Streetview (La AEPD inicia un procedimiento por infracción para
Streetview
de
Google)",
EDRi-gram
–
Número
8.20,
20
octubre
de
2010
<http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View
Faces Citizens' Reservation in EU (Street View de Google se enfrenta la reservas de los ciudadanos de la
UE)",
EDRi-gram
–
Número
8.16,
25
agosto
de
2010,
<http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>;
Fiona
Govan, "Spain Takes on Google over Privacy Violations in Street View (España se enfrenta a Google por
violación de privacidad de Street View)", The Telegraph, 17 de agosto de 2010
<http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>.
177
Privacidad en los viajes (documentación de identidad de viajero,
biometría, etc.) y vigilancia fronteriza
Desde agosto de 2006, todos los pasaportes expedidos en España son electrónicos y
contienen una etiqueta RFID.612 Los ciudadanos de los países adheridos al Programa de
Exención de Visados (todos los países pertenecientes al Espacio Económico Europeo
(Estados miembros de la UE + Noruega, Islandia y Liechtenstein), Suiza, Nueva
Zelanda, Australia y Brunei) deben tener un pasaporte electrónico para viajar a los
Estados Unidos, y todos deben cumplir los mismos requisitos técnicos.613 En 2006, la
Comisión de Libertades e Informática (CLI) y otras asociaciones formularon objeciones
a la adopción de la tecnología RFID en pasaportes y advirtieron de que en algunos
países se ha pirateado este tipo de pasaportes.614
Documento nacional de identidad y tarjetas inteligentes
El 11 de diciembre de 2003, el Parlamento promulgó la Ley sobre la Firma
Electrónica.615 La legislación estableció un DNI electrónico que incluye un certificado
utilizado para generar una firma electrónica.616 Estaba previsto que este nuevo DNI
estuviera totalmente extendido en 2007, pero su implementación todavía está en curso.
Permite la firma electrónica de documentos tanto a personas como a sociedades y tiene
el mismo valor que una firma manuscrita. El gobierno pretende estimular el desarrollo
del comercio electrónico y aumentar la confianza del consumidor en las transacciones a
través de Internet.617 El DNI electrónico incluye dos elementos: un chip con
información relativa a la identidad y la firma electrónica del ciudadano, así como
información biométrica (huella dactilar y fotografía). Varias asociaciones de defensa de
la privacidad han criticado esta ley porque en su opinión obligará a todo el mundo a
tener el nuevo DNI y creará una enorme base de datos con información de los
ciudadanos, que a su vez presentará serios riesgos en materia de seguridad. Han instado
al Gobierno para que se revise el proyecto a fin de garantizar la máxima protección de
la privacidad de los ciudadanos.618 A mediados de febrero de 2006, el Ministerio del
Interior anunció que se habían generado las claves raíz.619 El primer DNI electrónico se
612
Ministerio de Interior, Información sobre trámites / pasaporte / pasaporte electrónico
<http://web.archive.org/web/20080614191030/http://www.mir.es/SGACAVT/pasaport/Pasaporte_electro
nico.html>.
613
Programa
de
exención
de
visados
(Visa
Waiver
Program)
(VWP)
<http://travel.state.gov/visa/temp/without/without_1990.html>.
614
Asociación de Internautas, "La CLI se opone a que se incrusten RFID en el futuro pasaporte
electrónico y, posteriormente, en el DNI electrónico, 7 de marzo de 2006,
<http://www.internautas.org/privacidad/html/3517.html>. Kriptopólis, Pasaporte hacia la inseguridad, 19
de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>.
615
Ley
59/2003,
de
19
de
diciembre,
de
firma
electrónica
<http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/23399>.
616
Para información general ver <http://www.dnielectronico.es>.
617
"La Ley de la firma electrónica entra en vigor," Redes and Telecoms, 12 de diciembre de 2003, en
<http://www.redestelecom.com/Actualidad/Noticias/Comunicaciones/Legislaci%C3%B3n/20031212036
>.
618
"El DNI electrónico se tramitará en España el próximo año," El País, 5 de mayo de 2003.
619
Dirección General de la Policía y de la Guardia Civil, El Ministro del Interior pone en marcha el
sistema de certificación del nuevo DNI electrónico, 16 de febrero de 2006
<http://www.dnielectronico.es/oficina_prensa/noticias/noticia04.html>.
178
expidió el 16 de marzo de 2006,620 y tras un periodo de prueba, se empezaron a expedir
de manera continuada.621 En marzo de 2010, el número de DNIs electrónicos había
aumentado hasta los nueve millones.622 No obstante, de acuerdo con el Instituto
Nacional de Estadística, en octubre de 2009 sólo el 3,4 por ciento de la población había
usado su DNI electrónico para firmar transacciones electrónicas.623
La Comisión de Libertades e Informática (CLI) denunció la falta de debate con respecto
a la introducción prevista del DNI electrónico,624 y advirtió que las medidas que se van
a introducir podrían contravenir derechos fundamentales, tales como los de privacidad y
protección de datos personales.625
Asimismo subrayó que es importante adoptar medidas de seguridad adecuadas para la
introducción de este documento de identidad, ya que puede contener elementos que
permitan acceder a información personal delicada del titular, como ocurre con la raza o
confesión religiosa en el caso de las fotografías. La CLI ha advertido de la posibilidad
de que se incluya información relativa al ADN, y que sería ilegal que el DNI electrónico
contenga información médica, así como convertirlo en un documento multiusos para
acceder a los servicios sanitarios, como sugirió en febrero de 2004 la ex ministra de
Administraciones Públicas Julia García Valdecasas.626
Desde 2009, el gobierno español ha lanzado varias campañas informativas acerca del
DNI electrónico, subrayando los beneficios para los ciudadanos.627 El 3 de noviembre
de 2009, un Real Decreto modificó algunos de los requisitos para obtener los
certificados de firma electrónica para el DNI.628
Etiquetas RFID
En 2006, la CLI y otras asociaciones formularon objeciones a la adopción de la
tecnología RFID en pasaportes y advirtieron que en algunos países se ha pirateado este
tipo de pasaportes.629
620
Dirección General de la Policía y de la Guardia Civil, El Ministro del Interior entrega el primer
ejemplar del nuevo DNI electrónico a una ciudadana de Burgos, 16 de marzo de 2006
<http://www.dnielectronico.es/oficina_prensa/noticias/noticia09.html>.
621
Dirección General de Relaciones Informativas y Sociales, "Comienza la expedición del nuevo DNI
electrónico
en
trece
ciudades
españolas,
5
Júlio
2006
<http://www.mir.es/DGRIS/Notas_Prensa/Policia/2006/np070504.html> (comprobado por última vez en
2007).
