Anexo 11.1 Duodécimo Informe 2014

Anuncio
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
INFORME DE LA PRESIDENCIA DE ACTIVIDADES
DE LA RED IBEROAMERICANA DE PROTECCIÓN DE
DATOS
Período 2013 – 2014
ÍNDICE
I. PRESENTACIÓN
II. ACTIVIDADES DE LA RIPD 2013-2014







Taller Impulso al desarrollo normativo de la protección de datos
personales en Centroamérica y el Caribe
Taller internacional sobre protección de datos personales en El Salvador
Seminario La privacidad en el ámbito de las tecnologías de la salud. La
Historia Clínica Electrónica
Impulso de la cooperación entre la Organización de Estados Americanos
(OEA) y la RIPD
Representación de la RIPD en foros internacionales: 36° Conferencia
Internacional de Autoridades de Protección de Datos y Privacidad
(Balaclava, Mauricio, 13-16 de octubre) y XIV Conferencia
Iberoamericana de Ministras y Ministros de Salud, (Veracruz, 27 de
octubre)
Inscripción de la RIPD en el Registro de Redes Iberoamericanas de la
Conferencia Iberoamericana
Actividad de capacitación en el marco del Convenio General de
Colaboración entre la AEPD y el IFAI
III. NOVEDADES EN LOS PAÍSES MIEMBROS

