XXXII CONGRESO DE DERECHO COMERCIAL. 25 AÑOS DE LA CONSTITUCIÓN, LA DINÁMICA DEL MERCADO, LAS SOCIEDADES, LOS NEGOCIOS Y EL MARCO CONSTITUCIONAL. - SLIDEPPTX.COM

XXXII CONGRESO DE DERECHO COMERCIAL. 25 AÑOS DE LA CONSTITUCIÓN, LA DINÁMICA DEL MERCADO, LAS SOCIEDADES, LOS NEGOCIOS Y EL MARCO CONSTITUCIONAL.

1 XXXII CONGRESO DE DERECHO COMERCIAL. 25 AÑOS DE LA CONS...

Author: Juan Luis Duarte Murillo

0 downloads 0 Views

1 XXXII CONGRESO DE DERECHO COMERCIAL. 25 AÑOS DE LA CONSTITUCIÓN, LA DINÁMICA DEL MERCADO, LAS SOCIEDADES, LOS NEGOCIOS Y EL MARCO CONSTITUCIONAL

2 Protección de Datos Personales 3 ideas para el debate Medellín, Octubre 2016 Juan Carlos Upegui

3 3 ideas a partir de 3 preguntas 1. ¿Protección de datos frente a quién? Una cuestión política 2. ¿Qué modelo de protección de datos? Una cuestión regulatoria 3. ¿Hasta dónde protección de datos? Una cuestión técnico-jurídica

4 Punto de partida de las 3 ideas. Ubicación del tema 25 años después a. Tecnologías de la información b. Saturación constitucional c. Influencia del Derecho Europeo

5 a. Tecnologías de la información han impactado prácticamente TODOS los negocios. Manejo (eficiente) de archivos de personal, de clientes y de proveedores. Servicios específicos ligados al tratamiento de información personal (financieros, seguridad, mercadeo, buscadores, redes sociales, etc) Manejo de información personal en un mundo hiperconectado. El Internet de las cosas

6

7

8 Contrastar con los temores de 1991

9 T-414 de 1992 Pionera (Sobre el “poder informático”) “la posibilidad de acumular informaciones en cantidad ilimitada, de confrontarlas y agregarlas entre sí, de hacerle un seguimiento en una memoria indefectible, de objetivizarlas y transmitirlas como mercancía en forma de cintas, rollos o discos magnéticos, por ejemplo, permite un nuevo poder de dominio social sobe el individuo, el denominado poder informático. ”

10 T-414 de 1992 Pionera (Sobre el avance de las nuevas tecnologías) “estudios realizados por la Embajada de los Estados Unidos para estimar el potencial del mercado de los computadores en nuestro país prospectado hacia el año de 1993, indican claramente que en cinco años la adquisición de equipos pasó de 482 a 3.827 con una marcada tendencia al crecimiento en la demanda de microcomputadores.”

11 b. Saturación constitucional *Reconocimiento de los derechos CAR *Activismo judicial de la Corte Constitucional. Introducción de los “principios de la administración de información personal” (T-309 de 1999 y T-729 de 2002). Ampliación del habeas data (conocer, actualizar, rectificar + incluir, suprimir, certificar) A 2016 más de 300 sentencias en la materia. *Aprobación de dos leyes estatutarias. LE 1266 de 2008 (HD financiero) y LE 1581 de 2012 (HD General) y de varios reglamentos impulsados por la SIC.

12

13 ¿Aprobación de las leyes Estatutarias desconstitucionalizó los debates? Casos se resuelven con aplicación de la ley. Indigestión normativa y de precedentes. Proliferación de temas técnicos (incidentes de seguridad, responsabilidad demostrada, privacidad por diseño) Fuga hacia las ingenierías.