622
Asociación de Internautas, "El Uso del DNI electrónico sigue siendo escaso a pesar de haber casi 15
millones
de
documentos
nuevos
expedidos",
29
de
marzo
de
2010
<http://www.internautas.org/html/6078.html>.
623
"Casi diez millones de Españoles tienen DNI electrónico, pero pocos lo usan", Expansión.com, 13 de
abril de 2009, en <http://www.expansion.com/2009/04/13/funcion-publica/1239603801.html>.
624
"El DNI Electrónico no puede incluir datos personales ajenos a la identificación," IBLNEWS, 4 de
octubre de 2004.
625
"La CLI advierte que el contenido del DNI electrónico no puede incluir datos de carácter personal,"
Asociación de Internautas, 20 de mayo de 2005, en <http://www.internautas.org/html/1/2934.html>.
626
Comisión de Libertades e Informática, nota de prensa, 19 de febrero de 2004.
627
<http://www.dnielectronico.es/>.
628
Real
Decreto
1586/2009,
disponible
en
español
en
<http://www.dnielectronico.es/marco_legal/RD_1586_2009.html>.
629
Asociación de Internautas, "La CLI se opone a que se Incrusten RFID en el futuro pasaporte
electrónico y, posteriormente, en el DNI electrónico, 7 de marzo de 2006
<http://www.internautas.org/privacidad/html/3517.html>. Kriptopólis, Pasaporte hacia la inseguridad, 19
de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>.
179
Privacidad Física
No hay novedades en este apartado.
Privacidad en el Lugar de Trabajo
En julio y septiembre de 2007, el Tribunal Supremo resolvió dos casos sobre privacidad
en el lugar de trabajo. En el primero, se pretendía determinar si un empleador podía
controlar el horario laboral de sus empleados utilizando para ello sus huellas digitales, y
el Tribunal consideró que, en aquel caso, sí podía. El segundo caso trataba sobre un
empleador que utilizaba herramientas de supervisión del correo electrónico y de Internet
en el lugar de trabajo. El Tribunal definió Internet y el correo electrónico como "una
herramienta que el empleador proporciona a los empleados para facilitar su trabajo", y
consideró que los empleadores pueden usar herramientas de supervisión, pero sólo si lo
avisan previamente a sus empleados.
El 7 de noviembre de 2005, el Tribunal Constitucional decidió que los sindicatos
pueden enviar correos electrónicos a los trabajadores aunque éstos no estén afiliados a
dichos sindicatos, a fin de informarles de sus actividades. No obstante, los trabajadores
pueden ejercer su derecho a cancelar u oponerse a tales correos. El empleador no está
obligado a instalar un sistema de correo electrónico en su empresa. Sin embargo, si lo
hace, deberá facilitar su uso a los sindicatos, de modo que puedan informar a los
empleados de la empresa de sus actividades.
Privacidad Sanitaria y Genética
Privacidad sanitaria
La CLI, tras cuatro meses de trabajo con el Ministerio de Sanidad y Consumo, apoya la
actual implementación del proyecto de "Historia Clínica Digital del Sistema Nacional
de Salud".
Algunas provincias españolas han implantado la historia clínica electrónica. El
Departamento de Salud y las provincias están trabajando en la implementación de la
receta electrónica.630
La Ley 14/2007 de 3 de julio de 2007 de Investigación Biomédica631 regula muchos
aspectos relacionados con la información genética, como por ejemplo las condiciones
para eliminar la información genética para fines de investigación biomédica. La Ley
Orgánica 7/2006 de 21 de noviembre de 2006632 regula el dopaje: la información debe
comunicarse a las autoridades internacionales en materia de dopaje.633 Si bien la Ley
630
"La Comunidad de Madrid pone en marcha la receta electrónica", estaraldia.es, 19 de febrero de 2007
<http://www.estaraldia.es/actualidad/4794-Comunidad_Madrid_pone_en_marcha_receta_electronica/>.
631
Ley 14/2007, de 3 de julio, de Investigación biomédica, BOE nº 159, de 4 de julio de 2007
<http://www.umh.es/_web_rw/ceie/docs/humanos/Ley%20de%20Investigacion%20Biomedica.pdf>.
632
Ley Orgánica 7/2006, de 21 de noviembre, de protección de la salud y de lucha contra el dopaje en el
deporte. BOE nº 279, de 22 de noviembre de 2006, en <http://www.csd.gob.es/csd/estaticos/depsalud/LDEP10EP.pdf>.
633
Ver artículos 34 a 36.
180
29/2006 del 26 de julio de 2006634 regula el uso razonable de medicamentos, algunas de
sus disposiciones tratan exclusivamente sobre la protección de los datos personales de
los pacientes.
No es necesario el consentimiento del interesado para comunicar los datos personales
necesarios en un sistema de información para la obtención de recetas (en papel o
electrónicas).
Privacidad genética
La Ley 14/2007 del 3 de julio de 2007 de Investigación Biomédica635 regula muchos
aspectos relacionados con la información genética, como por ejemplo las condiciones
para eliminar la información genética para fines de investigación biomédica.
Privacidad Financiera
El 29 de junio de 2006, la AEDP abrió una investigación sobre el caso SWIFT.636
SWIFT, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales
(Society for Worldwide Interbank Financial Telecommunication), gestiona
transferencias electrónicas para bancos a nivel mundial.637 La AEDP investigaba una
comunicación de Privacy International.638 SWIFT había estado develando información
financiera a las autoridades estadounidenses de manera encubierta. Privacy International
denunciaba que dicha actividad estaba sujeta a la Ley de Protección de Datos española,
y que SWIFT gestionaba más de 45 millones de mensajes financieros para más de 140
bancos e instituciones españoles.639 La AEPD se unió posteriormente a otras agencias
europeas de protección de datos para aprobar un dictamen sobre el caso SWIFT del
Grupo de Trabajo del Artículo 29.640 El dictamen concluyó que SWIFT y las
instituciones financieras europeas no respetaron las disposiciones de la Directiva
Europea de Protección de Datos 95/46/EC.641
634
Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios,
BOE
nº
178
de
27
de
julio
de
2006,
en
<http://www.redtercel.com/ficheros/Ley%20del%20Medicamento.%202006..pdf>.
635
Ley 14/2007, de 3 de julio, de Investigación Biomédica, véase supra 113.
636
AEDP, La Agencia Española de Protección de Datos investiga las implicaciones del "caso SWIFT" en
España,
29
de
junio
de
2006
<http://www.agpd.es/upload/Prensa/Nota%20%20informativa_03_07_06.pdf>.
637
Para una información más general, véase <http://www.swift.com/>.
