1. Internet

XVIII Fiadi CR
16 de Octubre
Retos del ente regulador en Protección de Datos Personales:
Perspectivas desde la experiencia en Costa Rica
RESUMEN
Conforme avanzan los días, la globalización informática adquiere más fuerza y,
por ende más poder, el cual, debe ser estrictamente controlado, ya que lo que
se está custodiando es la información de la vida personal de los ciudadanos.
Por esta razón, todos los ciudadanos deben estar involucrados activamente
con el alcance que tiene la Agencia de Protección de Datos de los Habitantes
que opera en Costa Rica. Dentro de sus principales funciones, está regular la
actividad lucrativa que ejercen algunas empresas de índole privado y público,
a través del uso de los datos personales; porque producto de sus actividades,
algunas empresas han incentivado el tráfico de información personal, que para
los costarricenses ha representado indefensión y menoscabo en los derechos
que se pretenden proteger.
Como primer aspecto, se enunciará de forma general la protección de datos
personales en Costa Rica, su origen y su evolución. Posteriormente, se entrará
a exponer lo que representa esta nueva entidad, encargada de velar por el
cumplimiento de la normativa que controla el uso de los datos personales de
los habitantes, denominada, oficialmente, Agencia de Protección de Datos de
los Habitantes (Prodhab), adscrita al Ministerio de Justicia y Paz de Costa Rica,
creada por Ley N ° 8968, el 5 de setiembre de 2011.
Esta ponencia plasma en este sentido, las labores realizadas por esta entidad
de reciente creación, así como la experiencia creada a partir de su
funcionamiento y los retos que conlleva velar y hacer respetar los derechos
fundamentales consagrados en la Carta Magna, referentes a la protección de
información personal.
Retos del ente regulador en Protección de Datos Personales:
Perspectivas desde la experiencia en Costa Rica
El derecho a la autodeterminación informativa es un derecho fundamental, de
rango constitucional, que vienen a surgir desde las bases del derecho a la
intimidad. Este derecho es la base jurídica de la protección a los datos de
carácter personal de cada persona identificada o identificable y su poder de
decisión sobre cuáles de estos datos quiere que se conozcan y cuáles no, así
como exigir que los datos que se conozcan sean exactos y a ser informado
sobre la utilización que se dará a los mismos por parte de un responsable de
una base de datos.
Los constantes y lamentables delitos en perjuicio de la intimidad de los
costarricenses hacen necesaria la urgente institucionalización de los entes
reguladores de bases de datos en los diferentes países, en aras de asegurar el
derecho de autodeterminación informativa a sus titulares, como derivado de
sus derechos humanos de intimidad, privacidad y acceso a su información
personal.
Costa Rica no escapa de esta realidad, tal es el caso de los recientes
pronunciamientos que ha redactado la Sala Constitucional con respecto al
acceso, por ejemplo, que tiene el mercado de telefonía, ya no solamente para
ofrecer productos o servicios, sino que también involucran a otros miembros
de la familia en el cobro de deudas que no le conciernen a la persona.
Este caso se observa fundamentado en la sentencia 04721 del 8 de abril de
2011 donde la recurrente alegaba una lesión en contra del derecho a la
intimidad y autodeterminación informativa provocada por una empresa
privada, toda vez que la empresa recurrida la llamaba insistentemente a la
casa, celular y cualquier número que estuviera a nombre del recurrente y que
no era utilizado por este, con el fin de contactar a un familiar para el cobro de
una deuda. Lo anterior refleja una práctica de acoso, interrumpir la vida
privada de una persona por las deudas de un tercero, donde además se denota
la intención de la empresa no solo de insistir en las llamadas, sino también de
que se le otorgue información personal de otra persona sin derecho a hacerlo.
Sin embargo, existe una latente necesidad por asegurar información, con el fin
de “patrimonializar” los aspectos intangibles de cada ser humano, obteniendo
perfiles determinados para la difusión comercial, investigación y otras
actividades que han hecho de los datos personales “el nuevo petróleo” de la
era de la información.
En el caso de Costa Rica, se cuenta con un marco jurídico que brinda una
protección efectiva y adecuada a los datos personales, siendo uno de los países
de la región centroamericana pionera en la materia. El desarrollo de este
marco forma parte del reconocimiento de la autodeterminación informativa
como derecho fundamental que deriva del artículo 24 de la Constitución
Política de la República de Costa Rica (en adelante la Constitución). La Ley de
Protección de la Persona frente al tratamiento de sus datos personales, Ley
No. 8968 de 7 de julio de 2011 (en adelante LPDP) y el Reglamento a la Ley de
Protección de la Persona frente al Tratamiento de sus Datos Personales,
Decreto No. 37554-MJ de 30 de octubre de 2012 (en adelante RPDP) regulan
la protección de datos personales.
En este cuerpo normativo, se crea la Agencia de Protección de Datos de los
Habitantes (PRODHAB), como una instancia de desconcentración máxima
adscrita al Ministerio de Justicia y Paz, con independencia presupuestaria,
administrativa y de criterio. Dentro de sus principales funciones, está regular
la actividad lucrativa que ejercen algunas empresas de índole privado y
público, a través del uso de los datos personales; porque producto de sus
actividades, algunas empresas han incentivado el tráfico de información
personal, que para los costarricenses ha representado indefensión y
menoscabo en los derechos que se pretenden proteger.
En cuanto a su alcance, la Agencia podrá acceder a las bases de datos reguladas
por la ley; a fin de hacer cumplir la norma, se aplicará a los casos presentados
ante la Agencia y, excepcionalmente, cuando se tenga evidencia de un mal
manejo de datos personales en sistemas de información. La Agencia tiene la
atribución de ordenar de oficio o a petición de parte la supresión, rectificación,
adición o restricción en la circulación de las informaciones contenidas en los
archivos o bases de datos cuando estas contravengan las normas de la ley. Así
mismo, debe resolver los reclamos por las infracciones a las normas sobre
protección de los datos personales, dictar las directrices necesarias, que
deberán ser publicadas en el Diario Oficial La Gaceta, a efectos de que se
implementen los procedimientos adecuados con respecto del manejo de los
datos personales. La anterior afirmación se encuentra descrita en el artículo
16 literal i) de la Ley 8968.
Experiencias con la implementación de PRODHAB
Si bien la Ley No. 8968 creó a PRODHAB en el año 2012 como ente regulador
a nivel administrativo de las bases de datos de carácter personal, es hasta el
año 2013 que esta entidad inició su efectivo funcionamiento a nivel
administrativo y sustantivo, a fin de dar cumplimiento a la legislación vigente.
De sus actuaciones, a la fecha, podemos rescatar las siguientes experiencias:
Experiencias positivas
A partir de la aprobación parcial de la estructura organizativa de PRODHAB por
parte del Ministerio de Planificación Institucional (MIDEPLAN), se ha contado
con el respaldo del Ministerio de Justicia y Paz, para que diferentes instancias
del Ministerio de Justicia y Paz brinden el apoyo a esta instancia en diferentes
áreas de su competencia para el desarrollo de diferentes gestiones, entretanto
se llega a contar con el recurso humano pertinente para consolidar la
independencia de esas funciones.
Asimismo, pese a la limitación del personal se llegó a contar para el presente
año con contenido presupuestario, con el cual se iniciaron los diferentes
procesos de contratación administrativa y adquirir loe bienes necesarios para
el correcto funcionamiento de esa entidad.
Como parte de sus funciones de comunicación, difusión y orientación acerca
de a normativa atinente a la Protección de Datos Personales, la PRODHAB se
dio a la tarea de crear un sitio web (www.prodhab.go.cr) y su respectivo
vínculo a diferentes redes sociales, conteniendo diferentes aspectos
informativos para titulares y responsables de bases de datos, derechos,
deberes y procedimientos de inscripción de bases de datos, poniendo a
disposición de los ciudadanos los formularios respectivos, tanto para
inscripción de bases de datos como para el ejercicio de sus derechos de acceso,
rectificación, actualización y supresión de datos.
A nivel sustantivo, se inició en el 2013 con la tramitación de 12 denuncias por
parte de los ciudadanos hacia distintos responsables de bases de datos, dato
que en el primer semestre del 2014 se duplicó, imponiéndose las primeras
sanciones consistentes en apercibimientos y orden de corrección de
conductas, las cuales si bien al inicio generó resistencia por arte de los
responsables de las bases de datos, finalmente se tuvo una respuesta positiva
en beneficio de los titulares.
En el ámbito consultivo, producto de las labores de divulgación se evacuaron
en el año 2013 42 consultas derivadas de la interpretación de la Ley No. 8968
y su Reglamento, número que se duplicó en el año 2014 al mes de julio. Los
criterios derivados de estas consultas han tenido el carácter de vinculante, y
los mismos permanecen vigentes a la fecha. Asimismo, se orientaron diversas
reuniones y charles con diferentes sectores de responsables de bases de datos,
con el fin de dirigir su adecuación a la normativa vigente.
Por último, respalda a esta entidad el reciente pronunciamiento que ha
redactado la Sala Constitucional. En Resolución 15183-13 de 19 de noviembre
del 2013 se estableció lo siguiente: “(…) ante la promulgación de la Ley Nº 8968
(…)y su reglamento (…) se creó un órgano especializado, adscrito al Ministerio
de Justicia y Paz, denominado Agencia de Protección de Datos de los
Habitantes encargado de resolver, ordenar y sancionar lo relacionado con la
circulación de las informaciones contenidas en los archivos y las bases de datos,
cuando estas contravengan las normas sobre protección de los datos
personales. Bajo este nuevo contexto y ante la consecuente entrada en
funcionamiento de ese órgano, esta Sala, bajo una mejor ponderación estima
que ahora los habitantes cuentan con un mecanismo célere, oportuno y
especializado para garantizar su derecho a la autodeterminación informativa
en relación con su vida o actividades privadas y demás derechos de la
personalidad, así como la defensa de su libertad e igualdad con respecto al
tratamiento automatizado o manual de los datos correspondientes a su
persona o bienes.