Sentencia del Tribunal de Justicia de la Unión Europea del 13 de mayo

Cambios legislativos en la región
IV. CONCLUSIONES
Página 1 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
I.
PRESENTACIÓN
La Red Iberoamericana de Protección de Datos (RIPD) se estableció en junio de 2003 como parte
de los acuerdos del Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La
Antigua, Guatemala, en el cual participaron representantes de 14 países. A doce años de
existencia, la Red se ha convertido en un foro regional de referencia en materia de protección de
datos. Organismos y entidades públicas de 22 países iberoamericanos son miembros u
observadores de la Red, y esta mantiene el espíritu incluyente que le dio vida, al involucrar en sus
actividades a organizaciones de los sectores público y privado, académicos y sociedad civil.
Desde su creación, el objetivo central de la RIPD ha sido impulsar la elaboración y adopción de
leyes que garanticen el derecho a la protección de datos y privacidad en los países de la región. Su
contribución en favor del desarrollo normativo en materia de protección de datos personales y la
cooperación internacional entre Autoridades ha definido una nueva etapa en la defensa de este
derecho fundamental de tercera generación.
Esto es particularmente importante frente a los avances que han tenido las tecnologías de la
información y comunicación. El desarrollo tecnológico beneficia a los ciudadanos en sus vidas
diarias, y tiene efectos significativos en la economía de los países al fortalecer sectores como el
comercio electrónico, lo cual contribuye al bienestar de las sociedades. No obstante, el desarrollo
tecnológico trae consigo desafíos para la privacidad y la protección de datos que no deben
soslayarse, y que pueden enfrentarse efectivamente con una acción colectiva de los países. El
creciente número de incidentes en contra de la protección de los datos y la privacidad a nivel
internacional confirma el papel que tiene la cooperación para la aplicación y cumplimiento de las
leyes de protección de datos.
Las autoridades garantes están obligadas a diseñar e implementar mecanismos novedosos que
contribuyan a asegurar el cumplimiento de las leyes de protección de datos, garantizando que la
información de las personas sea tratada de manera apropiada. De ahí que resulte necesario que la
Red se plantee una visión estratégica para los siguientes años con el propósito de proponer ideas
innovadoras para enfrentar estos retos.
El año 2014 será recordado como un parteaguas en materia de protección de datos en el mundo
Página 2 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
en general, y en Iberoamérica en particular, por múltiples razones. En mayo, el Tribunal de Justicia
de la Unión Europea (TJUE) dio a conocer una sentencia relacionada con el derecho al olvido. La
Agencia Española de Protección de Datos (AEPD) presentó este caso en marzo de 2012 derivado
de reclamaciones de ciudadanos que solicitaban amparo frente a la empresa Google debido a que
ésta se negaba a aceptar sus demandas de no difundir su información personal en su motor de
búsqueda. En opinión de los solicitantes, esta información carecía de relevancia pública y su
divulgación les causaba un daño personal. El TJUE estableció que la actividad de los motores de
búsqueda constituye un tratamiento de datos; que este tratamiento está sometido a las normas
de protección de datos de la Unión Europea; y que las personas tienen derecho a solicitar al motor
de búsqueda la eliminación de referencias que les afectan. Las implicaciones de esta decisión aún
tiene un camino importante que recorrer, y los países iberoamericanos pueden contribuir a su
análisis.
2014 ha sido también un año que ha presenciado importantes cambios normativos e
institucionales en los países miembros. México realizó cambios en su Constitución para reforzar
los derechos fundamentales de acceso a la información y de protección de datos personales, lo
cual ha derivado en un Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)
renovado. Chile, Honduras y El Salvador se encuentran por adoptar normativas específicas de
protección de datos. Estos cambios se agregan a los recientemente producidos en Colombia, Perú,
República Dominicana y Costa Rica. En este proceso, la Red ha jugado un papel muy importante
como un instrumento de acompañamiento a las modificaciones de los marcos normativos.
El objetivo de este informe es presentar las actividades de la Red Iberoamericana de Protección de
Datos (RIPD) en el período octubre de 2013 a octubre de 2014. El IFAI, en su calidad de autoridad
de protección de datos en México, preside este foro iberoamericano desde 2010. En 2012 fue
reelegido para un periodo de dos años, culminando este período en noviembre de 2014 en el
marco del XII Encuentro Iberoamericano de Protección de Datos.
II.
ACTIVIDADES DE LA RIPD
El Reglamento de la RIPD, revisado y aprobado en el XI Encuentro, celebrado en Cartagena de
Indias, Colombia, del 15 al 17 de octubre de 2013, establece los objetivos de la Red. Estos son:
Página 3 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
a) Promover la cooperación, el diálogo y el uso compartido de la información para el desarrollo
de iniciativas y políticas de protección de datos.
b) Promover políticas, tecnologías y metodologías que permitan garantizar el derecho
fundamental a la protección de datos personales.
c) Brindar asistencia técnica y transferencia de conocimientos tecnológicos a los miembros que
así lo soliciten.
d) Promover acuerdos con instituciones públicas o privadas que permitan el desarrollo y