14

15 c. Influencia del Derecho Europeo El nivel adecuado de protección de la Directiva 95/46 como requisito para la transferencia internacional de datos. La reforma europea 2016. El nuevo reglamento general de protección de datos (2016/679), y la nueva directiva para la protección de datos de carácter policial y judicial (2016/680). Tres casos del Tribunal de Justicia Europeo. Google inc, Digital Ireland ltd y Schrems

16

17 1. ¿Protección de datos frente a: el Estado y/o los particulares? 1.1.Historia europea ¿tránsito o paradoja? 1.2. Distopía y ciencia ficción (Orwell, Asimov) 1.3.¿Un mismo rasero? 1.4.La “privacidad” ¿derecho o servicio?

18 1.1. Historia europea ¿tránsito o paradoja? 1970. La sombra del totalitarismo. Inspiración original de las leyes de protección de datos. La ley de Hesse de 1970. Origen del nombre. 1980. La sentencia del Tribunal Constitucional alemán sobre el censo 1990. La directiva 95/46 sin muro de Berlín. El nuevo lenguaje de la integración comercial. 2010 Tres sentencias (clave) del Tribunal Europeo. La indiscutible importancia del sector privado.

19 Directiva 95/46 del P y del C. El mercado interior como centro de gravedad Considerando 5 El fortalecimiento del mercado interior supone el aumento de flujo de datos personales entre particulares y autoridades estatales. Considerando 8. “Un “objetivo esencial “del mercado interior es que el nivel de protección de datos personales sea equivalente en todos los Estados.

20 Tribunal de Justicia Europeo Tres casos. Google 2014, Ireland Rights 2014 y Schrems 2015. (Todos sobre tratamiento de datos en el sector privado) Ireland Rights ltd. Validez de la Directiva 2006/24/CE sobre retención de datos de tráfico y localización por parte de empresas de telecomunicaciones. Posibilidad de acceso limitado por parte de autoridades estatales para persecución del delito y lucha contra el terrorismo. Restringe desproporcionadamente los derecho a la vida privada y a la protección de datos personales, de la Carta de los DF de la UE. Puente entre sector privado y sector público.

21 Ireland Rights ltd 2 casos acumulados. Uno cuestiona el registro de datos de un teléfono celular del que es titular. Otro cuestiona la acumulación masiva de datos sobre personas sobre las cuales no se justifica tal medida. Prejudicialidad en los casos internos. “27 Estos datos [de tráfico], considerados en su conjunto, pueden permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los medios sociales que frecuentan.”

22 Ireland Rights ltd 37 “…la circunstancia de que la conservación de los datos y su posterior utilización se efectúen sin que el abonado o el usuario registrado hayan sido informados de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante…”

23 Ireland Rights ltd “58 la Directiva 2006/24 afecta con carácter global a todas las personas que utilizan servicios de comunicaciones electrónicas, sin que las personas cuyos datos se conservan se encuentren, ni siquiera indirectamente, en una situación que pueda dar lugar a acciones penales. (…) Además, no establece ninguna excepción, por lo que se aplica también a personas cuyas comunicaciones están sujetas al secreto profesional con arreglo a las normas de la legislación nacional.…”

24 1.2. Distopías y ciencia ficción Centralidad del Estado. El influjo de los totalitarismos. Irrelevancia de los privados vs rompimiento de la lógica de la igualdad por la acumulación de capital (en sentido amplio)

25

26

27 Distopía (El totalitarismo) Orwell. 1984 (extractos del libro prohibido “Teoría y práctica del colectivismo oligárquico” Winston y Julia lo leen en secreto) “Todo miembro del Partido vive, desde su nacimiento hasta su muerte, vigilado por la Policía del Pensamiento. Incluso cuando está solo no puede tener la seguridad de hallarse efectivamente solo. Dondequiera que esté, dormido o despierto, trabajando o descansando, en el baño o en la cama puede ser inspeccionado sin previo aviso y sin que él sepa que lo inspeccionan. Nada de lo que hace es indiferente para la Policía del Pensamiento.” p. 117