Así las cosas, en tesis de principio, esta Sala remite a esa instancia
administrativa los asuntos en donde se alegue la violación del derecho de
comentario, reservándose el conocimiento, únicamente, de aquellos asuntos
en los que habiendo acudido ante la Agencia de Protección de Datos de los
Habitantes, no se haya encontrado amparo a ese derecho (…)”.
Lo anterior permitirá consolidar a PRODHAB como un ente complementario
del recurso de amparo especial vía Habeas Data, al ser de naturaleza tanto
preventiva como de vigilancia, control y establecimiento de límites de calidad
en cumplimiento de los principios esenciales de protección de datos, como
núcleo del derecho a la autodeterminación informativa del habitante.
Experiencias negativas
Parte de las experiencias negativas de PRODHAB en la actualidad son las
carencias en cuanto a recurso humano, que le impiden efectuar una labor de
vigilancia y de inspección de bases de datos más rigurosa. Pese a que ya se ha
gestionado las plazas necesarias para poner en funcionamiento su estructura
organizativa, ésta aún no ha sido posible materializarse.
Otro aspecto que se ha visto afectado con la labor limitada de la Agencia
PRODHAB, es la poca concientización – aún- de las empresas responsables de
bases de datos, siendo un escaso porcentaje el que ha sometido su inscripción
esa entidad. Preocupa el hecho de no iniciar con sanciones más drásticas a esas
empresas, lo cual ha repercutido en una falta de interés por adecuarse a la Ley
No. 8968 y su Reglamento, olvidándose de que ante un incumplimiento
conlleva a sanciones económicas significativas, sin perjuicio de las sanciones
penales que correspondan por el tratamiento ilegal de datos personales.
Los vacíos legales presentes en la Ley N º 8968 y su reglamento no dejan de
ser una sombra para su aplicación ágil, de hecho ya se detectan ausentes
aspectos reguladores necesarios para un eficiente y eficaz desempeño en el
cumplimiento del objetivo constituido legalmente como, por ejemplo, lo
correspondiente a la regulación del cloud computing, y la figura del
superusuario como mecanismo de acceso remoto a bases de datos por parte
de PRODHAB sin tener una regulación clara acerca de este mecanismo de
acceso e inspección.
Otro aspecto ausente en el texto de la ley es de qué forma se tutelarán los
derechos, en el caso de que sea traficada la información personal a nivel
internacional, pues no menciona de ninguna forma la gestión que debe
ejecutar la Prodhab para defender estos casos. Esto es evidencia de que debe
reforzarse más la Ley en cuanto al uso de la información e identificar los
posibles portillos que existan para trasladar datos personales de frontera a
frontera.
Importancia de una sólida institucionalización de la Prodhab
De acuerdo a las experiencias positivas y negativas de estos primeros meses
de funcionamiento de PRODHAB, es importante reforzar sus aspectos
positivos, siendo necesario que la promoción de esta ley llegue a todos los
extremos geográficos de Costa Rica, utilizando todos los medios idóneos,
electrónicos y escritos e inclusive en coordinación con otras instancias
defensoras de derechos. Esto con el fin de que todos costarricenses tengan el
conocimiento de la existencia de la ley creada para garantizar la protección de
los derechos de su vida privada y así la percepción del costarricense no sea la
de asumir una actitud pasiva frente a ventas de productos no deseados y
esperar a que las empresas desistan de llamar.
Por otra parte, se hace necesaria la participación activa, tanto del
costarricense como de la Agencia Protectora del Tratamiento de Datos
Personales, para que las medidas de protección que contiene la normativa
sean lo suficientemente eficaces. Para ello, ambas partes, tanto sobre quienes
recaen los efectos de la Ley, como la entidad encargada para velar por su
cumplimento, deben interactuar para comprender el alcance normativo. Los
formularios dispuestos vía web son una herramienta para establecer los
parámetros del uso de información al que pueden tener acceso las empresas,
evitándose
vulneraciones a la seguridad en el trasiego de información
personal, con fines ajenos a los intereses de las entidades públicas para
convertirse en un “mercado negro”.
Es importante destacar que no se persigue identificar a Costa Rica como un
país incapaz de emerger en la globalización con respecto al manejo de
información de las personas o bases de datos, se trata de que en las diferentes
poblaciones, con el transcurso del tiempo y las nuevas tendencias, surjan
cambios en el modo de vida y se hace no solo necesario, sino obligatorio que
el derecho sea novedoso y se ajuste a los cambios de la sociedad.
La tutela del tratamiento de datos personales debe adquirir mayor relevancia
jurídica y social para que la Ley 8968 no sea una ley más. La misma ley prevé
la obligación de la Prodhab, en el artículo 22 de la divulgación, es decir, de
promocionar la ley y de educar a la población sobre la importancia de conocer
las funciones de la Prodhab. Por esta razón, se deben crear mayores programas
de capacitación, educación y fomento de la conciencia pública para
comprender y ampararse a la ley.
Resulta de especial importancia, que las autoridades políticas vean en
PRODHAB una organización al servicio de los habitantes, reforzándola a nivel
administrativo y funcional para su operación estable, y la misma no se
encuentre sujeta a criterios emitidos por gestiones gubernamentales de turno.
Para finalizar, es estrictamente necesario que la Prodhab actúe de oficio y no
solo a petición de parte sobre las diferentes empresas que comercialicen
productos o información personal, de forma que la Prodhab pueda realmente
ser un ente fiscalizador de la gestión que realizan las empresas para vender sus
productos; emitir criterios, disponer de resoluciones sancionatorias
contundentes y aprobar los lineamientos que se refieren a la contratación de
las personas, para confirmar que la manipulación de la información de datos
que custodian para sus fines no sean contrarios a la ley y los derechos de la
privacidad de las personas.
Con esto se respondería al siguiente cuestionamiento: ¿cuenta la Prodhab con
la suficiente autonomía como para que sus resoluciones generen efectos, que
si bien son extrajudiciales, se asemejen el efecto procesal de cosa juzgada
material? Asimismo, el apoyo de diversos sectores, estamos seguros que esta
nueva instancia irá de manera creciente, sentando precedentes de carácter
administrativo y un norte para los habitantes la aplicación de esta normativa
de cuarta generación, en pro de sus derechos fundamentales.
Esta labor constante debe realizarla PRODHAB, bajo la premisa de que bajo
ningún motivo se busca obstaculizar
el libre flujo de información que
diariamente se practica con las nuevas tecnologías, sino mantener y conservar
la protección de diferentes tipos de datos personales de sus titulares frente a
cualquier tipo de invasión en su ámbito de intimidad y de autodeterminación
informativa.
¿Es posible regular el paradigma del Internet de las Cosas?
Ponente: Lic. Juan Ignacio Zamora Montes de Oca, LL.M.
Introducción
El Internet de las Cosas es el próximo gran paso delante de la globalización y la
tecnología, pues le otorga a los objetos cotidianos una inteligencia con la que
antes no se contaba. Dado que estamos casi a 5 años de que la cantidad de
artefactos y artículos conectados a Internet sea de más de 50 mil millones,
debemos ir pensando en cómo lograremos desarrollar un Internet de las Cosas
que se encuentre al servicio de los objetivos establecidos por la sociedad, y
que a la vez logre mantener y preservar, la seguridad y el respeto de la vida
privada.
En la presente ponencia se discutirán las ventajas que se pueden obtener del
Internet de las Cosas pero al mismo tiempo, los peligros que ésta implica y
cómo podemos establecer normas de protección a los derechos de las
personas aprovechando al máximo esta inteligencia artificial.
Ponencia
El concepto de Internet de las Cosas (Internet of Things) no es nuevo.
Trabajando en el Auto-ID Center del MIT (Massachusetts Institute of
Technology), Kevin Ashton introdujo el término “Internet de las Cosas” en
1999 en una presentación que defendía la idea de que las etiquetas de
identificación por radiofrecuencia (RFID) una vez que se procedían a asociar a
objetos físicos, les otorgaba una identidad bajo la cual podían generar datos
sobre ellos mismos o sobre lo que percibían, así como publicarlos en Internet.
Eso sin duda anticipaba desde ese momento una extensión del Internet al
mundo físico.
Lo más novedoso de todo fue que hasta ese momento era fundamental la
inclusión de personas físicas en todos los procesos, pues éstos eran quienes
generaban la información accesible en la red y nunca antes se había realizado
esa conexión directamente desde un objeto físico real.
Fue entonces que se inició el desarrollo del concepto de Internet de las Cosas
bajo la premisa de que todo objeto que nos rodea, vehículos, ropa,
implementos de cocina, rótulos, y demás se convierten en miembros titulares
y ciudadanos de Internet.
El presente tema vino a abrir las puertas de una discusión sobre la necesidad
de definir un marco ético y jurídico, con un fuerte sustento en la tecnología y
que logre brindarle al ciudadano control y seguridad sobre su propia
información.
Ahora bien, es claro que todo avance tecnológico debe por fuerza, de alguna
u otra forma, contribuir con el desarrollo de la humanidad, pues es para esto
que se lleva a cabo todo el esfuerzo investigativo. El Internet de las Cosas es
sin duda alguna un adelanto de la tecnología que actualmente logra grandes
beneficios, y que a futuro se espera que simplifique y nos permita mantener
un estilo más seguro para quienes utilicen la Internet.
Existen numerosos ejemplos de cómo la Internet de las Cosas realmente
logrará que los seres humanos tengamos una mejor calidad de vida.Con el fin
de entender mejor el tema y su desarrollo ampliaremos con dos ejemplos.
Existe una silla inteligente que a simple vista parece una silla normal, y
realmente lo es, pero en la parte interior del respaldo y el asiento cuenta con
unos sensores que están constantemente detectando la postura del usuario.
