MR Consultores Jornadas de Capacitación y Actualización Tributaria Octubre 2011 Dr. Mariano Aron www.mrconsultores.com.ar Introducción a la problemática de la protección de datos personales Protección de la Privacidad Qué, porqué y para qué La tecnología 1970-2011 •1970 Intel lanza el chip de memoria RAM con más de 1000 bits de información. •1971 IBM crea el primer microprocesador •1972 Se inventa el Compact Disc •1975 fundación de Microsoft •1976 Creación de Apple •1979 Se diseñc el primer software con hoja de cálculo para PCs •1982 Se comercializa la Commodore 64 •1983 Microsoft lanza de Windows •1984 Se lanza el Floppy Disk La tecnología 1970-2011 • • • • • • • • • • • • 1985 Se registra el primer dominio de internet 1991 La World Wide Web es lanzada al público 1994 Lanzamiento de Netscape 1995 Nacen Yahoo, Internet Explorer y Hotmail 1996 Nace Google 1998 Sony cre el primer Memory Stick 1999 Se lanza la primer Blackberry 2001 Nace Wikipedia 2004 Nace Facebook 2005 Nace Youtube 2006 Se crea la primera versión de Twitter 2007 Apple lanza el iPhone Telemática y bancos de datos Una Nueva Realidad la Telemática es la fusión de la telecomunicación con la informática. Esto permite el estudio, diseño, gestión y aplicación de las redes y servicios de comunicaciones, para el transporte, almacenamiento y procesado de cualquier tipo de información (datos, voz, vídeo, etc.), incluyendo el análisis y diseño de tecnologías y sistemas de conmutación. La Telemática aplicada al tratamiento de datos implica: La dimensión del usuario, que procesa la información La dimensión de señalización y control, donde se distribuye y procesa la información de control de cada sistema La dimensión de gestión, donde se distribuye y procesa la información, se obtienen resultados, y se interactúa con los operadores de la red. Una Nueva Realidad Los Archivos, registros, bases o bancos de datos: Indistintamente, designan al conjunto organizado de datos personales objeto de tratamiento, cualquiera sea la modalidad o forma de su recolección, almacenamiento, organización o acceso, incluyendo tanto los automatizados como los manuales. Es una actividad riesgosa por su capacidad de divulgación, de carácter silencioso y masivo, que puede afectar los derechos del titular. Un Nuevo derecho La Protección de Datos Personales Surge de la dignidad del hombre y la necesidad básica de controlar la actividad informativa a través de la informática-telemática, en ejercicio de un instinto de protección del medio tecnológico que lo circunda, bajo la denominación de “derecho a controlar la información personal” o “autodeterminación informativa” (también denominado: habeas data, libertad informática o informativa), con el carácter de derecho humano fundamental. Desarrollos a nivel mundial 1974 Ley Norteamericana (Privacy Act) 1977 Ley Federal Alemana 1978 Ley Francesa 1978 Ley Federal de Austria 1978 Ley de Noruega 1978 Constitución Española 1984 Ley Inglesa (Data Protection Act) 1984 Directiva europea de protección de datos 95/46 AMÉRICA LATINA Incorporación Constitucional del habeas data, protección de la intimidad o derecho a la información Guatemala (1985) Nicaragua (1987) Brasil (1988) Colombia (1991) Paraguay (1992) Perú (1993) Argentina (1994) Ecuador (1996/98) Venezuela (1999) Bolivia (2004) La reforma constitucional de 1994 El derecho a la protección de datos queda reconocido a través de la instauración de la garantía conocida como Habeas Data (art. 43 de la CN: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos". ESCENARIO JURIDICO DE LA PROTECCION DE DATOS PERSONALES CONSTITUCION NACIONAL LEY Nº 25.326 DECRETO 1558/2001 DISPOSICIONES DNPDP REGULACIONES LOCALES Normativa : objetivos Proteger los Datos personales en los conflictos ante nuevas tecnologías Asegurar el Derecho a la Información (transmitir, captar, manejar, registrar, conservar, comunicar datos personales) Velar por el Derecho a la intimidad, el honor, la identidad y de todo otro interés esencial para la vida del individuo asegurar la Autodeterminación Informativa (facultad de cada individuo de decidir cuando y como esta dispuesto a difundir su información personal) Reglamentación de la actividad de los Bancos de Datos y la Acción de Habeas Data Ley 25.326 de Protección de Datos Personales: Alcance la ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información en virtud de lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional (art.1) Las disposiciones de la ley no sólo se aplican a los datos relativos a las personas físicas, sino también, a los relativos a las personas de existencia ideal. La Ley distingue dos tipos de bancos de datos: los públicos y los privados. Los