638
Simon Davies, Denuncia: Transmisión de datos personales de SWIFT al gobierno de los Estados
Unidos (Complaint: Transfer of Personal Data from SWIFT to the US Government), 27 de junio de 2006,
<http://www.privacyinternational.org/issues/terrorism/swift/spain.pdf>.
639
Id.
640
AEDP, Las autoridades europeas de protección de datos aprueban una opinión sobre el caso "SWIFT",
28 de diciembre de 2006 <https://www.agpd.es/upload/Prensa/OPINI%D3N%20Swift_28_11_2006.pdf>.
641
Grupo de Trabajo del Artículo 29, Dictamen 10/2006 sobre el procesamiento de datos personales por
la Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 de noviembre de 2006
<http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp128_en.pdf>.
181
Administración Electrónica y Privacidad
La Ley 11/2007 de 22 de junio de 2007 sobre servicios de administración electrónica642
regula la posibilidad de que los ciudadanos no tengan que proporcionar sus datos
personales o documentación más que en formato electrónico. La ley establece que tanto
en la administración nacional, como en las provinciales y municipales, todos los
procedimientos administrativos estén implantados como servicios electrónicos antes del
31 de diciembre de 2009.
La Ley 11/2007 se desarrolla en tres reales decretos: el Real Decreto 1671/2009 de 6 de
noviembre de 2009,643 el Real Decreto 3/2000 de 8 de enero de 2010 por el que se
regula el Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica,644 y el Real Decreto 4/2010 de 8 de enero de 2010, sobre el Esquema
Nacional de Interoperabilidad de los Servicios Electrónicos.645
La APDCM publicó la Recomendación 3/2008 acerca del uso de servicios electrónicos
por parte de instituciones públicas de la Comunidad de Madrid646 (contenido de
políticas de privacidad, uso de la intranet, etc.).
Gobierno Abierto
La Ley 37/2007 de 16 de noviembre de 2007 sobre la Reutilización de la Información
del Sector Público647 regula la posibilidad de reutilizar la información pública pero sin
los datos personales.
Otros Avances Recientes
En mayo de 2008, un documental emitido en Tele5 reveló que muchos de los
expedientes judiciales que las personas confían a las autoridades judiciales españolas y
que contienen información personal delicada (perfiles psicológicos, información
financiera, laboral, médica y penal) no se archivan, transmiten ni se destruyen de
acuerdo con la LOPD. La AEPD declaró que el sistema judicial carece de un conjunto
uniforme de medidas de seguridad y que se trata de un problema extendido en las
642
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, BOE nº
150 de 23 de junio de 2007, en <http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf>.
643
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de
22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en
<http://noticias.juridicas.com/base_datos/Admin/rd1671-2009.html>.
644
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración electrónica, en <http://noticias.juridicas.com/base_datos/Admin/rd32010.html>.
645
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en
el ámbito de la Administración electrónica, BOE nº 25 de 29 enero de 2010, en
<http://noticias.juridicas.com/base_datos/Admin/rd4-2010.html>.
646
Recomendación 3/2008, de 30 de abril, de la Agencia de Protección de Datos de la Comunidad de
Madrid, sobre tratamiento de datos de carácter personal en servicios de administración electrónica (BO.
Comunidad
de
Madrid
11
septiembre
2008,
núm.
217,
[pág.
4]),
en
<http://www.madrid.org/cs/Satellite?c=CM_Orden_BOCM&cid=1142490056672&idBoletin=11424897
93849&idSeccion=1142489793866&language=es&pagename=Boletin%2FComunes%2FPresentacion%2
FBOCM_popUpOrden>.
647
Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, en
<http://noticias.juridicas.com/base_datos/Admin/l37-2007.html>.
182
distintas jurisdicciones españolas. Uno de los problemas que este escándalo ha sacado a
la luz es la imposibilidad de la AEPD de imponer sanción alguna contra la
administración estatal y sus empleados, siendo su única opción la de declarar que existe
un incumplimiento de la LOPD.648
III. Labor de defensa de la privacidad de las
organizaciones no gubernamentales
No hay novedades en este apartado.
IV. Obligaciones internacionales y cooperación
internacional
España ratificó la Declaración Universal de los Derechos Humanos de 1948649 y el 25
de abril de 1977 ratificó el Pacto Internacional sobre Derechos Civiles y Políticos.650
España es miembro del Consejo de Europa (CoE, en inglés) y ha firmado y ratificado el
Convenio para la Protección de las Personas con respecto al tratamiento automatizado
de datos de carácter personal (Convenio número 108).651 Ha firmado y ratificado el
Convenio para la Protección de los Derechos Humanos y de las Libertades
Fundamentales.652 En noviembre de 2001, España firmó el Convenio CoE sobre
Ciberdelincuencia,653 y el 3 de junio de 2010 lo ratificó. Es miembro de la Organización
para la Cooperación y Desarrollo Económicos (OCDE) y ha adoptado las directrices de
dicho organismo para la Protección de la Privacidad y Flujos Transfronterizos de Datos
Personales. También es miembro de la Red Iberoamericana de Protección de Datos.654
648
Mónica C. Belaza, "La indiscreta basura judicial. El hallazgo de papeles de juzgados en la calle
confirma que la Ley de Protección de Datos no se cumple. – La Administración no puede ser
sancionada",
El
País.com,
31
de
mayo
de
2008,
en
<http://www.elpais.com/articulo/sociedad/indiscreta/basura/judicial/elpepusoc/20080531elpepisoc_10/Te
s>; Auditta, "Abren una investigación tras aparecer expedientes judiciales en la basura"
<http://www.proteccion-datos.net/abren-una-investigaciOn-tras-aparecer-expedientes-judiciales-en-labasura.php>.
649
En <http://www.un.org/Overview/rights.html>.
650
Pacto Internacional sobre Derechos Civiles y Políticos, 16 de diciembre de1966, en
<http://www2.ohchr.org/english/bodies/ratification/4.htm>.
651
Firmado el 28 de enero de 1982; ratificado el 31de abril de 1984; entró en vigor el 1 de octubre de
1985.
652
Firmado el 24 de noviembre de 1977; ratificado el 4 de octubre de 1979; entró en vigor el 4 de octubre
de 1979.
653
Firmado el 23 de noviembre de 2001.
654
Red Iberoamericana de Protección de Datos.
Para una información más general, véase
<https://www.agpd.es/portalweb/internacional/red_iberoamericana/index-ides-idphp.php>.
183
184
Reconocimientos
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for
Media and Communications Studies (CMCS), se complacen en presentar la
investigación "Privacidad y Derechos Humanos en Europa" (EPHR) 2010," financiado
por el Programa Especial "Derechos Fundamentales y Ciudadanía" (2007-2013).
