RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 INFORME DE LA PRESIDENCIA DE ACTIVIDADES DE LA RED IBEROAMERICANA DE PROTECCIÓN DE DATOS Período 2013 – 2014 ÍNDICE I. PRESENTACIÓN II. ACTIVIDADES DE LA RIPD 2013-2014 Taller Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe Taller internacional sobre protección de datos personales en El Salvador Seminario La privacidad en el ámbito de las tecnologías de la salud. La Historia Clínica Electrónica Impulso de la cooperación entre la Organización de Estados Americanos (OEA) y la RIPD Representación de la RIPD en foros internacionales: 36° Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (Balaclava, Mauricio, 13-16 de octubre) y XIV Conferencia Iberoamericana de Ministras y Ministros de Salud, (Veracruz, 27 de octubre) Inscripción de la RIPD en el Registro de Redes Iberoamericanas de la Conferencia Iberoamericana Actividad de capacitación en el marco del Convenio General de Colaboración entre la AEPD y el IFAI III. NOVEDADES EN LOS PAÍSES MIEMBROS Sentencia del Tribunal de Justicia de la Unión Europea del 13 de mayo Cambios legislativos en la región IV. CONCLUSIONES Página 1 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 I. PRESENTACIÓN La Red Iberoamericana de Protección de Datos (RIPD) se estableció en junio de 2003 como parte de los acuerdos del Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua, Guatemala, en el cual participaron representantes de 14 países. A doce años de existencia, la Red se ha convertido en un foro regional de referencia en materia de protección de datos. Organismos y entidades públicas de 22 países iberoamericanos son miembros u observadores de la Red, y esta mantiene el espíritu incluyente que le dio vida, al involucrar en sus actividades a organizaciones de los sectores público y privado, académicos y sociedad civil. Desde su creación, el objetivo central de la RIPD ha sido impulsar la elaboración y adopción de leyes que garanticen el derecho a la protección de datos y privacidad en los países de la región. Su contribución en favor del desarrollo normativo en materia de protección de datos personales y la cooperación internacional entre Autoridades ha definido una nueva etapa en la defensa de este derecho fundamental de tercera generación. Esto es particularmente importante frente a los avances que han tenido las tecnologías de la información y comunicación. El desarrollo tecnológico beneficia a los ciudadanos en sus vidas diarias, y tiene efectos significativos en la economía de los países al fortalecer sectores como el comercio electrónico, lo cual contribuye al bienestar de las sociedades. No obstante, el desarrollo tecnológico trae consigo desafíos para la privacidad y la protección de datos que no deben soslayarse, y que pueden enfrentarse efectivamente con una acción colectiva de los países. El creciente número de incidentes en contra de la protección de los datos y la privacidad a nivel internacional confirma el papel que tiene la cooperación para la aplicación y cumplimiento de las leyes de protección de datos. Las autoridades garantes están obligadas a diseñar e implementar mecanismos novedosos que contribuyan a asegurar el cumplimiento de las leyes de protección de datos, garantizando que la información de las personas sea tratada de manera apropiada. De ahí que resulte necesario que la Red se plantee una visión estratégica para los siguientes años con el propósito de proponer ideas innovadoras para enfrentar estos retos. El año 2014 será recordado como un parteaguas en materia de protección de datos en el mundo Página 2 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 en general, y en Iberoamérica en particular, por múltiples razones. En mayo, el Tribunal de Justicia de la Unión Europea (TJUE) dio a conocer una sentencia relacionada con el derecho al olvido. La Agencia Española de Protección de Datos (AEPD) presentó este caso en marzo de 2012 derivado de reclamaciones de ciudadanos que solicitaban amparo frente a la empresa Google debido a que ésta se negaba a aceptar sus demandas de no difundir su información personal en su motor de búsqueda. En opinión de los solicitantes, esta información carecía de relevancia pública y su divulgación les causaba un daño personal. El TJUE estableció que la actividad de los motores de búsqueda constituye un tratamiento de datos; que este tratamiento está sometido a las normas de protección de datos de la Unión Europea; y que las personas tienen derecho a solicitar al motor de búsqueda la eliminación de referencias que les afectan. Las implicaciones de esta decisión aún tiene un camino importante que recorrer, y los países iberoamericanos pueden contribuir a su análisis. 