bancos privados sobre los que se puede ejercer la acción de habeas data son aquellos cuya finalidad es proveer informes. Esto se pensó porque si el alcance fuese amplio se invadiría la esfera propia de la intimidad de los particulares o de las organizaciones civiles que deseen estructurar un "archivo personal" para su exclusivo uso, sin que nadie tenga derecho sobre los datos allí contenidos. Si los datos alojados en los registros o bancos privados adquieren la finalidad de informar a terceros, entonces sí surge el derecho de los titulares de los datos en ellos registrados de acceder a la información que les concierne. A pesar de esta distinción queda claro que la finalidad de todo banco de datos es la de ser utilizado, y que sus titulares son potenciales suministradores de información a terceros. ¿Qué sucederá entonces con la información registrada en archivos, registros o bancos de datos particulares que no tienen una finalidad informativa pero que luego se difunde? Que los bancos de datos privados que no tengan como finalidad brindar informes no hayan sido incluidos en los artículos 1 de la Ley y 43 de la Constitución, no significa que estén exentos de respetar los principios de la Ley (finalidad, utilización no abusiva, exactitud, legalidad, publicidad, seguridad, control, consentimiento y defensa de los datos sensibles.) Existen bancos de datos privados que no tienen como finalidad suministrar informes a terceros, pero que recolectan información personal que puede resultar discriminatoria en perjuicio de sus titulares. Basta mencionar, a modo de ejemplo, a los que mantienen las empresas con los datos de sus empleados; a los que administran las empresas aseguradoras con relación a sus asegurados; y a las historias clínicas confeccionadas por los establecimientos de salud, entre muchos otros. Y no puede admitirse que los derechos de las personas sean vulnerados por el sólo hecho de estar sus datos personales registrados en un banco de datos que no está destinado a dar informes. En definitiva, Todos los bancos de datos privados, excepto aquellos que han sido formados por particulares para su exclusivo uso personal, están alcanzados por las diversas disposiciones de la Ley. Si bien por la trascendencia de sus finalidades, algunos cuentan con regulacion normativa especia, todos deben cumplir con el deber mínimo de respeto a los principios generales de protección de los datos personales. Por ello, además de los enumerados en el artículo 1, respecto de los cuales podrán ejercerse los derechos de acceso, rectificacion, actualización, cancelación y supresión, deben inscribirse en el Registro nacional de bases de datos, todos aquellas bases de datos que no tengan fines exclusivamente personales, estén destinados o no a proveer informes a terceros. De allí que pueda concluirse sólo se excluye del ámbito de aplicación de la Ley, a aquellos bancos de datos particulares, tales como las agendas personales o las listas de télefonos y direcciones, que cualquier persona puede tener para su uso personal. Esta exclusión se justifica porque lo contrario supondria claramente una intromision ilegitima en la intimidad de las personas. La autoridad de aplicación de la ley: regulación y control Marco Legal Organo de Control DNPDP – Ministerio de Justicia Registro Nacional de Bases de Datos Poder Judicial Acción de Hábeas Data REGISTRO DE BASES DE DATOS •Una base sólo es lícita si está inscripta. •Registrar es declarar en forma de declaración jurada qué bases de datos se tiene y para qué se usa la información. •De este modo la autoridad de control y la comunidad en general pueden ejercer sus derechos ante las bases de datos. ¿Qué se declara de estas bases? Finalidades, tipos de datos, origen y modos de recolección de los datos, tiempo de conservación de los datos, posibilidades de cesión, estructura del banco de datos un procedimiento para que los titulares de los datos ejerzan sus derechos ¿Qué implica inscribirse en el Registro Nacional de Bases de Datos? Cumplir con la Ley N° 25.326. Confianza con los clientes Mayor competitividad, estándares de privacidad. Protección Normativa. Mediación. Evitar conflictos judiciales la protección de los datos personales en el sector crediticio, financiero, de salud, telecomunicaciones y de marketing directo Las Buenas Prácticas a nivel interno Contar con Bases Legales (Registradas) Capacitar a nuestros Recursos Humanos Respetar los circuitos de data flow Firmar convenios de confidencialidad Las Buenas Prácticas a nivel externo Otorgar derechos de acceso, supresión o actualización Compartir información solamente con responsables registrados Actualizar medidas de seguridad