28

29

30 Ciencia Ficción Asimov. “Los límites de la fundación” -A menos que hayan colocado un hiperrelé a bordo. El hiperrelé envía una señal a través del hiperespacio, una señal característica de esta nave, y las autoridades de Términus saben dónde estamos en todo momento. (...) -Pero Golan, ¿acaso no necesitamos la protección de la Fundación? -Sí, pero no siempre. Usted ha dicho que el avance de la civilización significaba la continua restricción de la intimidad. Bueno, yo no quiero estar tan avanzado. Quiero libertad para moverme a mi antojo sin ser detectado, a menos que quisiera protección. De modo que me sentiría mejor, mucho mejor, si no hubiera un hiperrelé a bordo.” p. 64

31 ¿Por qué en las historias de ciencia ficción, en distopías las amenazas a la vida privada provienen del Estado? ¿Ha sido la Internet imaginada y recreada por la ciencia ficción o por las utopías o distopías? ¿En un escenario de proliferación de negocios y de actores privados qué significa proteger la vida privada?

32 1.3. ¿Un mismo rasero para el manejo de datos en los sectores público y privado? Caso de México. Leyes diferentes para el gobierno federal y para los particulares. Diferencias con el principio de libertad y consentimiento. Diferencias en los mecanismos de supervisión (sanciones, son sensiblemente más altas en el caso del sector privado) Caso Europeo. Reforma 2016, se expide una Directiva aparte para regular la información personal relativa a justicia y seguridad. Identidad de principios, pero regulación especial

33 ¿Un mismo rasero…y el caso colombiano? Ley 1581 de 2012 sombrilla. La autoridad de control está orientada por su estirpe, a la regulación del sector privado. Aspectos estratégicos son objeto de regulación aparte (Inteligencia y contrainteligencia, censos) ¿Deberían proliferar leyes especiales? LE 1266 de 2008 (Habeas Data financiero, con autoridad de control específica) (Sugerencia de la Sentencia C-748 de 2011, en relación con bases de datos periodísticos, Sentencia SU- 458 de 2012, en relación con bases de datos sobre antecedentes penales) Ventajas de las leyes especiales

34 1.4 Privacidad servicio o derecho Las políticas de privacidad como ventaja competitiva. El modelo de la autoregulación. Privacy by design. La tecnología amigable con la privacidad. Configuraciones estandar de privacidad en servicios de internet y redes sociales. El derecho a la intimidad. ¿Y la dimensión subjetiva? ¿Qué queda del habeas data, o de la autodeterminación informática?

35

36 2. ¿Qué modelo de protección de datos? 2.1.Los modelos. Europeo, Norteamericano, Latinoamericano. 2.2. La autoridad independiente de control. 2.3. Elementos del debate Internacional. Caso Schrems. El caso del RNBD

37 2.1. Modelos “dominantes” Modelo Europeo: énfasis en la hiper-regulación con autoridades independientes y centralizadas de supervisión. Modelo EEUU: regulación para el sector público federal, leyes especiales. Auto-regulación en el sector privado. No centralización. América Latina: Habeas data y trasplante del modelo Europeo.

38

39 2.2. La autoridad independiente de control Necesidad (Privacidad como valor social y como derecho individual) Ubicación institucional (¿órgano constitucional autónomo?) Rol Institucional (Policía administrativa, ombudsman, órgano cuasijudicial) Costo presupuestal (INAI México US$50millones)

40 2.3. Debate Internacional. El caso Schrems Solicitud de protección a la autoridad de control en Irlanda en un caso contra Facebook. M. Schrems solicitaba conocer y retomar el control de la info sobre su persona que había sido publicada en la red social. La autoridad de control alega incompetencia por extraterritorialidad y por la existencia del acuerdo Puerto Seguro. El Tribunal afirma la competencia de la autoridad y declara la invalidez del puerto seguro.

41

42 caso Schrems “41 (…) The establishment in Member States of independent supervisory authorities is therefore (…) an essential component of the protection of individuals with regard to the processing of personal data.” “95 (…) legislation not providing for any possibility for an individual to pursue legal remedies in order to have access to personal data relating to him, or to obtain the rectification or erasure of such data, does not respect the essence of the fundamental right to effective judicial protection.”