2014 ha sido también un año que ha presenciado importantes cambios normativos e institucionales en los países miembros. México realizó cambios en su Constitución para reforzar los derechos fundamentales de acceso a la información y de protección de datos personales, lo cual ha derivado en un Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) renovado. Chile, Honduras y El Salvador se encuentran por adoptar normativas específicas de protección de datos. Estos cambios se agregan a los recientemente producidos en Colombia, Perú, República Dominicana y Costa Rica. En este proceso, la Red ha jugado un papel muy importante como un instrumento de acompañamiento a las modificaciones de los marcos normativos. El objetivo de este informe es presentar las actividades de la Red Iberoamericana de Protección de Datos (RIPD) en el período octubre de 2013 a octubre de 2014. El IFAI, en su calidad de autoridad de protección de datos en México, preside este foro iberoamericano desde 2010. En 2012 fue reelegido para un periodo de dos años, culminando este período en noviembre de 2014 en el marco del XII Encuentro Iberoamericano de Protección de Datos. II. ACTIVIDADES DE LA RIPD El Reglamento de la RIPD, revisado y aprobado en el XI Encuentro, celebrado en Cartagena de Indias, Colombia, del 15 al 17 de octubre de 2013, establece los objetivos de la Red. Estos son: Página 3 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 a) Promover la cooperación, el diálogo y el uso compartido de la información para el desarrollo de iniciativas y políticas de protección de datos. b) Promover políticas, tecnologías y metodologías que permitan garantizar el derecho fundamental a la protección de datos personales. c) Brindar asistencia técnica y transferencia de conocimientos tecnológicos a los miembros que así lo soliciten. d) Promover acuerdos con instituciones públicas o privadas que permitan el desarrollo y ejecución de proyectos de interés mutuo. e) Promover la edición y publicación de documentos de trabajo y de obras que permitan difundir y dar a conocer los resultados obtenidos en el desarrollo de sus actividades. f) Participar en foros internacionales. g) Dar transparencia y difusión universal a todas las actividades de la RIPD. h) Promover programas de capacitación entre sus miembros, así como la información a los ciudadanos sobre el uso y destino de sus datos personales, y de los derechos que pueden ejercer frente al manejo que se haga de los mismos Con base en estos objetivos, en el período octubre 2013-noviembre 2014, la Presidencia (IFAI) y la Secretaría Permanente (AEPD) continuaron con la promoción y el fortalecimiento del derecho de protección de datos en la región, impulsando y consolidando el intercambio de información y la colaboración entre los miembros. Al respecto se realizaron las siguientes actividades, las cuales forman parte de Plan de Trabajo 2013-2014 adoptado en la Sesión Cerrada del XI Encuentro1: Taller Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe El taller se realizó en el Centro de Formación de la Cooperación Española de La Antigua, Guatemala, del 11 al 14 de febrero de 2014. Su objetivo fue intercambiar buenas prácticas entre las Autoridades de Protección de Datos y otras instituciones públicas con el propósito de impulsar legislaciones de protección de datos personales en Centroamérica y el Caribe. En el marco del taller la Presidencia de la RIPD celebró una reunión con el Director de Derecho Internacional de la 1 El Plan de Trabajo puede consultarse en el Informe de la Presidencia de la RIPD 2012-2013 en: http://www.redipd.org/actividades/encuentros/XI/common/Informe_Presidencia_RIPD_2012_2013.pdf Página 4 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 OEA y el Relator Especial del Comité Jurídico Interamericano para discutir sobre los avances de la Ley Modelo. El Taller se enmarcó en el programa de formación y capacitación de la RIPD, como parte de las acciones de apoyo técnico a los miembros que aún no cuentan con legislación y autoridad propia en materia de protección de datos personales. Taller internacional sobre protección de datos personales en El Salvador Este se realizó el 6 y 7 de octubre de 2014 en San Salvador, El Salvador. Fue organizado por el Centro de Educación a Distancia para el Desarrollo Económico y Tecnológico (CEDDET), organización dedicada a la cooperación para el desarrollo y socio operador del programa EUROsociAL, y por el Instituto de Acceso a la Información Pública de El