EPHR investigó el panorama europeo de las leyes y regulaciones nacionales de
privacidad y protección de datos así como cualquier otra ley o recientes eventos fácticos
con impacto en la privacidad. El ámbito de la investigación engloba específicamente las
jurisdicciones de los 27 Estados Miembros de la Unión Europea, dos países de la
Asociación Europea de Libre Comercio (Noruega y Suiza) y tres países candidatos para
formar parte de la Unión Europea (Croacia, Macedonia, y Turquía). La Unión Europea
como jurisdicción también está siendo tomada en cuenta. La investigación consiste de
33 informes específicos, un vistazo general que presente un análisis político y legal de
los principales tópicos sobre privacidad, y una valoración de privacidad para todos los
países investigados. Dependiendo del informe seleccionado, la información
proporcionada está actualizada al periodo Mayo-Octubre de 2010.
Para obtener información para el EPHR, se les solicitó presentar informes e información
relevante a personas conocedoras provenientes del mundo académico, instituciones
públicas, firmas de abogados, grupos de derechos humanos, y de otros campos. Su
información fue complementada con investigación adicional realizada por el equipo de
investigación del EPHR. El análisis de los informes nacionales y las valoraciones para
cada país son el resultado del trabajo del equipo del EPHR. El EPHR se erigió sobre el
legado de la publicación de EPIC y Privacy International titulada "Privacy & Human
Rights: An International Survey of Privacy Laws and Developments," ("Privacidad y
Derechos Humanos: Una Investigación Internacional sobre Leyes y Eventos vinculados
a la Privacidad"), el cual es la referencia más seria entre aquellas de investigaciones
globales y comparativas sobre regulaciones y eventos sobre privacidad alrededor del
mundo. Por tanto, deseamos agradecer a los siguientes colaboradores de los informes
nacionales:
Expertos Nacionales que Tomaron Parte en el EPHR
2010 al Actualizar los Informes Nacionales y
Proporcionar Información Adicional
Alemania
Werner Hülsmann, Deutsche Vereinigung für Datenschutz & FIfF, Germany, Kristina
Irion, CEU CMCS.
República de Austria
Stefan Mayr, Johannes Kepler University of Linz, Austria.
185
Reino de Bélgica
Fanny Coudert, Brendan Van Alsenoy, Danny De Cock, Els Kindt and Jos Dumortier,
Interdisciplinary Centre for Law and ICT (ICRI) – K.U. Leuven, Belgium; Alexandre
Dulaunoy, Association Electronique Libre, Belgium; Nichole Rustin-Paschal,
Electronic Privacy Information Center, USA, and Cédric Laurant, Center for Media and
Communication Studies, Central European University, Hungary.
República de Bulgaria
Alexander Kashumov, Fani Davidova and Gergana Jouleva, Access to Information
Programme, Bulgaria; Plamen M. Borissov, Borissov & Partners, Bulgaria.
República de Croacia
Ivan Gjurgjan, Gjurgjan & Šribar Radic, Croatia; Jan Klasinc, Institute for Public
Administration - iDEMO (Institute for Democracy), Croatia.
República de Chipre
Nicholas Ktenas and Chrystalla Neophytou, Neocleous & Co LLC, Cyprus.
República Checa
Richard Otevřel, Havel & Holásek, Czech Republic.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights, Denmark; Michael Hopp, Plesner
Law Firm, Denmark.
República Eslovaca
Marian Lauko and Michal Marhefka, Weinhold Legal, Slovak Republic.
República de Eslovenia
Matej Kovačič, University of Ljubljana, Slovenia; Andrej Tomsic, Office of the
Information Commissioner, Slovenia.
Reino de España
Antoni Farriols Sola, Comisión de Libertades e Informática, Spain; Ferran Adell,
Universitat Autònoma de Barcelona, Spain; Javier Sempere, Agencia de Protección de
Datos de la Comunidad de Madrid, Spain.
República de Estonia
Kaupo Lepasepp y Mihkel Miidla, Sorainen AS, Estonia; Viive Näslund, Lepik &
Luhaäär Lawin, Estonia.
República de Finlandia
Ilona Teräkivi, LMR Attorneys Ltd, Finland; Eija Warma, Castrén & Snellman Ltd,
Estonia.
República de Francia
Pascale Gelly y Caroline Doulcet, Cabinet Gelly, France.
186
Grecia
Vagelis Papakonstantinou, PKpartners, Greece; Elena Spiropoulou, Spiropoulou Law
Firm, Greece.
República de Hungría
Ivan Szekely, Open Society Archives at Central European University, Hungary; Máté
SzaBó, Office of the Commissioner for Educational Rights at Ministry of Education,
Hungary; Endre Győző Szabó, Department of Judicial Cooperation and Private
International Law of the Ministry of Public Administration and Justice, Hungary.
República de Irlanda
Rossa McMahon, Patrick G. McMahon Solicitors, Ireland; Thomas McIntyre,
University College Dublin, Ireland.
República de Italia
Marco Calamari, Progetto Winston Smith, Italy; Michele Iaselli, Associazione
Nazionale per la Difesa della Privacy, Italy; Ugo Pagallo, Università degli Studi di
Torino, Italy; Guido Scorza, Instituto per le Politiche dell'Innovazione, Italy.
República de Letonia
Raivo Raudzeps, Sorainen, Latvia; Arturs Kucs, Department of International and
European Law, University of Latvia, Latvia.
República de Lituania
Henrikas Mickevičius, Human Rights Monitoring Institute, Lithuania; Mindaugas
Kiskis, Mykolas Romeris University, Lithuania; Paulius Galubickas, Sorainen,
Lithuania.
Luxemburgo
Olivier Reisch, Linklaters, Belgium; Jan Dhont and Thomas Daenens, Lorenz, Belgium.
Macedonia
Bardhyl Jashari, Filip Stojanovski, Vesna Paunkovska, Nade Naumovska, Elena
Stojanovska and Zoran Gligorov, Metamorphosis Foundation, Macedonia.
Malta
Ian Gauci, Gatt Tufigno Gauci Advocates, Malta; Andrew J. Zammit, Zammit &
Associates, Malta; Jackie Scerri, Zammit & Associates, Malta.
Reino de Noruega
Christine Hafskjold, The Norwegian Board of Technology, Norway; Lee A. Bygrave,
Tobias Mahler and Thomas Olsen, Norwegian Research Center for Computers and
Law, University of Oslo, Norway.
Países Bajos
eLaw@Leiden, Center for Law in the Information Society, Leiden University, The
Netherlands; Wolter Pieters, Faculty of Electrical Engineering, Mathematics and
187
Computer Science, University of Twente, The Netherlands; David Riphagen, The
Netherlands.