43 caso Schrems (Resolutivo 1) “A decision adopted pursuant to that provision, such as Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46 on the adequacy of (…) safe harbour privacy principles (…) does not prevent a supervisory authority of a Member State (…) from examining the claim of a person concerning the protection of his rights and freedoms in regard to the processing of personal data relating to him which has been transferred from a Member State to that third country when that person contends that the law and practices in force in the third country do not ensure an adequate level of protection.”

44 Efectos del caso Schrems Fortalecimiento de las autoridades locales de protección de datos en el contexto europeo. Extensión extraterritorial de la protección de datos. Tensión internacional. Obligación de renegociar el acuerdo de puerto seguro.

45 El caso del proyecto de ley sobre trasferencia internacional de datos

46 Artículo 1. Objeto. La presente ley tiene las siguientes finalidades: (1) Proteger a las personas respecto del indebido tratamiento de sus datos personales por parte de Responsables o Encargados que no residan ni estén domiciliados en el territorio de la República de Colombia y (2) Permitir que las autoridades colombianas puedan adelantar investigaciones o cualquier gestión, de oficio o a petición de parte, con miras a exigir el respeto del derecho fundamental al habeas data y a la protección de los datos personales que sean tratados por personas ubicadas o domiciliadas fuera del territorio de la República de Colombia.

47

48 2.3. El caso de la RNBD Una de los ejes más importantes de la política pública en la materia por parte de la SIC. Obliga a todo encargado de una BD a registrarla. Términos diferenciales para inscritos en CC y para personas naturales. Vencimiento inicial 9 noviembre 2016. Obligación contenida en el art. 25 Ley 1581 inspirada en el modelo europeo. Considerada innecesaria y costosa en términos administrativos durante los debates del Reglamento Europeo que culminaron en abril 2016.

49 El caso de la RNBD. Comunicado de prensa de la Comisión Europea 15 dic 2015 “La reforma de la protección de datos puede estimular el crecimiento económico al reducir los costes y la burocracia para las empresas (…) las PYME se beneficiarán de cuatro reducciones de cargas administrativas: No más notificaciones: las notificaciones a las autoridades de control son una formalidad que supone un coste para las empresas de 130 millones EUR anuales. La reforma las eliminará por completo.” (http://europa.eu/rapid/press-release_IP-15- 6321_es.htm)

50 El caso de la RNBD ¿Qué hacer? Paradoja. Obligación legal, aunque inspirada en el modelo europeo. Los europeos la eliminan. ¿Qué la justifica? Herramienta de la autoridad supervisora. Operación del SISI (sistema integral de supervisión inteligente basado en riesgos) Medidas de Seguridad-Incidentes de seguridad. Transparencia frente al titular de los datos. Costo-Beneficio

51 3. ¿Protección de datos hasta donde? 3.1 La definición de tratamiento. Tratamiento in genere vs. Tratamiento estructurado 3.2. El caso Google inc. 3.3. Límites del ámbito regulatorio de la protección de datos. Los otros derechos.

52 3.1. El concepto de tratamiento de datos personales “Tratamiento in genere” Artículo 2, b, D 95/46. «tratamiento de datos personales» : cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción; Artículo 3, g, Ley 1581 de 2012. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

53 El concepto de tratamiento de datos personales “Tratamiento estructurado” Sören Öman “aquellas actividades de tratamiento que hayan sido diseñadas para facilitar el conocimiento y la comunicación de datos personales” (Protection of Personal Data: But How?)

54 El concepto de tratamiento de datos personales “Tratamiento estructurado” Sentencia SU-458 de 2012” 5. [E]l derecho al habeas data opera en el contexto determinado de la administración de bases de datos personales. Por tanto, su ejercicio es imposible jurídicamente en relación con información personal que no esté contenida en una base o banco de datos, o con información que no sea de carácter personal. Estos presupuestos han permitido que esta Corte descarte la invocación del habeas data por ejemplo para proteger información personal que conste en distintos soportes, no organizados en una base de datos o en un fichero.”