Salvador. El objetivo del taller fue conocer las mejores prácticas en materia de protección de datos para elaborar un manual de directrices y lineamientos operativos para el conjunto de la administración salvadoreña. Contó con representantes de las autoridades garantes de España, México, Perú y Costa Rica, países miembros de la RIPD. La contribución de la Red Iberoamericana de Protección de Datos al desarrollo normativo fue reconocida por los participantes del taller. Seminario La Privacidad en el ámbito de las tecnologías de la salud. La Historia Clínica Electrónica Este seminario se realizó del 21 al 24 de octubre en Santa Cruz de la Sierra, Bolivia. Su propósito fue intercambiar buenas prácticas entre los sistemas nacionales de salud, las autoridades de protección de datos y el sector privado para diseñar iniciativas legislativas que faciliten la integración de la normativa general de protección de datos personales y las regulaciones sectoriales en materia de salud, contribuyendo a incrementar los niveles asistenciales de los países iberoamericanos, la interoperabilidad de los sistemas de salud y la disponibilidad de la información sanitaria, garantizando el respeto a los derechos de los pacientes, y en particular al derecho a la protección de sus datos de salud. Impulso de la cooperación entre la OEA y la RIPD Página 5 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 En abril de 2013 la OEA se unió a la RIPD como Observador, quedando formalizada esta adhesión durante el XI EIPD. Con esta incorporación a la Red, se fortalecen la cooperación entre ambas instancias para el desarrollo de principios de protección de datos y la redacción de una Ley Modelo en la materia. Como se mencionó anteriormente, en el marco del taller Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe, la Presidencia y la OEA refrendaron el compromiso de continuar impulsando el proyecto de Ley Modelo y otros programas que permitan fortalecer el ejercicio del derecho de protección de los datos personales en los países del hemisferio. En agosto de 2014, la Comisionada Presidenta del IFAI se reunió con el Director del Departamento de Derecho Internacional de la OEA para discutir los temas de trabajo entre la RIPD y la OEA, en particular, la creación de un grupo de trabajo para la elaboración de la Ley Modelo Interamericana de Protección de Datos. Ambos acordaron buscar dotar al grupo de trabajo con un mandato específico, como sería el de “apoyar al Relator en la elaboración de la Ley Modelo”. En esta reunión se propuso incluir este tema en la sesión cerrada del XII Encuentro. En el XII EIPD, la OEA estuvo representada por la abogada principal del Departamento de Derecho Internacional, quien expuso en el panel titulado “La Experiencia de las Autoridades de Protección de Datos en Iberoamérica. El Impulso Normativo a través de una Ley Modelo de la OEA”. Representación de la RIPD en foros internacionales 36° Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (CIAPDP) La 36° CIAPDP tuvo lugar del 13 al 16 de octubre en la Isla de Mauricio. La aportación de la Red, por conducto del IFAI, consistió en la traducción al español de la “Declaración de Mauricio” y de tres resoluciones que se aprobaron en la Sesión Cerrada de la Conferencia2. Asimismo, se entregó la traducción al español del Acuerdo de Cooperación Transfronteriza para Hacer cumplir la ley en 2 Las versiones en español pueden ser consultadas en el siguiente vínculo http://www.privacyconference2014.org/en/about-the-conference/resolutions.aspx Página 6 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 materia de protección de datos y privacidad (Global Cross Border Enforcement Cooperation Arrangement), que incluye un conjunto de reglas comunes que las autoridades se comprometerían a asumir al llevar a cabo investigaciones internacionales en casos de violaciones a la privacidad. Sobre el particular, la Presidencia de la RIPD invita a los países miembros a analizar la suscripción de este instrumento de colaboración internacional. XIV Conferencia Iberoamericana de Ministras y Ministros de Salud, Veracruz, 27 de octubre La reunión forma parte de los encuentros sectoriales preparatorios de la XXIV Cumbre Iberoamericana de Jefes de Estados y de Gobierno, la cual se celebrará en México en diciembre de 2014. En esta reunión, la Presidencia presentó el trabajo de la RIPD, e informó sobre los resultados del Seminario La Privacidad en el ámbito de las tecnologías de la salud. La Historia Clínica Electrónica, realizado del 21 al 24 de octubre en Santa Cruz de la Sierra, Bolivia. Inscripción de la RIPD en