ejecución de proyectos de interés mutuo.
e) Promover la edición y publicación de documentos de trabajo y de obras que permitan difundir
y dar a conocer los resultados obtenidos en el desarrollo de sus actividades.
f) Participar en foros internacionales.
g) Dar transparencia y difusión universal a todas las actividades de la RIPD.
h) Promover programas de capacitación entre sus miembros, así como la información a los
ciudadanos sobre el uso y destino de sus datos personales, y de los derechos que pueden
ejercer frente al manejo que se haga de los mismos
Con base en estos objetivos, en el período octubre 2013-noviembre 2014, la Presidencia (IFAI) y la
Secretaría Permanente (AEPD) continuaron con la promoción y el fortalecimiento del derecho de
protección de datos en la región, impulsando y consolidando el intercambio de información y la
colaboración entre los miembros. Al respecto se realizaron las siguientes actividades, las cuales
forman parte de Plan de Trabajo 2013-2014 adoptado en la Sesión Cerrada del XI Encuentro1:
Taller Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y
el Caribe
El taller se realizó en el Centro de Formación de la Cooperación Española de La Antigua,
Guatemala, del 11 al 14 de febrero de 2014. Su objetivo fue intercambiar buenas prácticas entre
las Autoridades de Protección de Datos y otras instituciones públicas con el propósito de impulsar
legislaciones de protección de datos personales en Centroamérica y el Caribe. En el marco del
taller la Presidencia de la RIPD celebró una reunión con el Director de Derecho Internacional de la
1
El Plan de Trabajo puede consultarse en el Informe de la Presidencia de la RIPD 2012-2013 en:
http://www.redipd.org/actividades/encuentros/XI/common/Informe_Presidencia_RIPD_2012_2013.pdf
Página 4 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
OEA y el Relator Especial del Comité Jurídico Interamericano para discutir sobre los avances de la
Ley Modelo.
El Taller se enmarcó en el programa de formación y capacitación de la RIPD, como parte de las
acciones de apoyo técnico a los miembros que aún no cuentan con legislación y autoridad propia
en materia de protección de datos personales.
Taller internacional sobre protección de datos personales en El Salvador
Este se realizó el 6 y 7 de octubre de 2014 en San Salvador, El Salvador. Fue organizado por el
Centro de Educación a Distancia para el Desarrollo Económico y Tecnológico (CEDDET),
organización dedicada a la cooperación para el desarrollo y socio operador del programa
EUROsociAL, y por el Instituto de Acceso a la Información Pública de El Salvador.
El objetivo del taller fue conocer las mejores prácticas en materia de protección de datos para
elaborar un manual de directrices y lineamientos operativos para el conjunto de la administración
salvadoreña. Contó con representantes de las autoridades garantes de España, México, Perú y
Costa Rica, países miembros de la RIPD. La contribución de la Red Iberoamericana de Protección
de Datos al desarrollo normativo fue reconocida por los participantes del taller.
Seminario La Privacidad en el ámbito de las tecnologías de la salud. La Historia Clínica
Electrónica
Este seminario se realizó del 21 al 24 de octubre en Santa Cruz de la Sierra, Bolivia. Su propósito
fue intercambiar buenas prácticas entre los sistemas nacionales de salud, las autoridades de
protección de datos y el sector privado para diseñar iniciativas legislativas que faciliten la
integración de la normativa general de protección de datos personales y las regulaciones
sectoriales en materia de salud, contribuyendo a incrementar los niveles asistenciales de los países
iberoamericanos, la interoperabilidad de los sistemas de salud y la disponibilidad de la información
sanitaria, garantizando el respeto a los derechos de los pacientes, y en particular al derecho a la
protección de sus datos de salud.
Impulso de la cooperación entre la OEA y la RIPD
Página 5 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
En abril de 2013 la OEA se unió a la RIPD como Observador, quedando formalizada esta adhesión
durante el XI EIPD. Con esta incorporación a la Red, se fortalecen la cooperación entre ambas
instancias para el desarrollo de principios de protección de datos y la redacción de una Ley Modelo
en la materia.
Como se mencionó anteriormente, en el marco del taller Impulso al desarrollo normativo de la
protección de datos personales en Centroamérica y el Caribe, la Presidencia y la OEA refrendaron
el compromiso de continuar impulsando el proyecto de Ley Modelo y otros programas que
permitan fortalecer el ejercicio del derecho de protección de los datos personales en los países del
hemisferio.
En agosto de 2014, la Comisionada Presidenta del IFAI se reunió con el Director del Departamento
de Derecho Internacional de la OEA para discutir los temas de trabajo entre la RIPD y la OEA, en
particular, la creación de un grupo de trabajo para la elaboración de la Ley Modelo Interamericana
de Protección de Datos. Ambos acordaron buscar dotar al grupo de trabajo con un mandato
específico, como sería el de “apoyar al Relator en la elaboración de la Ley Modelo”. En esta
reunión se propuso incluir este tema en la sesión cerrada del XII Encuentro.
En el XII EIPD, la OEA estuvo representada por la abogada principal del Departamento de Derecho
Internacional, quien expuso en el panel titulado “La Experiencia de las Autoridades de Protección
de Datos en Iberoamérica. El Impulso Normativo a través de una Ley Modelo de la OEA”.
Representación de la RIPD en foros internacionales