Todos los datos que se obtienen son enviados a través de medios inalámbricos
a servidores que almacenan, analizan, y generan patrones que luego sirven
para saber si la persona que utiliza la silla adopta una postura apropiada, si
esta persona pasa demasiado tiempo en la misma posición o si no realiza los
descansos necesarios. Toda esta información que se genera puede
eventualmente ayudar a que el usuario cambie su postura de ser necesario,
para así lograr un alivio de los dolores de espalda. Asimismo la silla puede
vibrar en momentos en que ésta detecte que la postura no es la adecuada,
haciendo que el usuario cambie inmediatamente de postura, lo cual va
creando un hábito de manera inconsciente.
Otro ejemplo del Internet de las Cosas lo podemos ver en un par de zapatos
creado en la India y el cual podría ser el próximo avance en la ayuda a los no
videntes. Estos zapatos cuentan con una conexión vía Bluetooth lo cual hace
que se sincronicen con una aplicación en el teléfono celular del usuario que
utiliza un sistema de ubicación geográfica y que hace que los zapatos vibren
cada vez que deben comunicarle al usuario en qué momento y en que lugar
debe girar para llegar a su destino. Solamente es necesario indicar en el
teléfono el lugar exacto al que se pretende llegar, guardar el teléfono en el
bolsillo, y este por medio de la conexión logrará que cada zapato vibre al
momento de hacer un giro a la derecha o a la izquierda. De igual forma, los
zapatos pueden utilizarse no sólo por no videntes sino por todo tipo de
personas. Casos como turistas, ciclistas, corredores o cualquier otra persona
podría verse beneficiado de dicha tecnología, la cual incluso podría dar una
medición precisa de distancias recorridas y calorías quemadas.
Estos son solamente dos de las miles de aplicaciones que se pueden realizar
con el Internet de las Cosas. Entonces siendo el horizonte tan amplio como
inédito, podemos plantear la pregunta ¿qué nuevos productos híbridos
pueden surgir cuando dotamos de capacidad de acceso a internet de objetos
tradicionales?, y por consiguiente ¿Cómo podemos regular el flujo de
información y el tratamiento de ésta ante la magnitud de la cantidad de datos
que se obtendrán y se conservarán?
Una característica de todos los dispositivos conectados a Internet es que
hacen visible lo invisible por cuanto permiten revelar datos que siempre han
estado ahí, pero nunca se han medido.
Si tomamos en cuenta el “yo cuantificado” (quantified self) que ha empezado
a llevarse a cabo en forma de productos comerciales que cuentan con la
dualidad objeto-servicio tradicional del Internet de las Cosas, en donde el
objeto físico que es el activador, es el elemento que recoge los datos del
usuario y luego los envía a una plataforma online, en donde el servicio
interpreta la información para el usuario, la integra con otras fuentes para
darle más valor y se la presenta de la forma más útil posible, obtenemos que
los datos que se obtienen se entremezclan y se asocian con otros de manera
constante con el fin de lograr mejores resultados, creando así bases de datos
enormes y con cantidades inimaginables de datos que pueden ser en un futuro
fuentes valiosas de información.
En un estudio reciente de julio de 2014 sobre el Internet de las Cosas, se
entregaron una serie de dispositivos para ser utilizados en distintas actividades
de la cotidianeidad con el fin de determinar el uso de los mismos. Una vez que
se recuperaron, a la hora de analizarlos, se pudo conocer que el 90 por ciento
de los dispositivos captaron datos personales de sus usuarios o de terceros que
se encontraban en las cercanías de quien portaba el dispositivo. Por su parte
el 70 por ciento de los datos que se transmitieron se hizo por medio de una
red no cifrada, y el 60 por ciento de los dispositivos tenían interfaces de
usuario inseguras. Asimismo, 8 de cada 10 dispositivos fallaron en solicitar una
contraseña lo suficientemente fuerte como para proteger la información
contenida en el sistema.
Es así como vemos que de un solo estudio podemos obtener datos que nos
hacen ver la necesidad que existe de una regulación sobre los temas que se
relacionan al Internet de las Cosas, pues los problemas de seguridad que se
captan en un dispositivo pueden ser multiplicados y convertirse en cuestión de
segundos en decenas o centenas de vulnerabilidades. 1
Imaginemos además la posibilidad que existe de que los objetos o dispositivos
que cuentan con sensores o chips inteligentes pueden percibir el contexto y
1
http://fortifyprotect.com/HP_IoT_Research_Study.pdf
comunicarse entre sí, realizando transferencias de datos sin autorización del
titular de la información.
Un negocio del cual según General Electric calcula que hasta el 46% de la
economía mundial se puede beneficiar, y del cual según la consultora global
McKinsey calcula que el impacto económico podría alcanzar los 6.200 millones
de dólares en 2025, hará que las empresas busquen los medios necesarios para
formar parte del Internet de las Cosas y de esta forma contribuir con el
tratamiento y la transferencia de datos a nivel global. Esto de no manejarse
de forma correcta podría atentar contra los principios de autodeterminación
informativa, consentimiento informado y el derecho fundamental a la
privacidad.
Pero más allá de lo que las empresas puedan obtener, tenemos también el
peligro latente que existe y que a futuro se multiplicará por la cantidad de
datos personales con que cuenten las empresas y que de alguna u otra manera
pueden ser objeto de robo por ciberdelincuentes con el fin de lucrar con esas
bases de datos tan específicas y valiosas.
Las implicaciones de privacidad y seguridad que genera la creciente
conectividad de los dispositivos para comunicarse entre sí y con las personas
es un fenómeno que afecta a los consumidores tanto en su entorno como
fuera de él. No en vano la Comisión Europea mediante consulta pública
cuyos resultados se publicaron en febrero de 2013 junto con los trabajos del
Grupo de Expertos sobre el Internet de las Cosas designado por la propia
Comisión, hizo hincapié en los potenciales riesgos sobre la privacidad,
la protección de datos y la seguridad que pueden generar los dispositivos
conectados al Internet de las Cosas, esto en función de la criticidad de las
circunstancias que afectan a cada aplicación o sistema en el que se despliegan
estas tecnologías.
Para los expertos de este grupo de la Comisión Europea, los riesgos dependen
del contexto y la situación, así como de las funciones que cumplen los objetos
conectados (por ejemplo dispositivos de monitorización de indicadores de
salud, de geolocalización o para redes inteligentes). Por otro lado, la
complejidad del asunto aumenta si consideramos que los sistemas utilizados
en el Internet de las Cosas son capaces de ser actualizados de manera remota,
lo que puede eventualmente hacer que se adquieran de forma sobrevenida
funcionalidades para las que no fueron inicialmente diseñados, pasando así a
capturar nuevos tipos de datos o que estos sean utilizados para finalidades
diferentes alas inicialmente previstas.
El Internet de las Cosas está fomentando que se de mayor facilidad de acceso
a datos sensibles, por lo que al no existir un sistema de seguridad 100 por
ciento infalible, existe la posibilidad de que problemas tecnológicos o ataques
malignos puedan provocar algún fallo o interrupción en el funcionamiento de
los sistemas que pueden derivar en daños irreparables a las personas o a
las infraestructuras físicas que utilizan los dispositivos.
El artículo primero de la ley de Protección de Datos en Costa Rica (N°8968) es
claro, y específico al indicar que cualquier persona, independientemente de su
nacionalidad, residencia o domicilio, encuentra en este cuerpo de leyes el
respeto a sus derechos fundamentales, concretamente, su derecho a la
autodeterminación informativa en relación con su vida o actividad privada y
demás derechos de la personalidad, así como la defensa de su libertad e
igualdad con respecto al tratamiento automatizado o manual de los datos
correspondientes a su persona o bienes.
Tenemos aquí, al inicio de la ley un enunciado que protege nuestros datos
personales del tratamiento no autorizado, pero que a simple vista salta una
dificultad que se plantea y es entorno a cómo hacer cumplir este primer
fundamento de la ley si no logramos controlar los aspectos de seguridad a nivel
de Internet. Por ejemplo en caso que un dispositivo “A” que transmite datos
sensibles de su usuario a la institución que los conserva por la vía de Internet
inalámbrica puede ver su seguridad comprometida u otro dispositivo puede
obtener la información que se transmite, todo esto sin autorización ni
conocimiento del titular de los datos y la institución responsable del
tratamiento de los mismos.
En caso de que estas acciones se llevaran a cabo sin el conocimiento del titular
de la información o del responsable de la base de datos, la información
obtenida de manera ilegal podría eventualmente ser utilizada por terceros
para entablar acciones discriminatorias en contra del titular, contraviniendo
así el espíritu del artículo 4 de la Ley 8968.
Aunado a esto, vimos anteriormente como también existe la posibilidad para
que de manera remota un dispositivo conectado a Internet transmitiendo
datos del titular que lo utiliza, pueda ser actualizado sin necesidad de que la
persona interesada lo sepa, y mucho menos llevando a cabo el procedimiento
de obtención de datos personales de acuerdo al artículo quinto de la Ley de
Protección de Datos de Costa Rica, incumpliendo de esta manera con el
principio de consentimiento informado.
Por otro existe un vacío legal en Costa Rica que debe de ser reformado según
se desarrolle aún más el Internet de las Cosas. La ley número 8968, al igual que
la gran mayoría de leyes de Protección de Datos a nivel global, se crearon con
la intención de proteger datos que se encuentran localizadas en bases de
datos, y no se refieren a datos que se encuentran en proceso de ser
almacenados.
El numeral 14 de la ley de Protección de Datos de Costa Rica referente a la
transferencia de datos personales indica que “Los responsables de las bases de
datos, públicas o privadas, solo podrán transferir datos contenidos en ellas
cuando el titular del derecho haya autorizado expresa y válidamente tal
transferencia y se haga sin vulnerar los principios y derechos reconocidos en
esta ley.” De una lectura del artículo podemos entender que se refiere a una
transferencia de datos que se encuentren contenidos en bases de datos, pero
no menciona en ningún momento que pasaría si esa transferencia se realiza
previo a la inclusión de los datos en la base de datos, tal y como sería el caso
de transferir la información al momento preciso de obtenerla pero previo al
envío de la base de datos.