el Registro de Redes Iberoamericanas de la Conferencia Iberoamericana El 17 de marzo, el entonces Secretario General Iberoamericano, Sr. Enrique V. Iglesias, envió una comunicación a la Presidencia informando sobre la inscripción de la RIPD en el Registro de Redes Iberoamericanas. Los objetivos del Registro son: • Fortalecer el trabajo de las instancias que realizan acciones en el ámbito iberoamericano. • Promover la articulación de las múltiples redes de ámbito iberoamericano. • Impulsar la visibilidad de las redes iberoamericanas y de las organizaciones que las constituyen. • Favorecer el trabajo de las redes con los programas, proyectos e iniciativas de cooperación iberoamericana. • Difundir en la Conferencia Iberoamericana las iniciativas de dichas redes. La incorporación de la RIPD al Registro contribuirá a dar más visibilidad a la importancia del derecho de la protección de datos en la región. Actividad de capacitación en el marco del Convenio General de Colaboración AEPD-IFAI Página 7 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 Esta actividad se llevó a cabo en el marco del Convenio de colaboración que ambas instancias firmaron el 28 de octubre de 2013. El Convenio establece un marco para el intercambio de experiencias y conocimiento en materia de protección de datos entre ambas Instituciones. El Convenio busca fortalecer la colaboración y coordinación institucional, promover la difusión del derecho a la protección de datos de carácter personal, el fomento de estudios e investigaciones, así como el intercambio de experiencias de mutuo interés. La actividad de capacitación fue dirigida a funcionarios de órganos locales de transparencia y protección de datos de México, así como personal de la Coordinación de Datos Personales del IFAI. Los temas que se trataron en la actividad de capacitación estuvieron enfocados en el sector público y el privado. En el primer caso, las materias planteadas fueron: aplicación de la normativa en el sector público; legislación de protección de datos en el sector público; instrumentos para hacer cumplir la ley en el sector público (planes de auditoria, consultoría y asesoramiento); derechos ARCO y el sector público; principio de consentimiento; medidas de seguridad en el ámbito administrativo; tecnología y protección de datos. En el caso del sector privado, los temas fueron: aplicación de la normativa en el sector privado; inspección de datos e inspecciones sectoriales; medidas cautelares; inspecciones en internet y telecomunicaciones y transferencias internacionales de datos. III. NOVEDADES EN LOS PAÍSES MIEMBROS Sentencia del Tribunal de Justicia de la Unión Europea del 13 de mayo La AEPD presentó este caso, por conducto de la Audiencia Nacional, ante el Tribunal de Justicia de la Unión Europea (TJUE) en marzo de 2012, derivado de reclamaciones de ciudadanos que solicitaban amparo frente a la empresa Google pues ésta se negaba a aceptar sus demandas de no difundir su información personal en su motor de búsqueda. En opinión de los solicitantes, esta información carecía de relevancia pública y su divulgación les causaba un daño personal. Google rechazaba la petición argumentando, entre otros aspectos, que su actividad no estaba sujeta al derecho español. Para la AEPD, aunque Google no tiene su matriz en España, cuenta con un establecimiento en ese país que está vinculado a su actividad y utiliza medios en territorio Página 8 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 español, por lo que le aplica la normatividad europea (Directiva 95/46/CE) y la legislación española en materia de protección de datos. La AEPD sostenía que la Directiva obligaba a los responsables de los motores de búsqueda en internet a reconocer a los afectados el “derecho al olvido”, que es la aplicación en internet de los derechos de cancelación y oposición. Esta interpretación del derecho español y europeo siempre fue cuestionada por Google. En la sentencia del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea estableció que: La actividad de los motores de búsqueda como Google constituye un tratamiento de datos, del que es responsable el propio motor. Ese tratamiento está sometido a las normas de protección de datos de la Unión Europea, dado que Google tiene un establecimiento para la promoción y venta de espacios publicitarios en un Estado miembro y su actividad se dirige a los habitantes de ese Estado. Las personas tienen derecho a solicitar al motor de búsqueda la eliminación de referencias que les afectan, aunque esta información no haya sido eliminada por el editor ni dicho editor haya