36° Conferencia Internacional de Autoridades de Protección de Datos y Privacidad
(CIAPDP)
La 36° CIAPDP tuvo lugar del 13 al 16 de octubre en la Isla de Mauricio. La aportación de la Red,
por conducto del IFAI, consistió en la traducción al español de la “Declaración de Mauricio” y de
tres resoluciones que se aprobaron en la Sesión Cerrada de la Conferencia2. Asimismo, se entregó
la traducción al español del Acuerdo de Cooperación Transfronteriza para Hacer cumplir la ley en
2
Las versiones en español pueden ser consultadas en el siguiente vínculo
http://www.privacyconference2014.org/en/about-the-conference/resolutions.aspx
Página 6 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
materia de protección de datos y privacidad (Global Cross Border Enforcement Cooperation
Arrangement), que incluye un conjunto de reglas comunes que las autoridades se comprometerían
a asumir al llevar a cabo investigaciones internacionales en casos de violaciones a la privacidad.
Sobre el particular, la Presidencia de la RIPD invita a los países miembros a analizar la suscripción
de este instrumento de colaboración internacional.

XIV Conferencia Iberoamericana de Ministras y Ministros de Salud, Veracruz, 27 de
octubre
La reunión forma parte de los encuentros sectoriales preparatorios de la XXIV Cumbre
Iberoamericana de Jefes de Estados y de Gobierno, la cual se celebrará en México en diciembre de
2014. En esta reunión, la Presidencia presentó el trabajo de la RIPD, e informó sobre los resultados
del Seminario La Privacidad en el ámbito de las tecnologías de la salud. La Historia Clínica
Electrónica, realizado del 21 al 24 de octubre en Santa Cruz de la Sierra, Bolivia.
Inscripción de la RIPD en el Registro de Redes Iberoamericanas de la Conferencia
Iberoamericana
El 17 de marzo, el entonces Secretario General Iberoamericano, Sr. Enrique V. Iglesias, envió una
comunicación a la Presidencia informando sobre la inscripción de la RIPD en el Registro de Redes
Iberoamericanas. Los objetivos del Registro son:
• Fortalecer el trabajo de las instancias que realizan acciones en el ámbito iberoamericano.
• Promover la articulación de las múltiples redes de ámbito iberoamericano.
• Impulsar la visibilidad de las redes iberoamericanas y de las organizaciones que las
constituyen.
• Favorecer el trabajo de las redes con los programas, proyectos e iniciativas de cooperación
iberoamericana.
• Difundir en la Conferencia Iberoamericana las iniciativas de dichas redes.
La incorporación de la RIPD al Registro contribuirá a dar más visibilidad a la importancia del
derecho de la protección de datos en la región.
Actividad de capacitación en el marco del Convenio General de Colaboración AEPD-IFAI
Página 7 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
Esta actividad se llevó a cabo en el marco del Convenio de colaboración que ambas instancias
firmaron el 28 de octubre de 2013. El Convenio establece un marco para el intercambio de
experiencias y conocimiento en materia de protección de datos entre ambas Instituciones. El
Convenio busca fortalecer la colaboración y coordinación institucional, promover la difusión del
derecho a la protección de datos de carácter personal, el fomento de estudios e investigaciones,
así como el intercambio de experiencias de mutuo interés.
La actividad de capacitación fue dirigida a funcionarios de órganos locales de transparencia y
protección de datos de México, así como personal de la Coordinación de Datos Personales del IFAI.
Los temas que se trataron en la actividad de capacitación estuvieron enfocados en el sector
público y el privado. En el primer caso, las materias planteadas fueron: aplicación de la normativa
en el sector público; legislación de protección de datos en el sector público; instrumentos para
hacer cumplir la ley en el sector público (planes de auditoria, consultoría y asesoramiento);
derechos ARCO y el sector público; principio de consentimiento; medidas de seguridad en el
ámbito administrativo; tecnología y protección de datos. En el caso del sector privado, los temas
fueron: aplicación de la normativa en el sector privado; inspección de datos e inspecciones
sectoriales; medidas cautelares; inspecciones en internet y telecomunicaciones y transferencias
internacionales de datos.
III. NOVEDADES EN LOS PAÍSES MIEMBROS
Sentencia del Tribunal de Justicia de la Unión Europea del 13 de mayo
La AEPD presentó este caso, por conducto de la Audiencia Nacional, ante el Tribunal de Justicia de
la Unión Europea (TJUE) en marzo de 2012, derivado de reclamaciones de ciudadanos que
solicitaban amparo frente a la empresa Google pues ésta se negaba a aceptar sus demandas de no
difundir su información personal en su motor de búsqueda. En opinión de los solicitantes, esta
información carecía de relevancia pública y su divulgación les causaba un daño personal.
Google rechazaba la petición argumentando, entre otros aspectos, que su actividad no estaba
sujeta al derecho español. Para la AEPD, aunque Google no tiene su matriz en España, cuenta con
un establecimiento en ese país que está vinculado a su actividad y utiliza medios en territorio
Página 8 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
español, por lo que le aplica la normatividad europea (Directiva 95/46/CE) y la legislación española
en materia de protección de datos. La AEPD sostenía que la Directiva obligaba a los responsables
de los motores de búsqueda en internet a reconocer a los afectados el “derecho al olvido”, que es
la aplicación en internet de los derechos de cancelación y oposición. Esta interpretación del
derecho español y europeo siempre fue cuestionada por Google.
En la sentencia del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea estableció que:

La actividad de los motores de búsqueda como Google constituye un tratamiento de datos, del
que es responsable el propio motor.

Ese tratamiento está sometido a las normas de protección de datos de la Unión Europea, dado
que Google tiene un establecimiento para la promoción y venta de espacios publicitarios en un
Estado miembro y su actividad se dirige a los habitantes de ese Estado.