No escapa a toda esta discusión el hecho de que las bases de datos a nivel
global pasarán a ser enormes, pues siendo que para el año 2020 se espera que
existan 50 mil millones de dispositivos conectados a la red, el tráfico de datos
será impresionante, haciéndonos pensar en quienes serán las pocas
instituciones o empresas capaces de albergar tal cantidad de datos con un
dinamismo absoluto e inmediato sin problemas de alteración de datos o
errores a la hora de enviar información solicitada, lo cual eventualmente
puede poner en riesgo la vida de las personas por un fallo en el sistema o por
una alteración en el orden de los datos almacenados.
Viendo el asunto desde otra perspectiva, si bien realmente es maravilloso el
hecho de poder estar al otro lado del mundo y abrirle la puerta a un invitado
en la casa, o que el médico pueda ver en tiempo real el estado del corazón de
su paciente, es necesario un papeleo legal con el fin de obtener obligaciones y
derechos en la relación que se pretende llevar a cabo.
Es así como debido a la legalidad de todo proceso hoy en día -y tras firmar
contratos de forma obligada- si pretende el usuario acceder a los servicios que
se le ofrecen, dichos contratos muchas veces cuentan con términos legales
indescifrables escritos por especialistas en redactar ambigüedades, en los que
de alguna u otra manera se le cede información personal sensible a alguien
que no es siquiera conocido del usuario, lo cual, si no se especifica con la
claridad absoluta necesaria a la hora de redactar los documentos legales, no
se cuenta con una respuesta clara de a quien le pertenecen los datos obtenidos
y conservados en la eventualidad de la muerte del propio titular de esa
información. ¿Pasan estos datos a ser parte integral de las bases de datos de
la empresa o institución encargada de recopilar dichos datos para brindarle un
servicio en vida, o pueden sus herederos legítimos decidir el futuro de esos
datos bajo el supuesto de que son los herederos legales del fallecido y todo lo
que le perteneció en vida?
Conclusiones
Las posibilidades que se pueden generar por un correcto uso y manejo del
Internet de las Cosas es impresionante: el salvar vidas, ahorro en bienes finitos,
el estado de un vehículo en tiempo real, publicidad a la medida, y otras tantas,
son todas acciones que de una u otra manera pretenden mejorar nuestra
condición de vida. Sin embargo, este auge de la conexión a Internet de todas
las Cosas al mismo tiempo debilita la seguridad e incrementa los riesgos de
ciberataques si no se toman las precauciones necesarias y se regula de manera
que se pueda utilizar sin limitar sus usos positivos.
La implementación del protocolo IPv6 a nivel mundial aunque va a paso lento
no es casualidad, pues para que cualquier objeto pueda conectarse a internet,
necesita una dirección IP, y es por eso, que desde el año 2012 el mundo online
comenzó la migración a un nuevo protocolo de Internet, el cual en vez de tener
4.000 millones de direcciones IP, como tenía el anterior, tendrá la posibilidad
de crear 340 trillones de trillones (es decir, el número 340 seguido de 36 ceros)
de direcciones, cumpliendo con los requerimientos que tendrá el Internet de
las Cosas a futuro.
Otra interrogante que plantea este tema es la posibilidad de que los usuarios
de estos dispositivos conectados a la red tengan la posibilidad de “silenciar los
chips” que captan o transmiten los datos, teniendo así la posibilidad de
mantener su privacidad en el momento en que así lo quieran tener, ejerciendo
su derecho a desconectarse y que las redes de sensores dejen de capturar y
monitorizar sus actividades.
Es necesario determinar que todo lo que se encuentre conectado por el
Internet de las Cosas venga de fábrica con un sistema de “Privacidad por
Default” en donde si bien el producto que se obtiene puede venir con un chip
inteligente para la transferencia de datos, la decisión de activarlo dependa
única y exclusivamente del usuario, aplicando siempre el principio de
consentimiento informado. Aunado a esto, el producto debe contar con un
documento que cumpla con los requerimientos del consentimiento informado
con el fin de que quien lo adquiere tenga toda la información de lo que sucede
con sus datos desde que son captados hasta que son eventualmente
eliminados.
El Internet de las Cosas no está exento de peligros, pues todo estará conectado
y por ende todo estará en riesgo por posibles fallos de seguridad. La
ciberseguridad es una ciencia profundamente imperfecta que se encuentra en
la vertiente de ser probada y deberá demostrar la capacidad de respuesta que
ha venido creando. No obstante, esto debe de estar complementado por
regulaciones que le permitan a los usuarios, titulares, y demás partes que
intervienen en los procesos del Internet de las Cosas, tener la posibilidad de
defender sus derechos sin que la afectación sea irreparable.
Esa alianza que se ha formado del Internet de las Cosas con otras tendencias
tales como “Big Data” (cantidades masivas de datos recogidos continuamente
e imposibles de analizar con mecanismos tradicionales por su volumen y
complejidad) y “Open Data” (datos abiertos, públicos y disponibles para su
análisis por cualquier persona o entidad) también está creando un semillero
para la aparición de una nueva generación de servicios de análisis capaces de
encontrar asociaciones entre factores intuitivamente alejados entre sí.
El Internet de las Cosas no pretende detenerse y es por esto que debe de existir
una supervisión continua de la privacidad y protección de los datos personales
capturados, una identificación de posibles riesgos y la constante creación de
grupo y foros de seguimiento del paradigma de Internet de las Cosas,
incluyendo temas necesarios como la posibilidad del “silencio de los chips”.
En esta ponencia se ha señalado a algunos productos comerciales disponibles
con el Internet de las Cosas que pueden ser identificados como “espías
silenciosos”, pues son monitores de nuestra actividad. El rápido avance que
existe en este tema es precisamente por sus beneficiosos, pues tienen la
capacidad de revelar información oculta, y hacer visible lo invisible ayudando
así a conocer mejor nuestro entorno y a nosotros mismos. La parte peligrosa y
oscura de la cual debemos estar pendientes es que la información personal
que estos objetos recogen tienen un gran valor, y ésta se puede asociar con
otro tipo de información que se encuentra en Internet, haciendo necesario el
extremar medidas de seguridad y proceder a desarrollar de manera pronta
pero cuidadosa las regulaciones necesarias para proteger la privacidad de las
personas y la protección de sus datos personales, de esta forma otorgándoles
el pleno derecho a ser los decisores del destino de dicha información.
Se debe entonces iniciar con una campaña en donde se las leyes de protección
de datos que se crean se adapten al avance del Internet de las Cosas y se
proceda a mejorar y actualizar las regulaciones existentes. Lo anterior con el
fin de no detener esta corriente pero si encausándola, permitiendo a todos los
involucrados en el proceso de transferencia de datos conocer de forma clara y
precisa sus derechos y sus obligaciones reconociendo la necesidad del avance
tecnológico acompañado de una regulación a la medida.
Protección de datos personales y la privacidad en procesos electorales
Autor:
Héctor Revelo Herrera
El secuestro administrativo de información de interés público es una figura que
Antonio
Muzoccano la describe en su “Libro Derecho a la Intimidad Frente al Derecho
de la Información”
este secuestro restringe el Derecho a la Información que tenemos todos los
ciudadanos, la Ley de
Comunicación Ecuatoriana publicada en el Registro Oficial No. 22 del 25 de
junio del 2013, en el
Art. 29 dice que “ .. Toda conducta que constituya una restricción ilegal a la
libertad de
información, será sancionada administrativamente de la misma manera que
esta Ley lo hace en
los casos de censura previa por autoridades públicas y en los medios de
comunicación, sin
perjuicio de las otras acciones legales a las que haya lugar” en el Art. 2 del
Código de la
Democracia de Ecuador, establece que los ciudadanos tenemos como derecho
“. Exigir la
rendición de cuentas y la transparencia de la información de los sujetos
políticos”
Los ciudadanos al aceptar participar como candidatos se convierten
automáticamente en sujetos
públicos, de quienes se exige transparencia e información y que en ocasiones
se puede afectar a
su derecho de privacidad. Carlos G. Gregorio, experto argentino que participó
en el Foro Derecho
a la Información Vs. Derecho a la Privacidad realizado en abril del 2013, en la
FLACSO, propone que
“en el contexto de las campañas electorales y en el seguimiento a las
autoridades electas por los
ciudadanos es relevante el acceso a la información sobre su desempeño. Sin
embargo los
ciudadanos necesitan también inferir cuál será el desempeño de las personas
que eligen para un
puesto público, para poder formarse esa idea y en consecuencias convertirlos
en sus
representantes políticos necesitan algunos datos más. La tendencia ha
mostrado que los votantes
se interesan por algunos aspectos de la vida privada de los candidatos y de los
elegidos. Para
comprender cuál es el balance o la ponderación entre acceso a la información
y protección de la
vida privada es posible utilizar el concepto de figura pública en contraposición
de figura privada.
Este concepto ha ido aparecido paulatinamente en la jurisprudencia en el
contexto de los casos
de difamación: como por en ejemplo en Clavell v. El Vocero de Puerto Rico:
«La aplicación a una
persona de la etiqueta de figura pública significa a fin de cuentas, que para
prevalecer en un pleito
de difamación se le someterá a un criterio más riguroso de prueba, que su
derecho a la intimidad
pesa menos que el derecho de otros a la libre expresión, a menos que
demuestre la existencia en
esto de malicia real».[ José A. Clavell Ruiz et al v. El Vocero de Puerto Rico, Inc.
y Tomás de Jesús
Mangual, 115 D.P.R. 685 (24 de octubre de 1984 )]”.