solicitado que evite su indexación. Las personas tienen derecho a pedir la tutela de la AEPD y de los Tribunales si no se atiende su solicitud. El derecho de protección de datos de las personas prevalece sobre el interés económico del gestor del motor de búsqueda, salvo que el interesado tenga relevancia pública y el acceso a la información esté justificado por el interés público. Respecto a las particularidades del derecho al olvido, el TJEU y la AEPD afirman que lejos de ser un derecho absoluto como a veces se ha intentado presentar para descalificarlo, tiene alcance limitado. Por lo tanto, su reconocimiento no resulta en modo alguno incompatible con el pleno reconocimiento de las libertades de expresión y de información y su carácter prevalente en las sociedades democráticas. Esto queda demostrado con el hecho de que en ningún caso se requiere la modificación o rectificación de las fuentes originales, sino únicamente que se ponga fin a la difusión de la información en internet a través de los buscadores, con lo que se mantienen inalterados los documentos, archivos o hemerotecas digitales. Cambios legislativos en la región En el último año se han realizado cambios normativos en países miembros como México, Chile, Honduras y El Salvador, los cuales se suman a los producidos en Colombia, Perú, República Dominicana y Costa Rica en el pasado reciente. De estos desarrollos se informará en la sesión Página 9 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 cerrada del XII Encuentro Iberoamericano de Protección de Datos y aparecerá en las memorias de este evento. Por lo que se refiere a México, en febrero se concretó una reforma constitucional que fortaleció los derechos de protección de datos personales y de acceso a la información. Esta reforma dotó al IFAI de autonomía constitucional, esto es, goza de independencia y cuenta con autonomía orgánica, funcional y presupuestaria. Esta reforma colocó bajo el mismo régimen de exigencia a las autoridades públicas de todo el país; amplió el número de sujetos obligados, incluyendo ahora a partidos políticos, órganos autónomos, fideicomisos y fondos públicos, así como a cualquier persona física, moral o sindicatos que reciban y ejerzan recursos públicos. Asimismo, dio facultades al IFAI para revisar los recursos resueltos por los órganos garantes de las entidades federativas, entre otros aspectos. Respecto a la conformación del nuevo Pleno de Comisionados, su número fue ampliado de cinco a siete integrantes. En su integración, el Senado de la República realizó un proceso abierto para seleccionar a los hombres y mujeres con el perfil más idóneo para el desempeño del cargo. La Cámara Alta se reunió con 158 candidatos, quienes presentaron sus propuestas de trabajo para el Instituto. En este proceso de consulta, el Senado contó con la asesoría de un Grupo Técnico de expertos provenientes de la academia y de la sociedad civil cuya opinión fue considerada por los Senadores para la elección de los siete nuevos Comisionados. El nuevo Pleno del IFAI inició sus labores el 14 de mayo. El nuevo IFAI que surgió de la reforma está trabajando para generar y consolidar la cultura de la transparencia y la protección de datos personales como valores intrínsecos de la democracia mexicana. Actualmente el Instituto participa en la elaboración de las reformas legales secundarias en transparencia, protección de datos y archivos (previstas en la reforma constitucional), las cuales fijarán estándares de protección de estos derechos en todo del país. En este proceso se ha buscado el diálogo permanente con la sociedad civil, académicos y con las autoridades locales, con el fin de presentar al Legislativo propuestas amplias y con el mayor consenso posible para la integración de estas leyes. Página 10 de 11 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS INFORME DE LA PRESIDENCIA 2013 - 2014 CONCLUSIONES El acelerado desarrollo tecnológico tiene una vertiente que ha resultado positiva para la vida de las personas y la economía de los países. Sin embargo, el desarrollo tecnológico trae consigo desafíos que deben hacerse frente con la cooperación de los países. Los países deben hacer frente a estas amenazas mediante la adopción o el fortalecimiento de marcos normativos de protección de datos. En esto, la Red sigue jugando un papel fundamental, pero debe planearse la visión de a dónde quiere estar en el mediano plazo. De ahí que resulte necesario que la Red se plantee una visión estratégica para los siguientes años con el propósito de proponer ideas innovadoras para enfrentar estos retos. Página 11 de 11