Polonia
Andrzej Adamski and Arkadiusz Lach, Nicolas Copernicus University, Poland; Arwid
Mednis Wierzbowski & Wspolnicy, Poland; Katarzyna Szymielewicz, Panoptykon
Foundation, Poland.
República de Portugal
João Luís Traça, Miranda Correia Amendoeira & Associados, Portugal.
Rumania
Ioana Avadani, Centrul pentru Jurnalism Independent, Romania; Bogdan Manolea,
Association for Technology and Internet - APTI, Romania.
Reino de Suecia
Ola Svenonius, Södertörn University, Sweden.
Suiza
Christian Thommen, Grundrechte.ch, Switzerland; Christoph Mueller, University of
Zurich, Switzerland; Heinrich Busch, Switzerland.
Reino Unido
Anna Mazzola, Hickman & Rose, United Kingdom; Daniel Cooper, Mark Young,
Shamma Iqbal and Philip Christofides, Covington & Burling, United Kingdom; Ross
Anderson, Computer Laboratory, Cambridge University, United Kingdom.
República de Turquía
Emre Berk, Bener Law Office, Turkey.
Unión Europea
Gloria González Fuster, Law, Science, Technology & Society (LSTS) at Vrije
Universiteit Brussel, Belgium; Maria Grazia Porcedda, European University Institute,
Italy; Matteo E. Bonfanti, Center for Media and Communication Studies, Central
European University, Hungary.
Expertos Nacionales que Fueron Parte de Anteriores
Ediciones de "Privacy & Human Rights: an
International Survey of Privacy Laws and
Developments" ("Privacidad y Derechos Humanos:
Una Investigación Internacional sobre Leyes y
Eventos vinculados a la Privacidad")
(Países Pertinentes para la Investigación EPHR)
188
Alemania
Ralf Bendrath, Universität Bremen; Herbert Burkert, GMD; Ulrich Dammann,
Bundesbeauftragte für den Datenschutz; Alexander Dix, Commissioner for Data
Protection and Access to Information (Brandenburg); Helmut Heil, Bundesbeauftragte
für den Datenschutz; Gerrit Hornung, Projektgruppe verfassungsverträgliche
Technikgestaltung, University of Kassel; Kristina Irion, Electronic Privacy Information
Center; Detlef Nogala, Max-Planck-Institut; Fereniki Panagopoulou, Humboldt
University; Jan Schallaböck, Unabhaengiges Landeszentrum fuer Datenschutz
Schleswig-Holstein (ULD), Independent Centre for Privacy Protection SchleswigHolstein (ICPP); Christian Schröder, Freshfields Bruckhaus Deringer; Christoph
Sobotta, University of Frankfurt.
República de Austria
Axel Horns, FITUG e.V. (Förderverein Informationstechnik und Gesellschaft); Albert
Koellner, Andreas Krisch, Peter Kuhm, VIBE!AT (Verein für Internet-Benutzer
Österreichs); Dieter Kronegger, Arge Daten; Georg Lechner, Österreichische
Datenschutzkommission; Erich Moechel, Quintessenz; Astrid Paiser, Freshfields
Bruckhaus Deringer; Bettina Stomper, Quintessenz.
Reino de Bélgica
Jacques Berleur, Facultés Universitaires Notre-Dame de la Paix; Alexandre Dulaunoy,
Association Electronique Libre; Jos Dumortier, Interdisciplinary Centre for Law & ICT
(ICRI), Katholieke Universiteit Leuven; Bénédicte Havelange, Anne-Christine Lacoste,
An Machtens and Hugues Parasie, Commission de la protection de la vie privée/
Commissie voor de Bescherming van de persoonlijke levenssfeer; Pierre-Emmanuel
Laurant, Elsewhere Entertainment; Yves Poullet and Karen Rosier, Centre de
Recherches Informatique et Droit.
República de Bulgaria
Fany Davidova, Marina Karakonova and Alexander Kashumov, Access to Information
Programme; Veni Markovski and Dragoslava Pefeva, Internet Society Bulgaria; Nelly
Ognyanova, Bulgarian Institute for Legal Development.
República de Chipre
Michalis Kitromilides, Office of the Personal Data Protection Commissioner.
República Checa
Pavel Cerny, Environmental Law Service (EPS); Karel Neuwirt, Ivan Procházka and
Hana Stepankova, Office for Personal Data Protection; Helena Svatosova, Iuridicum
Remedium; Ondrej Veis, Charles University.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights; Mads Bryde Andersen,
University of Copenhagen; Kira Kolby Christensen and Charlotte Edholm Petersen,
Datatilsynet; Bo Elkjaer; Tina Fugl, Danish Data Protection Agency; Rikke Frank
Joergensen and Per Helge Sørensen, Digital Rights Denmark.
189
República de Eslovaquia
Zuzana Babicová and Daniel Valentovic, Office for Personal Data Protection; Andrej
D. Bartosiewicz, Association for Support of Local Democracy; Pavol Husar,
Commissioner for the Protection of Personal Data in Information Systems; Natalia
Krajcovicova, Inspection Unit for the Protection of Personal Data; Vladimir Pirosik,
Environmental Lobbying Facility; Peter Wilfling, Citizen and Democracy Association.
República de Eslovenia
Joze Bogataj, Data Protection Inspectorate; Sonja Bien Karlovšek and Andrej Tomšič,
Information Commissioner; Matej Kovacic and Vasja Vehovar, University of Ljubljana.
Reino de España
Rafael Fernández Calvo, Commission for Liberties and Informatics; David Casacuberta,
Computer Professionals for Social Responsibility-Spain (CPSR-Spain); Pedro Dubie,
AEDIP; Emilio Aced Félez, Agencia de Protección de Datos; Miguel Angel Garcia,
MAG (Estudios de Consumo); Eva Sanchez Guerrero, Open University of Catalonia;
Beatriz Iglesias, Computer Professionals for Social Responsibility-Perú(CPSR-Perú);
Yasha Maccanico, Statewatch; Piñar-Mañas and Mercedes Ortuño, Agencia Española
de Protección de Datos; Arturo Quirantes, University of Granada and Computer
Professionals for Social Responsibility-Spain.
República de Estonia
Triinu Jaaksoo and Maarja Kirss, Data Protection Inspectorate; Kaidi Oone, Estonian
State Chancellery, Department of State Information Systems; Toivo Übi, Andmekaitse
Inspektsioon.
República de Finlandia
Reijo Aarnio and Maija Kleemola, Office of Data Protection Ombudsman; Joel
Jaakkola; Jorma Kuopus, Office of the Parliamentary Ombudsman; Ville Oksanen and
Mikko Valimaki, Electronic Frontier Finland.