Belen Albornoz (Flacso - 2013) , en el “Estado del Arte del Derecho a la
Privacidad y derecho a la
información de sujetos políticos en Ecuador” encuentra que a mediados del
siglo XIX ya estaba
presente el respeto a la vida privada a través de la adaptación de derechos ya
existentes y de la
jurisprudencia que protegía a la persona de los riesgos de atentar a su
personalidad. Eran objeto
de protección los escritos personales y otras formas de producción personal,
no sólo contra la
posibilidad de robo, pero contra la posibilidad de publicación; esta protección
no sólo hacía
referencia a la propiedad privada sino también a la “inviolabilidad de la
personalidad”. Y es este
principio el que fundamenta lo que Warren y Brandeis definen como derecho
a permanecer solo y
el que permite el fallo de la corte que protege la vida privada de la intromisión
de la prensa, la
fotografía o cualquier otro medio moderno de transcripción (1890).
En la concepción democrática, el pueblo gobierna
representantes. El ciudadano
a través de sus
ejerce su derecho a “Elegir”, los candidatos auspiciados por una organización
política ejercen su
derecho a “Ser elegidos”, es entonces el Ciudadano el protagonista del proceso
de elección de
autoridades, precandidatos y candidatos, quienes posteriormente serán sus
representantes, y a
quienes el ciudadano tiene el derecho de exigir cuentas, transparencia y
acceso a información.
En este ejercicio democrático los candidatos se convierten en sujetos políticos
y personajes públicos,
de quienes el ciudadano exige información.
DESARROLLO:
La protección de datos personales es un principio que se aplica tanto al
ciudadano como a los
candidatos, en el proceso tradicional de elección de los diferentes
ordenamientos legales de
Iberoamérica, se puede observar una fuerte y creciente tradición a los valores
democráticos,
entre los datos personales que deben ser protegidos están la identidad del
elector, y la elección
política de quien lo representará; la opción que mediante su voluntad y
raciocinio cree que es la
mejor para la representar a la ciudadanía. Este principio se incorpora en los
términos “universal,
igual, libre y secreto para la elección de sus representantes”, salvaguardando
la identidad del
votante, la elección del elector.
Internet y las redes sociales virtuales ofrecen al elector la posibilidad de seguir
e incluso
promocionar o criticar a una de las opciones electorales de manera abierta o
cerrada al grupo de
contactos, las legislaciones deben garantizar mecanismos que permitan la
eliminación por parte
del usuario de contenido no deseado, independientemente de donde se
encuentren ubicados los
servidores y centros de tratamiento de datos, salvo que pese sobre el mismo
una investigación
judicial o policial, que obligará a mantenerlo mientras dure la misma.
Las Redes Sociales juegan un papel fundamental en la vida electoral actual. Los
candidatos
exponen su trayectoria y propuestas electorales en la Web, los electores
expresan sus
preferencias por estos medios virtuales.
Estos medios masivos de
comunicación on-line se han
transformado en verdaderos observatorios electorales, donde se pueden
realizar estudios
cuantitativos y cualitativos sobre el caudal electoral y la fuerza de cada
organización política.
La generalización del uso de las nuevas tecnologías de la información y
comunicación están
planteando innumerables beneficios en nuestra vida diaria y a la vez, pero a la
vez generan la
necesidad de proteger derechos tan antiguos como la intimidad o la propia
imagen y derechos de
tercera generación como pueden ser la protección de datos de carácter
personal o privacidad.
Desde el punto de vista del sufragio activo y del elector, las nuevas
posibilidades del voto
electrónico aportan importantes ventajas en cuanto a la rapidez de los
escrutinios al facilitar el
mismo y limitar los supuestos de votos nulos por duplicidad de papeletas o
enmiendas o
tachaduras.
Desde el punto de vista del sufragio pasivo, los candidatos, al aceptar
participar en un proceso
electoral se convierten automáticamente en sujetos públicos, de quienes se
exige transparencia e
información y que en ocasiones se puede afectar a su derecho de privacidad e
incluso el de
terceros como son sus familiares y amigos. “en el contexto de las campañas
electorales y en el
seguimiento a las autoridades electas por los ciudadanos es relevante el
acceso a la información
sobre su desempeño. Sin embargo los ciudadanos necesitan también inferir
cuál será el
desempeño de las personas que eligen para un puesto público, para poder
formarse esa idea y en
consecuencias convertirlos en sus representantes políticos necesitan algunos
datos más. La
tendencia ha mostrado que los votantes se interesan por algunos aspectos de
la vida privada de
los candidatos y de los elegidos”.
Pero esta necesidad democrática de formarse por parte de los electores no
puede justificar un
“todo vale”, puesto que el candidato debe tener un cierto grado de intimidad
y privacidad dentro
de su ámbito privado y familiar. El carácter universal de la red, el efecto viral
de las redes sociales y
el fenómeno de la deslocalización de centros de tratamiento no pueden ser a
la vez una excusa y
un problema para el derecho a la privacidad de los candidatos. Por ello se
deben unificar criterios
tanto a nivel legislativo como jurisprudencial para una mejor delimitación de
la esfera íntima y
personal de candidato y que esas practicas no puedan quedar impunes.
En Ecuador se encuentra que a mediados del siglo XIX ya estaba presente el
respeto a la vida
privada a través de la adaptación de derechos ya existentes y de la
jurisprudencia que protegía a
la persona de los riesgos de atentar a su personalidad. Eran objeto de
protección los escritos
personales y otras formas de producción personal, no sólo contra la posibilidad
de robo, pero
contra la posibilidad de publicación; esta protección no sólo hacía referencia a
la propiedad
privada sino también a la “inviolabilidad de la personalidad”. Y es este
principio el que
fundamenta lo que Warren y Brandeis definen como derecho a permanecer
solo y el que permite
el fallo de la corte que protege la vida privada de la intromisión de la prensa,
la fotografía o
cualquier otro medio moderno de transcripción.
CONCLUSIONES
La protección de datos personales es fundamental, no solo en la identidad de
los electores y en el
secreto de sus pensamientos políticos, sino hasta donde la trasparencia de la
información de los
candidatos que se someten a la elección popular en el procesos electoral,
puede afectar su vida
privada, su entorno íntimo o familiar. Debe existir un límite razonable y
equilibrado entre la
información pública, el derecho a la intimidad, a la privacidad, el honor, la
libertad de expresión y
la protección de datos personales.
La intimidad diferencia la vida pública de la vida privada de las personas, en él
los sujetos pueden
liberarse de los roles que juegan en público para construir su vida íntima. Y es
en este sentido que
el derecho a la privacidad es una condición necesaria para la formación de la
personalidad. En una
época de transparencias y de sobre exposición del sujeto como la que vivimos,
este derecho a la
opacidad del individuo se vuelve particularmente relevante.
En época electoral se debe cuidar especialmente el efecto viral de un rumor o
de una noticia,
mensaje, video, audio o cualquier tipo de mensaje que pueda afectarnos,
máxime atendiendo a la
velocidad con que la información viaja a través de Internet, donde los datos
traspasan fronteras y
la reparación del honor de las personas se pierde de página en página,
buscador, red social o blog.
Ese daño puede llegar a ser irreparable y su trascendencia en el tiempo puede
afectar, no sólo al
propio candidato, si no a su entorno familiar y personal.
Debe existir una ética y una cultura de protección de datos en los procesos
electorales, que verse
tanto en la privacidad de los propios electores como de los elegibles. Ese
compromiso debe ser de
todos, nos sólo de los ciudadanos, del resto de formaciones políticas,
candidatos, medios de
comunicación. La transparencia y la protección de datos de las personas no
debe estar
enfrentada, siempre que garantice la esfera más intima de las personas,
aquella que salvaguardan
las Constituciones y Declaraciones Internacionales, el derecho a la intimidad
personal,
diferenciando, aunque en ocasiones sea una ardua labor, la esfera personal de
la pública, la
personal de la profesional, estableciendo criterios globales atendiendo a la
transversalización de
la información.
El compromiso debe basarse en la realización de campañas propositivas y de
valor, el respeto a
los datos personales e íntimos de las personas (electores, candidatos o
personajes públicos), la
promoción de la cultura de respeto a terceros del círculo cercano y su
información personal e
íntima
Los Estados e Instituciones deben llevar a cabo programas de sensibilización a
los sujetos
políticos y la ciudadanía, promoviendo esos valores: el respeto y no agresión,
con un manejo
responsable del derecho a la
información. Solo desde una correcta
información y formación,
desde el compromiso de todas las partes intervinientes se puede garantizar un
proceso
democrático que respete los derechos de las personas.
Debe protegerse la información más personal de las personas, haciendo
hincapié en su esfera más
íntima (sus creencias, orientación sexual, situación de salud) y otros temas no
relacionados
directamente con el objeto electoral, como información personal e íntima del
candidato y sus
allegados. Este compromiso no debe limitarse o ser excluyente en época
electoral. La tipificación
de información sensible no debe ser limitada por el medio a través del cual se
transmite ni por
quién lo hace, la libertad de expresión, el derecho a la información debe
encontrarse en consecuencia y comunión con el derecho a la privacidad y a la
protección de los datos personales,
en un marco de legalidad, al amparo de las diferentes Constituciones.
Los organismos reguladores, los tribunales de justicia y los mecanismos
legalmente establecidos
deben velar por el derecho ciudadano al buen nombre, la buena reputación, la
presunción de
inocencia de las personas y el derecho a los datos que le pertenecen, tal y
como sucede el resto
del tiempo fuera de la época electoral, ésta no puede suponer una excepción
dentro de la
legalidad vigente y la protección de los derechos.
Bibliografía
Albornoz, B. y Rosales, R. (2013) Estado del Arte del Derecho a la Información
Vs Derecho a la
Privacidad. Quito, Ecuador: FLACSO
Silva, R. y Revelo H. (2013) Proyecto Voto Transparente Elecciones 2014,
aprobado por el Consejo
Nacional Electoral. Quito, Ecuador
José A. Clavell Ruiz et al v. El Vocero de Puerto Rico, Inc. y Tomás de Jesús
Mangual, 115 D.P.R. 685
(24 de octubre de 1984 )]
Antonio Muzoccano, (2010) Derecho a la Intimidad Frente al Derecho de la
Información
Carlos G. Gregorio, (2010), Datos personales y libertad de expresión en redes
sociales digitales.