55 POSTULADO según JC Upegui SIEMPRE QUE SE VERIFIQUE LA EXISTENCIA DE UNA BASE DE DATOS (BD) DE DATOS PERSONALES (DP) DEBE APLICARSE EL RÉGIMEN JURÍDICO DEL HABEAS DATA

56 3.2 El caso Google inc El diario Vanguardia de Barcelona publica por orden judicial un edicto donde se anuncia el remate judicial de un bien de Costeja. Costeja adelanta un proceso ante la AEPD para obligar a Google inc a desindexar la información, (derecho de oposición y principio de utilidad del dato). La AEPD le da la razón y ordena a Google a proceder. Google demanda en la jurisdicción española. La Corte local eleva el caso en trámite prejudicial al Tribunal Europeo. El Tribunal le da la razón a la AEPD y a Costeja.

57

58 El caso Google inc La definición de tratamiento, incluye la actividad de los motores de búsqueda. “[L]a actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido [del artículo 2, letra b) de la D 95/46], cuando esa información contiene datos personales” Resolutivo 1.

59 Efectos del caso Google inc Crea una versión del llamado derecho al olvido en la Internet, que es reconocido en el nuevo reglamento de PD Europeo. Confirma y ensancha la definición de tratamiento para incluir los procesos de indexación de contenidos en Internet Afecta el gobierno y la neutralidad de Internet. (Le otorga a Google el poder de censura de contenidos en la red, vía legislación comunitaria de DP –ya existía en materia de derechos de autor y protección a la niñez)

60 3.3. Los límites de la protección de datos personales ¿Debe aplicar la protección de datos personales a archivos estatales a archivos de prensa? En todo caso, ¿cuando estos archivos estén disponsibles en Internet?

61

62 3.3.1. Protección de datos personales aplicada a archivos estatales La “colisión” con el derecho de acceso a la información pública. La dicotomía público- privado. Excesos. (caso mexicano) Por regla general, todo dato personal contenido en documentos públicos debe ser resguardado. LFAIPG art. 18 Principio de confidencialidad.

63 Protección de datos personales aplicada a archivos estatales Colombia. No hay claridad sobre el tema. LAIP Ley 1712 de 2014. Solo permite la reserva de información personal, si se demuestra, con prueba de daño, la afectación de los derechos a la intimidad, la vida, la salud o la integridad de las personas. Decreto 108 de 2015. Parece extender la protección de confidencialidad a los datos personales, semiprivados, privados e íntimos. Jurisp Constitucional. Sentencia T-020-14 (sentencia CSJ) Sentencia T-848- (acceso a expediente de víctima)

64 Protección de datos personales aplicada a archivos estatales Sentencia T-020-14. (2-1) Ordena editar una sentencia de la CSJ publicada en la página web de la entidad, y suprimir el nombre de una exfiscal que había sido condenada por delitos de falsedad y fraude procesal. La BD de la CSJ no puede utilizarse como un medio alternativo para la consulta de antecedentes penales. La información es “semiprivada” (condena cumplida en 2007: debe aplicarse el régimen del habeas data)

65 3.3.2 Protección de datos personales aplicada a archivos de prensa La “colisión” con la libertad de expresión y el derecho a la información. Editor de contenidos en Internet como sujeto responsable de los principios del tratamiento de información personal.

66

67 Protección de datos personales aplicada a archivos de prensa Ley 1581 de 2012. Exclusiones. Art. 2 esta ley no se aplicará “(…) d) A las bases de datos y archivos de información periodística y otros contenidos editoriales” Parag. “Los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo”

68 2 casos contra El Tiempo.com

69 a. Sentencia T-040-13 Martínez le pide a El Tiempo (on line) y a Google Colombia, la supresión de su nombre contenido en el texto de una nota periodística publicada en la versión física del Diario El Tiempo en el año de 1997, y disponible en la Internet. Su nombre aparece junto a otras 28 personas, contra quienes se libró entonces orden de captura. El titular de la noticia es (era) “Los hombres de la mafia en los Llanos.”