República de Francia
Anne Carblanc, Organization for Economic Cooperation and Development; Maria
Farrell, International Chamber of Commerce; Marie Georges, Commission Nationale
Informatique et Libertés (CNIL); Jean-Marc Manach, Journalist; Meryem Marzouki,
Imaginons un Réseau Internet Solidaire; Jérôme Thorel, Advisory Board, Privacy
International.
Grecia
Panageas Christos, City College; Amalia Logiaki, Greek Data Protection Authority;
Nikolaos K. Papadopoulos, Technological Educational Institute of Serres; Vagelis
Papakonstantinou, PK Partners.
República de Hungría
Zsolt György Balogh, University of Pécs; Bela Csiszer, Budapest University of
Technology and Economics; Ádám Földes, Hungarian Civil Liberties Union; Gabor
Freidler and Nóra Horváth, Office of the Parliamentary Commissioner for Data
Protection and Freedom of Information; Zoltan Galantai, Budapest University of
190
Technology and Economics; László Majtényi, Hungarian Information and Privacy
Commissioner; Attila Péterfalvi, Commissioner for Data Protection and Freedom of
Information; Máté Dániel Szabó, Eötvös Károly Policy Institute; Iván Székely, OSA
Archivum and Budapest University of Technology and Economics.
República de Irlanda
Ronnie Downes, Irish Data Protection Agency; Aileen Harrington and Joe Meade,
Office of the Data Protection Commissioner; TJ McIntyre, University College Dublin,
Digital Rights Ireland; Mícheál O Dowd; Antoin O'Lachtnain, Digital Rights Ireland;
Elizabeth Jane Walsh, University College Cork.
República de Italia
Marco Calamari, Progetto Winston Smith; Andrea Glorioso; Alessandro Monteleone;
Andrea Monti, Studio Legale Monti.
República de Letonia
Linda Austere, Center for Public Policy "PROVIDUS"; Aiga Balode, Data State
Inspection; Anita Kovalevska, Latvian National Human Rights Office; Signe Plumina,
State Data Inspection.
República de Lituania
Ona Jakstaite, Barbara Jurgeleviciene, Neringa Kaktavičiūtė and Vaida Linartaite, State
Data Protection Inspectorate; Mindaugas Kiskis, Law University of Lithuania; Asta
Radvilaite and Jolanta Samuolyte, Human Rights Monitoring Institute; Simonas Toliu,
Law University of Lithuania; Laura Sukelyte, EU Phare Programme Twinning Project
on Personal Data Protection.
Macedonia
Dance Danailovska, Open Society Institute; Bardhyl Jashari and Filip Stojanovski,
Foundation Metamorphosis; Neda Korunovska, Foundation Open Society Institute;
Marijana Marushic, Zoran Pandev, Vesna Paunkoska and Biljana Volceska, Directorate
for Personal Data Protection.
Malta
Ian Deguara, Data Protection Commissioner's Office.
Reino de Noruega
Lee Bygrave, Institutt for rettsinformatikk (Norwegian Research Centre for Computers
and Law) and Faculty of Law, University of Oslo; Gunnel Helmers, Data Inspectorate
of Norway.
Países Bajos
S. Artz and Diana Alonso Blas and Anne-Marije Fontein, College Bescherming
Persoonsgegevens; Jan Holvast, Holvast & Partners; Sjoera Nas, Bits of Freedom;
Maurice Wessling, Bits of Freedom and European Digital Rights.
191
Polonia
Andrzej Adamski, Nicolas Copernicus University; Sybilla Graczyk, Association of
Polish Consumers; Igor Kowalewski, Dorota Rowicka, Justyna Seweryoska and Alina
Szymczak, The Bureau of the Inspector General for Personal Data Protection; Ewa
Kulesza, Inspector General for Personal Data Protection; Arwid Mednis, partner
Wierzbowski Eversheds.
República de Portugal
Clara Guerra, National Data Protection Commission; João Miguel Neves.
Reino Unido
Yaman Akdeniz, (previously from) University of Leeds; David Banisar, Article 19; Ian
Brown, Oxford Internet Institute; David Clancy, Information Commissioner's Office;
Maurice Frankel, Campaign for Freedom of Information; Alex Hamilton, Liberty;
Eduardo Ustarán, Berwin Leighton Paisner.
Rumania
Virgil Cristian Cristea, Institution of the Romanian People's Advocate; Valeriu
Guguianu, Ministry of Public Information; Bogdan Manolea, Association for
Technology and Internet (APTI); Ioan Muraru, Avocatul Poporului.
Reino de Suecia
Alberto Escudero-Pascual, Royal Institute of Technology; Elisabeth Wallin, The Data
Inspection Board.
Suiza
Heiner Busch; Christoph Mueller, University of Zurich; Felix Rauch, Swiss Internet
User Group; Dag Wiese Schartum, Eliane Schmid, Federal Data Protection
Commissioner’s Office; Kosmas Tsiraktsopulos, Swiss Data Protection Commission.
República de Turquía
Nilgün Basalp and Nurcan Kaya, Istanbul Bilgi University.
Unión Europea
Kristina Irion, Center for Media and Communication Studies, Central European
University.
Equipo de Privacidad y Derechos en Europa
Privacy International, Londres (Reino Unido)
•
•
•
•
Simon Davies, Director
Gus Hosein, Deputy Director
Alexander Hanff, Communications Project Leader
Eric King
192
• George Morgan
• Wendy M. Grossman
Center for Media and Communication Studies, Central European
University, Budapest (Hungría)
•
•
•
•
Kristina Irion, Research Director
Matteo E. Bonfanti, Research Fellow
Cédric Laurant, Senior Research Fellow
Sarah Pipes, summer intern
Electronic Privacy Information Center, Washington D.C.
• Marc Rotenberg, Executive Director and President
193
194
Anexo: Fuentes sobre
privacidad
NOTICIAS SOBRE PRIVACIDAD
Noticias e Informes sobre Privacidad
• BNA Privacy & Security Law Report:
http://www.bna.com/products/corplaw/pvln.htm.
• BNA Privacy Law Watch: http://www.bna.com/products/ip/pwdm.htm.
• Privacy Law & Business: http://www.privacylaws.com.
• EDRI-Gram: http://www.edri.org/edrigram.
• Privacy and Information Security Blog Law (Hunton & Williams). This blog will help
you to find the primary source of the news. http://www.huntonprivacyblog.com/.
• Baker McKenzie, Privacy Law Resources:
http://www.bmck.com/ecommerce/homeprivacy.htm.