La geolocalización y la protección de datos personales.
O. Andrea Mendoza Enríquez2
I. Introducción
La geolocalización es una práctica relativamente nueva que ha tenido auge
gracias al desarrollo tecnológico, particularmente de dispositivos móviles con
acceso a Internet. Es también llamada georreferenciación y consiste en
proporcionar una ubicación geográfica de modo automático de un objeto en
un sistema de coordenadas determinado.
Este servicio implica un conjunto organizado de hardware y software, que se
encuentran diseñados especialmente para capturar, almacenar, manipular y
analizar en todas sus posibles formas la información geográfica referenciada.
Si bien, el servicio implica principalmente cuestiones técnicas, en el desarrollo
del mismo, se han puesto de relieve aspectos jurídicos no resueltos,
particularmente los relativos a los límites de la geolocalización en relación a la
privacidad de las personas.
En este sentido, el trabajo desarrolla una aproximación de los límites de la
geolocalización respecto a la protección de datos personales de los individuos;
asimismo, hace un análisis de las políticas de privacidad de las redes sociales
más populares que involucran servicios de geolocalización y finalmente,
aborda los alcances de los mandatos judiciales para la obtención de datos a
través de la geolocalización y su utilización en Tribunales.
2
Coordinadora Académica y Profesora Investigadora de Tiempo Completo de la Maestría en Derecho de las
TIC del Fondo de Información y Documentación para la Industria INFOTEC. Doctoranda en Derecho por la
Benemérita Universidad Autónoma de Puebla.
II. Aspectos generales
La geolocalización es un concepto que hace referencia a la situación que ocupa
un objeto en el espacio y que se mide en coordenadas de latitud (x), longitud
(y) y altura (z)3.
La palabra geolocalización tiene 2.350.000 resultados en Google España y
aparece en Wikipedia con la siguiente acepción: “La georreferenciación es un
neologismo que refiere al posicionamiento con el que se define la localización
de un objeto espacial (representado mediante punto, vector, área, volumen)
en un sistema de coordenadas y datum determinado.”4
En este sentido, el término no ha sido reconocido por la Real Academia de la
Lengua ya que como se ha dicho, se trata de un nuevo concepto que aún no
ha sido incorporado ni aceptado por la comunidad lingüística5.
La geolocalización tiene distintas utilidades, entre las que destacan: las
aplicaciones web, las herramientas dentro de procedimientos judiciales,
instrumentos comerciales y de mercadotecnia, entre otros.
Existen distintos tipos geolocalización:
Los Geoportales: aquellos que generan y obtienen información geográfica, con
herramientas como Google Maps, Google Earth, Openstreetmap, Ikimap, etc.
3
Cfr. Beltrán López, Gersón, Geolocalización y redes sociales. Un mundo social, local y móvil, España, Bubok
Publishing, 2012, p. 25.
4
Ibidem, p. 28
5
Ibidem pp. 28 y 29.
La Geolocalización Aumentada como forma de innovación.
El Geomarketing y el Geocommerce como forma de promocionar y vender
productos y servicios.
El Geoposicionamiento Web como forma de posicionar en los buscadores, con
herramientas como Google Places.
La Geolocalización Social como forma de compartir información, con
herramientas como Foursquare, Gowalla, Twitter, Facebook y Google6.
La geolocalización ha tenido un especial desarrollo gracias a los dispositivos
móviles, como herramientas de comunicación, y las personas y sus redes
sociales, como generadoras de la misma. En este sentido, la evolución de la
geolocalización ha sido rápida, atendiendo a los bajos costos que implica el
servicio.
Los dispositivos móviles hacen que la ubicación alcance numerosas
posibilidades, tal y como señala Natalia Arroyo Vázquez en el Informe APEI
sobre movilidad: “Al combinarse con la posición del usuario, que está en
movimiento, es posible obtener información única para cada persona, basada
en la posición en que se encuentra, de ahí el interés que suscita en el mundo
de la publicidad. Así, algunas de las aplicaciones y sitios web para móviles
aprovechan esta funcionalidad”7.
El acceso a redes sociales a través de dispositivos móviles, cada vez es mayor,
convirtiéndose en el instrumento número uno de acceso a dichas plataformas.
6
Cfr. Beltrán López, Gersón, Op. Cit., nota 2, p. 22.
Consultado el 31/074/2014 en: http://www.apei.es/wp-content/uploads/2013/11/InformeAPEIMovilidad.pdf
7
En este sentido, El 86% de las personas accede a Internet a través de un
teléfono inteligente: asimismo, las apps se consolidan como el principal acceso
a internet desde los teléfonos inteligentes8.
III. La geolocalización y las políticas de privacidad de las redes sociales.
La evolución de las redes sociales ha permitido incorporar nuevas experiencias
de navegación, tales como la geolocalización, que permiten incrementar los
servicios a través de dichas plataformas.
En este sentido, muchos de los servicios de Internet –incluyendo los prestados
a través de redes sociales- se basan en el intercambio o consumo de
información personal: se ofrecen al usuario servicios aparentemente gratuitos
pero cuya contraprestación no es otra que acceder a sus datos personales
(perfil de navegación, lista de amigos, el contenido de los mensajes escritos o
recibidos, etc.), con la finalidad de elaborar perfiles de consumo o para remitir
determinada publicidad9.
Las redes sociales ofrecen servicios de geolocalización, los cuales en muchas
ocasiones vulneran la privacidad de las personas.10
8
Consultado el 31/07/2014 en: http://www.abc.es/tecnologia/moviles-aplicaciones/20130925/abci-appsacceso-internet-movil-201309251404.html
9
Cfr. Verdaguer López, Bergas Jané, Todo Protección de Datos 2013, Ed. CISS, España, 2012, colección Todo,
p. 350.
10
La resolución europea indica que debe aparecer desactivado el servicio de geolocalización, y será el usuario
quien lo deba activar y no por default.
Derivado de lo anterior, la información –constituida en su mayoría por datos
personales de los usuarios- asume un rol importante y un alto valor
económico, por lo que cada vez la privacidad plantea uno de los más
importantes dilemas en la sociedad de la información y el conocimiento. Lo
anterior, ya que las mismas tecnologías que nos hacen la vida más fácil,
también pueden hacernos perder parte de nuestras libertades básicas, entre
ellas la privacidad11.
De acuerdo al Instituto Nacional de Tecnologías de la Comunicación y la AEPD,
dada la gran cantidad de datos personales que los usuarios publican en sus
perfiles –incluyendo los servicios de geolocalización tales como forsquareéstos se convierten en auténticas identidades digitales que facilitan un rápido
conocimiento de datos de contacto, preferencias y hábitos del usuario.
Con la generalización del término y de los medios sociales se ha generado una
nueva corriente denominada geolocalización social, que hace referencia a la
utilización de herramientas de geolocalización para generar redes sociales en
torno al lugar donde se encuentran las personas o negocios. El acceso a los
dispositivos móviles con GPS incorporado es lo que hace posible esta
interacción entre las personas y el espacio en que se sitúan.12
Según el estudio del Observatorio de las Redes Sociales 2011, denominado The
Cocktail Analysis y patrocinado por BBVA y Microsoft, en el análisis de las
actividades que se realizan en el móvil al menos una vez al mes, el 25% de los
encuestados indica actividades de geolocalización, sólo por detrás del uso del
11
Idem.
12
Cfr. Beltrán López, Gersón, Op. Cit., nota 2, p. 25.
Messenger, y en sexto lugar está el uso de Foursquare con un 8%. Asimismo,
el V Estudio Anual IAB Spain Mobile Marketing: Informe de Resultados
(Septiembre 2013)13, acerca a la sociedad actual en cuanto a equipamiento
tecnológico y conectividad que disponen, sus hábitos de acceso a Internet
desde móvil y tablet, además de un análisis de las herramientas de marketing
móvil a través de Internet móvil14.
Existen distintas herramientas que permiten la utilización de servicios de
geolocalización en redes sociales, las cuales –en apariencia- deberán contar
con la autorización expresa del titular de la cuenta:
Facebook: La geolocalización social. Antes utilizaba Facebook Places para
geolocalizar pero la ha cerrado aunque mantiene la opción de geolocalizar a
los usuarios y sus acciones en el muro15.
Twitter: Tanto los usuarios en su perfil como los tweets que lanzan tienen la
opción de seleccionar la geolocalización16.
Linkedin: Esta red social profesional no tiene específicamente un mapa con los
usuarios pero sí se puede visualizar la opción de "Ubicaciones principales en tu
red" en el apartado de Estadísticas: Geolocalización y Redes Sociales17.
13
El estudios de hizo sobre una muestra de más de 1000 personas entre 18 y 55 años.
Consultado el 31/07/2014 en: http://www.julianmarquina.es/el-86-de-las-personas-accede-a-internet-atraves-del-smartphone/
15
Consultado el 31/07/2014 en: www.facebook.com/myfriendmap
14
16
Consultado el 31/074/2014 en: http://tweepsmap.com/Geolocalización y Redes Sociales
17
Consultado el 31/07/2014 en: http://www.linkedin.com/
Foursquare: Red social de geolocalización basada en que los usuarios hagan
públicos sus llegadas a diversos sitios y lo compartan con su red.
Flickr: La aplicación de Microsoft que permite generar álbumes de fotos y
geolocalizar donde se han realizado18.
Instagram: Una aplicación que gana cada vez más usuarios y da la posibilidad
de geolocalizar las fotos en función de las personas, los lugares y las etiquetas.
19
Como se ha establecido en líneas previas, la utilización de redes sociales a
través de dispositivos móviles permite maximizar el uso de servicios de
geolocalización; sin embargo, esta práctica pone en riesgo la privacidad de los
usuarios, quienes en muchas ocasiones, desconocen los fines de los datos
recabados a través del servicio20.