70 b. Sentencia T-277-15 (2-1) “Gloria” le pide a El Tiempo (on line) y a Google Colombia, la supresión de su nombre contenido en el texto de una nota periodística disponible en la Internet. Su nombre aparece junto a otras personas, que fueron capturadas por el delito de trata de personas. Gloria trabajaba como agente de viajes y al parecer había expedido los tiquetes aéreos de unas personas que sufrieron trata de personas.

71 ¿Estos casos deberían ser protegidos mediante la regulación de protección de datos personales?.

72 Razones por el NO Aceptación del concepto de Tratamiento de datos estructurado. No se verifican criterios de organización de la BD (cronológico, temático, género, etc.) según el art. 3 de la ley 1581 BD: “conjunto organizado de datos personales que es objeto de tratamiento” Porque los DP no son el objeto de la BD (carácter incidental de los DP) Porque permite fijar fronteras regulatorias entre los derechos a la libertad de expresión, al acceso a la información pública y a la protección de datos personales.

73 Razones por el SI Aceptación del concepto de Tratamiento de datos in genere (aplicada a INTERNET) Los motores de búsqueda convierten la red (de hecho) en una Base de Datos Personales. Si permite construir perfiles individuales Si facilita la minería de datos personales, pero No tiene un administrador (Internet es por definición descentralizada) No obedece a un principio organizador

74

75 Insistir en el NO El concepto de tratamiento estructurado de datos es importante para los repositorios de información que no son accesibles vía internet. El tratamiento de información personal a partir de motores de búsqueda en Internet debe regularse por NUEVOS criterios. Al tratarse de bases de datos no estructuradas (producidas por la técnica de indexación y siempre ad hoc) no aplica el principio de finalidad del tratamiento, central en todo régimen de protección de datos.

76 Insistir en el NO El “derecho al olvido en Internet” no obedece al principio de irrelevancia del dato según una finalidad. Porque tal finalidad no existe, y porque, en aras del derecho a la información en Internet, en principio toda información es valiosa. Si la aparición de información personal, vía indexación, afecta derechos, puede ser razonable hablar de un derecho a la desindexación. Llamar las cosas por su nombre facilita las cosas. En todo caso, debe ser quien controla la información (el editor de la información) y los jueces locales, no el intermediario de Internet, el llamados a resolver el asunto.

77 Conclusiones sobre las tres grandes ideas

78

79 1. Política a.La Protección de Datos debe especializarse según el sector regulado: el Estado y el mercado (lo público-lo privado). b.Las categorías jurídicas en principio no deben ser las mismas. c.¿Qué valor respalda el derecho a la protección de datos? ¿Cuál concepto de privacidad subyacente? opción por la privacidad como servicio, buena práctica comercial, valor social agregado o como derecho subjetivo.

80 2. Regulatoria (Policy). a.¿Es el modelo europeo una fatalidad? Razones pragmáticas, comerciales, ideológicas. b.Qué podríamos hacer en ese “margen de maniobra de mínimos”. ¿Enfocar la protección al sector privado? ¿Insistir en herramientas de control consideradas necesarias antes y hoy costosas e inútiles como el Registro Nacional de Bases de datos? ¿Abogar por una competencia extraterritorial con buenas razones teóricas pero sin mayores justificaciones empíricas?

81 3. Técnica Jurídica a.Fijar límites a la protección de datos personales es necesario como decisión política, pero solo puede resolverse desde la técnica jurídica. b.El concepto de tratamiento estructurado de datos, ofrece algunas ventajas: Aclara las relaciones con los derechos de acceso a la información pública y libertad de información, basilares en los régimenes democráticos. Evita excesos regulatorios que puedan afectar la eficiencia de las administraciones públicas y la neutralidad de la Internet.

82