• Baker McKenzie, Security Law Resources:
http://www.bmck.com/ecommerce/homesecurity.htm
• Privacy Exchange: http://www.privacyexchange.org/
• Panopticon: http://www.panopticonblog.com/2011/01/05/scottish-governmentissuedprivacy-guidance/
Periódicos Informativos
• BNA newsletter: http://ecommercecenter.bna.com;
• Baker & McKenzie newsletter: http://www.bmck.com/elaw/register.asp;
• EDRi newsletter (mostly covers European countries): http://www.edri.org/
• EDPS Newsletter:
http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/Newsletters
FUENTES INSTITUCIONALES
Comisionados Europeos de Privacidad
• Alemania
http://www.bfdi.bund.de/cln_136/Vorschaltseite_DE_node.html
• Antigua Yugoslavia República de Macedonia
e-mail: [email protected]
195
• Austria
Büro der Datenschutzkommission und des Datenschutzrates: http://www.dsk.gv.at
• Autoridades de Protección de Datos de Europa Central y Oriental
http://www.ceecprivacy.org
• Bélgica
Commission de la Protection de la vie privée: http://www.privacy.fgov.be/
• Bulgaria
Commission for Personal Data Protection: http://www.cpdp.bg
• Chipre
http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/index_gr/index_gr?
OpenDocument
• Croacia
http://www.azop.hr/default.asp
• Dinamarca
http://www.datatilsynet.dk/
• Eslovenia
http://www.ip-rs.si/
• España
https://www.agpd.es/portalwebAGPD/index-ides-idphp.php
• Estonia
http://www.aki.ee/est/
• Finlandia
http://www.tietosuoja.fi/
• Francia
http://www.cnil.fr/
• Grecia
http://www.dpa.gr/home_eng.htm
• Hungría
http://abiweb.obh.hu/abi/
• Irlanda
http://www.dataprivacy.ie/
196
• Islandia
http://www.personuvernd.is/
• Italia
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp
• Letonia
http://www.dvi.gov.lv/
• Liechtenstein
http://www.dss.llv.li/
• Lituania
http://www.ada.lt/
• Luxemburgo
http://www.cnpd.public.lu/fr/index.html
• Malta
http://www.dataprotection.gov.mt/
• Noruega
http://www.datatilsynet.no/
• Países Bajos
http://www.dutchdpa.nl/
• Polonia
http://www.giodo.gov.pl/168/j/pl/
• Portugal
http://www.cnpd.pt/index.asp
• República Checa
http://www.uoou.cz/uoou.aspx
• República de Eslovaquia
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92
• Rumania
http://www.dataprotection.ro/
• Suecia
http://www.datainspektionen.se/
197
• Suiza
http://www.edoeb.admin.ch/
• Reino Unido
http://www.ico.gov.uk/
Organizaciones Intergubernamentales y de Cooperación
Internacional
Unión Europea
• Comisión Europea, Dirección General de Justicia, Protección de Datos
http://ec.europa.eu/justice/data-protection/index_es.htm
•
Supervisor
Europeo
de
Protección
de
Datos
http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=es
• Grupo de Trabajo del Artículo 29 sobre Protección de Datos
http://ec.europa.eu/justice/data-protection/article-29/index_en.htm
• Agencia Europea de Seguridad de las Redes y de la Información
http://www.enisa.europa.eu/
• Agencia de Derechos Fundamentales de la Unión Europea, Artículo 7 y 8
http://infoportal.fra.europa.eu/InfoPortal/infobaseShowContent.do?btnCat_202&btnCou
ntryBread_169
Consejo de Europa
• Protección de Datos: http://www.coe.int/dataprotection
OCDE
• Tecnologías de la Información y de las Comunicaciones (general)
http://www.oecd.org/topic/0,3373,en_2649_37441_1_1_1_1_37441,00.html
• Guías de la OCDE sobre Protección de la Privacidad y de Flujos Transfronterizos de
Datos Personales
http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html
• Directrices para la Seguridad de Sistemas y Redes de Información
http://www.oecd.org/document/42/0,2340,en_2649_34255_15582250_1_1_1_1,00.html
APEC
• Electronic Commerce Steering Group
http://www.apec.org/Groups/Committee-on-Trade-and-Investment/ElectronicCommerce-Steering-Group.aspx
Naciones Unidas
• Principios Rectores Sobre la Reglamentación de los Ficheros Computarizados de
Datos Personales, Adoptada por la Asamblea General Resolución 45/95 del 14
198
Diciembre de 1990
http://www.unhcr.org/refworld/publisher,UNGA,THEMGUIDE,,3ddcafaac,0.html
• Comité de Derechos Humanos
http://www2.ohchr.org/english/bodies/hrc/index.htm
• Comité de Derechos Humanos, Comentario General n. 16
http://www.unhchr.ch/tbs/doc.nsf/(Symbol)/23378a8724595410c12563ed004aeecd?Op
endocument
• UNCTAD, Serie de Informes de Información Económica
http://www.unctad.org/templates/Page.asp?intItemID=3594&lang=1
Organización Mundial del Comercio
• http://www.wto.org/english/tratop_e/serv_e/gatsqa_e.htm
• http://www.wto.org/english/tratop_e/serv_e/_derived/sourcecontrol_gats_factfiction10
_e.htm
Cámara de Comercio Internacional
• E-Negocios, TI y Telecomunicaciones
http://www.iccwbo.org/policy/ebitt/
Grupo de Trabajo Internacional sobre Protección de Datos en
Telecomunicaciones
http://www.datenschutz-berlin.de/content/europa-international/international-workinggroup-on-data-protection-in-telecommunications-iwgdpt
Organizaciones No Gubernamentales
• EPIC: http://epic.org/
• Virtual Privacy Office: http://www.datenschutz.de/
• Association for Progressive Communications' European Civil Society Internet Rights
Project: http://europe.rights.apc.org/
Informes de Derechos Humanos
• Human Rights Watch, Informe Mundial Annual:
http://www.hrw.org/en/publications/reports
• Amnesty International Informe Anual: http://www.amnesty.org/
• Departamento del Estado de los Estados Unidos de América, Informes Nacionales
sobre Derechos Humanos, sección (f) sobre Interferencia Arbitraria de la Privacidad, la
Familia, el Hogar, o la Correspondencia: http://www.state.gov/g/drl/rls/hrrpt/index.htm
Fuentes de privacidad adicionales de países específicos
199
Alemania
Virtual Privacy Office (online portal)
http://www.datenschutz.de/privo/
Chaos Computer Club
http://ccc.de/ (in German)
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (Forum
for Peace and Social Responsibility),
http://www.fiff.de/
FoeBuD
http://www.foebud.org/