En este sentido, las autoridades europeas se han manifestado respecto a dicha
situación, particularmente a través del Dictamen sobre la incidencia en la
privacidad de los Servicios de Geolocalización en dispositivos móviles
inteligentes de 201121, en donde se analiza el impacto en la privacidad de los
18
19
Consultado el 31/07/2014 en: http://www.flickr.com/
Cfr. Beltrán López, Gersón, Op. Cit., nota 2, pp. 79-85.
Los riesgos en torno a la privacidad de los usuarios de servicios de geolocalización tienen como fuente
principal el monitores constante de localización, y el que el dispositivo móvil esté ligado a una persona
concreta, quien puede ser identificada directa o indirectamente con el usuario. Esta tecnología, como lo ha
dicho el grupo de trabajo de Artículo 29, puede llegar a revelar detalles íntimos sobre la vida privada del
propietario del dispositivo móvil, que permite a los proveedores de servicios de geolocalización una visión
personal de los hábitos y costumbres del propietario del dispositivo, lo cual lleva a crear perfiles exhaustivos
que incluyen categorías de datos personales.
21
En este dictamen se establece el marco jurídico aplicable en materia de protección de datos, a los servicios
de geolocalización disponibles en los dispositivos móviles inteligentes.
20
servicios de geolocalización a través de los teléfonos inteligentes, y el cual
concluye con recomendaciones precisas, particularmente las relativas al
consentimiento informado, como salvaguarda de la privacidad de los usuarios.
Principales puntos del dictamen:
• Los datos de localización de teléfonos inteligentes pueden revelar detalles
íntimos de la vida privada de su propietario, y así permitir obtener patrones de
conducta del titular para crear perfiles de consumo.
• De forma predeterminada, los servicios de localización deben estar
apagados; es decir, la configuración de la geolocalización no puede ser por
default y su activación requerirá previamente del consentimiento informado y
específico del usuario.
• Los interesados deben poder retirar su consentimiento de manera fácil.
• Las Autoridades de protección de datos destacan el impacto que pueden
tener en la privacidad de los usuarios los servicios de geolocalización debido a
que la tecnología de dispositivos móviles inteligentes permite la
monitorización constante de los datos de localización; a que los dispositivos
están íntimamente ligados a una persona concreta; y a que normalmente
existe una identificabilidad directa e indirecta del usuario.
• Se establece como parte de las obligaciones de los prestadores de servicios
de geolocalización el consentimiento previo, informado y específico respecto
al tratamiento de los datos.
• Respecto a la utilización de esta tecnología en el ámbito laboral, se destaca
que, respecto a los trabajadores, los empresarios sólo podrán adoptar esta
tecnología cuando pueda demostrarse que es necesaria para un fin legítimo.
En los casos en los que pueda justificarse debidamente, el empresario debe
buscar siempre los medios menos intrusivos, evitar la monitorización
constante e informar a los trabajadores sobre como desactivar el dispositivo
de monitorización fuera de las horas de trabajo.
• Respecto al control infantil, establece que los padres deben juzgar si el uso
de este tipo de aplicaciones está justificado en circunstancias específicas.
Como mínimo, deben informar a sus hijos y, tan pronto como sea posible,
deben permitirles tomar parte en la decisión de utilizar este tipo de aplicación.
• El periodo conservación de los datos será un periodo justificado de tiempo22.
• Los proveedores de servicios de geolocalización y las aplicaciones deben
respetar y cumplir los derechos de los usuarios a acceder, rectificar o borrar,
los datos de ubicación que se han recogido, a los posibles perfiles sobre la
base de estos datos de localización, así como información sobre destinatarios
a quienes se comuniquen los datos. La información debe facilitarse en un
formato legible23.
III. La geolocalización para fines judiciales
22
Esta recomendación suscitó inconformidad entre algunos sectores, ya que hace que criterios subjetivos
sean considerados en la decisión respecto al tiempo de conservación de los datos.
23
Más información en: http://ec.europa.eu/atoz_en.htm
En el contexto internacional, existen instrumentos jurídicos que prevén la
utilización de la geolocalización con fines de cooperación entre Estados, a fin
de prevenir delitos en el ámbito digital. Uno de los más importantes es el
Convenio de Cibercriminalidad o Convenio de Budapest24, el cual llama a los
Estados adheridos a “adoptar medidas legislativas y de otro tipo que resulten
necesarias para facilitar a sus autoridades competentes ordenar a un
proveedor de servicios de Internet, comunique los datos que obren en su
poder o bajo su control, relativos a los abonados en relación a dichos
servicios”25.
Aunado a lo anterior, para el caso de México, el Código Nacional de
Procedimientos Penales, en su artículo 30326, prevé la facultad de la autoridad
para solicitar a prestadores de servicios de telecomunicaciones o
comunicaciones vía satélite, la localización geográfica en tiempo real de los
equipos de comunicación móvil relacionados a hechos investigados.
24 México se encuentra en proceso de adhesión a dicho Convenio.
25 Consultado el 31/07/2014
http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/ETS_185_spanish.PDF
26
“Artículo 303. Localización geográfica en tiempo real. Cuando exista denuncia o querella, y bajo su más
estricta responsabilidad, el Procurador, o el servidor público en quien se delegue la facultad, solicitará a los
concesionarios o permisionarios o comercializadoras del servicio de telecomunicaciones o comunicación vía
satélite, la localización geográfica en tiempo real de los equipos de comunicación móvil asociados a una línea
que se encuentren relacionados con los hechos que se investigan en términos de las disposiciones aplicables.
Asimismo se les podrá requerir la conservación inmediata de datos contenidos en redes, sistemas o equipos
de informática, hasta por un tiempo máximo de noventa días en los casos de delitos relacionados o cometidos
con medios informáticos”.
Por otro lado, la reciente Ley Federal de Telecomunicaciones y Radiodifusión
de México, en especial los artículos 189 y 190 prevén disposiciones relativas a
la geolocalización en tiempo real y a la obligación de los prestadores de
servicios de telecomunicaciones a otorgar información derivada de dicha
práctica a las autoridades competentes.
Cabe mencionar que las dos legislaciones nacionales de las que se ha hablado,
han suscitado controversia entre la sociedad civil, expertos en el tema y
algunos legisladores, particularmente por la posible vulneración de la
protección de datos personales de los usuarios de servicios de
telecomunicaciones, al no establecerse de manera clara los límites de dicha
facultad, y particularmente respecto a los requisitos mínimos que el legislador
estableció para fundar cualquier solicitud en la materia.
En este sentido, diversas autoridades como la Comisión Nacional de Derechos
Humanos, y el Instituto de Acceso a la Información Pública y Protección de
Datos Personales del Distrito Federal, han promovido acciones de
inconstitucionalidad ante la Suprema Corte de Justicia de la Nación, sin haber
prosperado.
El 16 de enero de 2014 la Suprema Corte de Justicia de la Nación, declaró
constitucional la geolocalización y validó la facultad de los procuradores y de
las entidades judiciales estatales para solicitar sin orden judicial, a las
empresas de servicios de telecomunicaciones y comunicaciones vía satélite, la
localización en tiempo real de equipos móviles, relacionados con hechos
delictivos de alto impacto27.
El máximo órgano garante de protección de datos personales en México, el
Instituto Federal de Acceso a la Información Pública y Protección de Datos
Personales IFAI, resolvió mediante 4 votos en contra y tres a favor, no
promover acción de inconstitucionalidad en contra de la reciente Ley Federal
de Telecomunicaciones y Radiodifusión.
Por otro lado, países como Colombia han legislado el tema de la utilización de
geolocalización con fines judiciales.
Dicha legislación prevé la utilización de geolocalización y otras tecnologías, con
fines de inteligencia y contrainteligencia28 y para tal efecto se han emitido
disposiciones de principios que rigen esa práctica, así como las situaciones en
las que se llevará a cabo.
En este sentido, los aspectos sobre el tratamiento de datos para fines de
inteligencia y contra inteligencia fueron regulados en la Ley Estatutaria 1621
de 201329, que constituye el marco jurídico de esas actividades.
27
Los límites que estableció la Corte, respecto a la atribución de los Ministerios Públicos solicitantes de
información, son la de dejar constancia de dicha solicitud en el expediente de la averiguación previa y la de
motivar el requerimiento solo en caso de extrema urgencia.
28 La inteligencia es un proceso a través del cual se realiza la recolección de una información que es analizada
y luego difundida. Contrainteligencia es ese proceso encaminado a proteger el conocimiento obtenido para
que no se fugue la información y garantizar la seguridad del personal y la infraestructura. Consultado el
31/07/2014
en:
http://www.agenciadenoticias.unal.edu.co/ndetalle/article/inteligencia-ycontrainteligencia-necesitan-reglamentacion-clara.html
29
La primera ley de inteligencia se tramitó en 2011; sin embargo la Corte declaró que debía ser estatutaria en
virtud de que tiene incidencia en los derechos humanos y no así ordinaria como se tramitó en el Congreso de
la República de Colombia.
De acuerdo a Nelson Remolina, “la función de inteligencia y contrainteligencia,
por definición gira en torno a la recolección, procesamiento, análisis y uso de
información para fines establecidos en la ley”. Esta actividad está reglada y
limitada por el respeto de los derechos humanos, como la intimidad y el debido
proceso. El tratamiento de la información para dicha función sólo puede ser
para fines determinados por la Ley30 y no puede utilizarse para cuestiones
ilegales y discriminatorias31.
Entre los fines se encuentran:
a) Asegurar la consecución de los fines esenciales del Estado, la vigencia
del régimen democrático, la integridad territorial, la soberanía, la
seguridad y defensa de la Nación.
b) Proteger las instituciones democráticas de la República, así como los
derechos de las personas residentes en Colombia y de los ciudadanos
colombianos en todo tiempo y lugar –en particular los derechos a la vida
y a la integridad personal-.
c) Proteger los recursos naturales y los intereses económicos dela
Nación32.
30
El artículo 4° de la Ley 1621
31
Cfr. Remolina Angarita, Nelson, Tratamiento de datos personales: Aproximación internacional y
comentarios a la ley 1581 de 2012, Colombia, Legis, 2013, pp. 326 y 327.