Las personas tienen derecho a solicitar al motor de búsqueda la eliminación de referencias que
les afectan, aunque esta información no haya sido eliminada por el editor ni dicho editor haya
solicitado que evite su indexación. Las personas tienen derecho a pedir la tutela de la AEPD y
de los Tribunales si no se atiende su solicitud.

El derecho de protección de datos de las personas prevalece sobre el interés económico del
gestor del motor de búsqueda, salvo que el interesado tenga relevancia pública y el acceso a la
información esté justificado por el interés público.
Respecto a las particularidades del derecho al olvido, el TJEU y la AEPD afirman que lejos de ser un
derecho absoluto como a veces se ha intentado presentar para descalificarlo, tiene alcance
limitado. Por lo tanto, su reconocimiento no resulta en modo alguno incompatible con el pleno
reconocimiento de las libertades de expresión y de información y su carácter prevalente en las
sociedades democráticas. Esto queda demostrado con el hecho de que en ningún caso se requiere
la modificación o rectificación de las fuentes originales, sino únicamente que se ponga fin a la
difusión de la información en internet a través de los buscadores, con lo que se mantienen
inalterados los documentos, archivos o hemerotecas digitales.
Cambios legislativos en la región
En el último año se han realizado cambios normativos en países miembros como México, Chile,
Honduras y El Salvador, los cuales se suman a los producidos en Colombia, Perú, República
Dominicana y Costa Rica en el pasado reciente. De estos desarrollos se informará en la sesión
Página 9 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
cerrada del XII Encuentro Iberoamericano de Protección de Datos y aparecerá en las memorias de
este evento.
Por lo que se refiere a México, en febrero se concretó una reforma constitucional que fortaleció
los derechos de protección de datos personales y de acceso a la información. Esta reforma dotó al
IFAI de autonomía constitucional, esto es, goza de independencia y cuenta con autonomía
orgánica, funcional y presupuestaria. Esta reforma colocó bajo el mismo régimen de exigencia a las
autoridades públicas de todo el país; amplió el número de sujetos obligados, incluyendo ahora a
partidos políticos, órganos autónomos, fideicomisos y fondos públicos, así como a cualquier
persona física, moral o sindicatos que reciban y ejerzan recursos públicos. Asimismo, dio
facultades al IFAI para revisar los recursos resueltos por los órganos garantes de las entidades
federativas, entre otros aspectos.
Respecto a la conformación del nuevo Pleno de Comisionados, su número fue ampliado de cinco a
siete integrantes. En su integración, el Senado de la República realizó un proceso abierto para
seleccionar a los hombres y mujeres con el perfil más idóneo para el desempeño del cargo. La
Cámara Alta se reunió con 158 candidatos, quienes presentaron sus propuestas de trabajo para el
Instituto. En este proceso de consulta, el Senado contó con la asesoría de un Grupo Técnico de
expertos provenientes de la academia y de la sociedad civil cuya opinión fue considerada por los
Senadores para la elección de los siete nuevos Comisionados. El nuevo Pleno del IFAI inició sus
labores el 14 de mayo.
El nuevo IFAI que surgió de la reforma está trabajando para generar y consolidar la cultura de la
transparencia y la protección de datos personales como valores intrínsecos de la democracia
mexicana. Actualmente el Instituto participa en la elaboración de las reformas legales secundarias
en transparencia, protección de datos y archivos (previstas en la reforma constitucional), las cuales
fijarán estándares de protección de estos derechos en todo del país. En este proceso se ha
buscado el diálogo permanente con la sociedad civil, académicos y con las autoridades locales, con
el fin de presentar al Legislativo propuestas amplias y con el mayor consenso posible para la
integración de estas leyes.
Página 10 de 11
RED IBEROAMERICANA DE PROTECCIÓN DE DATOS
INFORME DE LA PRESIDENCIA 2013 - 2014
CONCLUSIONES
El acelerado desarrollo tecnológico tiene una vertiente que ha resultado positiva para la vida de
las personas y la economía de los países. Sin embargo, el desarrollo tecnológico trae consigo
desafíos que deben hacerse frente con la cooperación de los países.
Los países deben hacer frente a estas amenazas mediante la adopción o el fortalecimiento de
marcos normativos de protección de datos. En esto, la Red sigue jugando un papel fundamental,
pero debe planearse la visión de a dónde quiere estar en el mediano plazo. De ahí que resulte
necesario que la Red se plantee una visión estratégica para los siguientes años con el propósito de
proponer ideas innovadoras para enfrentar estos retos.
Página 11 de 11
Descargar