Friends of Information Technology and Society
http://www.fitug.de/
Independent Centre for Privacy Protection (in German)
http://www.datenschutzzentrum.de
Austria
Austrian Association for Internet Users (NGO)
http://www.vibe.at
Austrian Society for Privacy and Data Protection (NGO)
http://www2.argedaten.at/php/cms_monitor.php?q=AD-NEWS-LAST
Quintessenz
http://www.quintessenz.org/
Arge Daten
http://www.argedaten.at/php/cms_monitor.php?q=PUBTEXTARGEDATEN&s=15048tpb
Bélgica
Droit-Technologie (online portal of legal information: news, legislation, case law, law
review articles and theses)
http://www.droit-technologie.org/
Research Center for Computer and Law (Centre de Recherche Informatique et Droit)
http://www.fundp.ac.be/droit/crid/
The Interdisciplinary Centre for Law and ICT (ICRI) – K.U.Leuven
http://www.icri.be
Net Users' Rights Protection Association
200
http://www.nurpa.be/
Bulgaria
Access to Information Programme (NGO)
http://www.aip-bg.org/index_eng.htm
Internet Rights Bulgaria Foundation (NGO)
http://www.irbf.ngo-bg.org/en
Internet Society Bulgaria
http://www.isoc.bg/index_en.html
Croacia
CEEC: Data Protection in the Republic of Croatia
http://www.ceecprivacy.org/main.php?s=2&k=croatia
Dinamarca
Privacy Forum, arising from Danish Industry's Privacy Task Force
http://www.privacyforum.dk/
Digital Rights
http://www.digitalrights.dk/
IT-Political Association
http://www.itpol.dk/
Eslovaquia
CEEC: Data Protection in the Slovak Republic
http://www.ceecprivacy.org/main.php?s=2&k=slovakia
Eslovenia
Slovenian Human Rights Ombudsman
http://www.varuh-rs.si/cgi/teksti-eng.cgi/Index?vsebina=/cgi/teksti-eng.cgi%3Fpozdrav
España
Revista Datos Personales
http://www.datospersonales.org
201
Estonia
Estonian Informatics Centre
http://www.ria.ee/atp/eng/index.html?id=712
Estonian National ID Cards
http://support.sk.ee/
CEEC: Data Protection in the Republic of Estonia
http://www.ceecprivacy.org/main.php?s=2&k=estonia
Finlandia
Protection of Privacy in Working Life, Ministry of Labour (Jan 2010)
http://www.mol.fi/mol/en/03_labourlegislation/03_privacy/index.jsp
Electronic Frontier Finland (NGO)
http://www.effi.org/index.en.html?tmplang=en
FINLEX (English translations of Finnish acts)
http://www.finlex.fi/en/
Francia
Juriscom.net (online portal of legal news)
http://www.juriscom.net
Legalis.net (online portal of legal news)
http://www.legalis.net/
Droit-Tic
http://www.droit-ntic.com/
IRIS (NGO)
http://www.iris.sgdg.org/
Grecia
The Hellenic Authority for Communication Security and Privacy (ADAE)
http://www.adae.gr/portal/index.php?id=1&L=1
Hungría
Hungarian Civil Liberties Union (NGO)
202
http://tasz.hu/
Eötvös Károly Policy Institute
http://www.ekint.org/ekint/ekint_angol.head.page?nodeid=27
Parliamentary Commissioner's Office of Hungary
http://www.obh.hu/
CEEC: Report on Data Protection Commissioner – Hungary
http://www.ceecprivacy.org/main.php?s=2&k=hungary
Irlanda
Irish Internet Association (industry organization)
http://www.iia.ie/
Irish Council for Civil Liberties
http://www.iccl.ie/
Italia
Associazione Nazionale per la Difesa della Privacy
http://difesaprivacy.blogspot.com/
Electronic Frontiers Italy (NGO)
http://www.alcei.it/
Privacy.it
http://www.privacy.it/
Anopticon
http://tramaci.org/anopticon/
Digital Thoughts (blog addressing ICT law with emphasis on Italy)
http://blog.andreamonti.eu/
Letonia
CEEC: Data Protection in the Republic of Latvia
http://www.ceecprivacy.org/main.php?s=2&k=latvia
Human Rights in Latvia
http://www.humanrights.lv/
Lituania
203
Human Rights Monitoring Institute - Lithuania
http://www.hrmi.lt/
Luxemburgo
Internet Society Luxembourg
http://www.isoc.lu/
Macedonia
Metamorphosis Foundation
http://www.metamorphosis.org.mk/
CEEC: The Office for Personal Data Protection
http://www.ceecprivacy.org/main.php?s=2&k=macedonia
Malta
Chetcuti Cauchi Advocates (law firm data protection unit)
http://www.cc-advocates.com/data-protection/unit.htm
Noruega
Electronic Frontier Norway
http://efn.no/
The Norwegian Board of Technology
http://www.teknologiradet.no/FullStory.aspx?m=5
Países Bajos
Bits of Freedom (NGO)
http://www.bof.nl/index_uk.html
Privacy.pagina.nl (online portal)
http://privacy.pagina.nl/
Polonia
CEEC: Data Protection in Poland
http://www.ceecprivacy.org/main.php?s=2&k=poland
Inspector General for the Protection of Personal Data
204
http://www.giodo.gov.pl/138/j/en/
Privacy Protection in Data Communication Systems (government produced guide)
http://techinfo.giodo.gov.pl/index-en.html
Panoptycon Foundation
http://www.panoptykon.org/
República Checa
Czech News Agency (CTK)
http://www.ctk.eu/
Prague Post
http://www.praguepost.cz/
Iuridicum Remedium
http://www.iure.org/
Big Brother Awards CR
http://www.bigbrotherawards.cz/en/english/home-eng
Rumania
Association for the Defence of Human Rights in Romania (NGO)
http://www.apador.org/indexe.htm
Romanian People's Advocate Institution Ombudsman
http://www.avp.ro/indexen.html
Centrul pentru Jurnalism Independent
http://www.cji.ro/
Suecia
Matthias Klang, Country Report—Sweden, APC European Internet Rights Project
http://europe.rights.apc.org/c_rpt/sweden.html
Suiza
Directory of compiled Federal laws and regulations (decrees)
http://www.admin.ch/ch/d/sr/sr.html (in German, French and Italian)
Directory of decisions of the Swiss Federal Court (Bundesgericht)
http://www.polyreg.ch/##
205
Swiss "Big Brother Awards"
http://www.bigbrotherawards.ch
Swiss Federal Government and Administration
http://www.admin.ch
Turquía
Publications of Dr. Yaman Akdeniz
http://www.cyber-rights.org/yamancv.htm
Reino Unido
Campaign for Freedom of Information (NGO)
http://www.cfoi.org.uk/
Foundation for Information Policy (NGO)
http://www.fipr.org/
Privacy International (NGO)
http://www.privacyinternational.org
Privacy Laws and Business (NGO)
http://www.privacylaws.co.uk/
Statewatch (NGO)
http://www.statewatch.org
206