32
Consultado el 31/07/2014 en:
http://wsp.presidencia.gov.co/Normativa/Leyes/Documents/2013/LEY%201621%20DEL%2017%20DE%20A
BRIL%20DE%202013.pdf
En cuanto a los principios de tratamiento de datos en la materia, se deben
aplicar los siguientes: legalidad, finalidad, acceso y circulación restringida,
proporcionalidad en los medios utilizados para recolectar información y la
cantidad de información que es capturada, temporalidad, veracidad o calidad,
confidencialidad y seguridad.33
La ley exige a los organismos que desarrollan actividades de inteligencia y
contrainteligencia que adopten las medidas necesarias para impedir que
cualquiera de sus miembros copien, porten, reproduzcan, almacenen,
manipulen o divulguen cualquier tipo de información de inteligencia o
contrainteligencia con fines distintos al cumplimiento de su misión34.
El artículo 17 de la ley prevé que el monitoreo no constituye interceptación de
comunicaciones -ya que para esto se necesita una orden judicial-, sino una
supervisión de las comunicaciones de manera aleatoria como manera
preventiva35.
En este sentido, al igual que en México diversas organizaciones civiles se han
pronunciado por la inconstitucionalidad de varios de los artículos de la ley
citada, particularmente por lo relativo al monitoreo aleatorio que violenta el
derecho a la privacidad de las personas.
33
34
Cfr. Remolina Angarita, Nelson, Op. Cit., nota 26, p. 328.
Ibidem p. 330
Consultado el 31/07/2014 en: http://www.agenciadenoticias.unal.edu.co/ndetalle/article/inteligencia-ycontrainteligencia-necesitan-reglamentacion-clara.html
35
Aunado a lo anterior, surge la preocupación de la sociedad civil respecto a
actividades ilegales de inteligencia que pudiera llevar a cabo el Estado
colombiano.
Como se ha visto en este apartado, la legislación de los Estados ha incorporado
en gran medida cuestiones relativas a la geolocalización, particularmente al
dotar de facultades a las autoridades para solicitar información a los
prestadores de servicios de telecomunicaciones; sin embargo, no establecer
límites claros del ámbito de actuación de dichas autoridades, así como los
requisitos mínimos de las solicitudes de información -siguiendo los principios
de proporcionalidad- hacen posible que se vulneren los derechos
fundamentales de los individuos.
VI. Conclusiones
1. La geolocalización ha tenido un desarrollo significativo debido a su
utilización a través de dispositivos móviles conectados a Internet.
2. Se puede vislumbrar que el manejo de la geolocalización con diversos
fines irá en aumento, a medida que las TIC evolucionen.
3. La geolocalización permite nuevos modelos de negocio que radican
principalmente en la oferta de servicios y productos derivada de los
perfiles de consumo.
4. La información es el principal suministro para que la geolocalización
funcione, por lo cual los datos personales tienen un valor económico
significativo en la sociedad de la información y el conocimiento.
5. La utilización de servicios como el de geolocalización supone situaciones
de vulnerabilidad de los usuarios, respecto al derecho a la protección de
datos personales y a la vida privada, por lo que se deberán establecer
los límites de la utilización del servicio frente a la intimidad del usuario.
6. La geolocalización ha servido como instrumento de apoyo en instancias
judiciales, a fin de determinar responsabilidades o la comisión de
delitos.
7. La tendencia internacional es que los Estados reconozcan la
intervención de las telecomunicaciones –entre ellas la geolocalizacióncon fines judiciales, como una actividad lícita de las autoridades
facultadas. Esta intervención podría vulnerar los derechos humanos de
los usuarios, en la medida que no se dicten reglas claras respecto a los
límites, situaciones, autoridades únicas facultadas y sobre todo la
consideración del principio de proporcionalidad en relación a los datos
de los usuarios.
8. Se deben establecer requisitos mínimos en las solicitudes de
información a los prestadores de servicios de telecomunicaciones, a fin
de salvaguardar los derechos humanos.
9. Para el caso México, se debe considerar la autorización judicial previa
en cualquier solicitud de información derivada de servicios de
geolocalización, a fin de evitar abusos por parte de las Procuradurías de
Justicia.
10 . La autoridad solicitante de la información derivada de servicios de
geolocalización, debe considerar los principios de proporcionalidad de
la información, así como la presunción de inocencia del individuo.
11 .Finalmente, en el caso de la legislación mexicana prevé que la solicitud
de información dirigida al prestador de servicios de telecomunicaciones,
deberá establecer el delito que se persigue. En este sentido, debe
prevalecer la privacidad del individuo, en virtud de que la autoridad
misma estaría informando de datos derivados de una actuación judicial
a un tercero (prestador de servicios de telecomunicaciones).
El uso de spyware como diligencia de investigación en España: ¿inmoralidad
necesaria?
Dr. D. Federico Bueno de Mata Profesor Ayudante Doctor. Área de Derecho
Procesal. UNIVERSIDAD DE SALAMANCA. ESPAÑA
1. Introducción: hacia un Gran Hermano mundial.
Podemos afirmar que George Orwell y su aclamado best-seller “1984” tenían
razón: vivimos en un Gran Hermano planetario. Hace poco más de uno año
millones de ciudadanos de distintos puntos del planeta se conmocionaban al
conocer la posibilidad de que muchas parcelas de su intimidad podrían haber
sido violadas a través de PRISM, un programa secreto de vigilancia electrónica
a cargo de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos, cuya
confidencialidad saltó por los aires gracias a diversos datos filtrados a los
periódicos The Guardian y The Washington Post por Edward Snowden1,
antiguo empleado de la CIA y de la propia NSA. Desde ese momento Snowden
se ha convertido en un prófugo de la justicia estadounidense y continua en
paradero desconocido, aunque todo parece indicar que se encuentra en Rusia.
Pues bien, a partir de ese día sabemos que EEUU
ha vulnerado
constantemente derechos fundamentales de millones de personas
1 “Edward Snowden says motive behind
leaks was to expose “surveillance state”, The Washington Post, 9 de junio de
2013.
Disponible
snowden-says-
en
http://www.washingtonpost.com/politics/edwardmotive-behind-leaks-was-to-expose-surveillance-
state/2013/06/09/aa3f0804-d13b-11e2-a73e-
826d299ff459_story.html?tid=pm_politics_pop (Fecha de consulta: 19 de
junio de 2014).
amparándose en sus propias leyes y obviando la jurisdicción de cualquier otro
Estado del planeta Tierra, debido a que esta vigilancia tiene por objeto a
personas no residentes en EEUU y el espectro de datos que controla es
amplísimo: desde rastreo de direcciones IP hasta correos electrónicos, perfiles
en redes sociales o transferencia de archivos2.
Pensamos que esta impactante revelación, de la que muchos ingenieros
informáticos siempre tuvieron sospecha, ha tenido un impacto triple en el
resto de países. Por un lado, un retorno a una posición política de recelo ante
la actuación del gigante americano, y por otro, el inicio de un cambio legal a
nivel interno en el que muchos países están apostando por crear normativas
encaminadas a favorecer el ciberespionaje y en fomentar el control ciudadano
a través de técnicas más invasivas, ocasionando así un menoscabo de la
libertad y la intimidad de sus ciudadanos. Por último, la sensación de
oscurantismo y falta de ética trasladada a los justiciables de a pie ocasiona un
evidente estado de desconfianza y genera una pregunta clara: ¿dónde está el
límite?
Si estas reflexiones las trasladamos a un plano jurídico el reto que debemos
afrontar se basa en analizar las consecuencias legales que este acontecimiento
puede conllevar y focalizar las distintas líneas rojas que dichos preceptos
legales no pueden sobrepasar. De esta forma, si centramos nuestra atención
en la normativa española vemos como existen nuevos proyectos de regulación
procesal entre las que destaca por encima del resto el borrador del nuevo
Código Procesal Penal (CPP), aún pendiente de aprobación3.
2 GREENWALD, G., “NSA collecting phone
records of millions of Verizon customers daily”. The Guardian, de 5 de junio de
2013.. http://www.theguardian.com/world/2013/jun/06/nsa-phone-recordsverizon-court-order ( Fecha de consulta: 17 de junio de 2014). 3 Texto íntegro
del
Borrador
del
Código
Procesal
Penal
disponible
en:
http://www.fiscal.es/cs/Satellite?c=FG_Multimedia_FA&cid=1247141143692
&pagename=PFiscal%2FF G_Multimedia_FA%2FFGE_fckDescarga (Fecha de
consulta: 2 de abril de 2014).
Pues bien, si relacionamos directamente el tema del ciberesespionaje con el
articulado de este futurible Código podemos ver cómo los artículos 350 a 352
del mismo contemplan una medida muy polémica, consistente en regular el
malware y spyware como diligencia de investigación policial a través del uso
de troyanos y distintos virus espía por parte de los Cuerpos y Fuerzas de
Seguridad del Estado para perseguir distintos delitos producidos en Internet.
Muchos de los párrafos de su articulado responden a un contenido ambiguo y
polémico que merece ser objeto de estudio y debate, pues debemos analizar
hasta qué punto estas actuaciones, aunque gocen de autorización judicial para
vulnerar distintos derechos fundamentales por razones de política criminal,
podrían ser encuadrables o no dentro de lo que se denomina “ethical
hacking4”, ¿realmente todo vale? ¿el fin justifica los medios?, éstas y otras
cuestiones serán analizadas a lo largo de este artículo desde un punto de vista
procesal.
2. Análisis de la regulación sobre utilización de troyanos con fines de
investigación policial en el borrador de Código Procesal Penal Español.
A continuación vamos a realizar un análisis de los artículos 350 a 352 del
futurible Código Procesal Penal, en los que se regula la utilización de virus con
fines de investigación policial, al tiempo que iremos focalizando las sombras
que surgen de su lectura e interpretación, para a su vez intentar dar algo de
luz a tan polémico asunto. Para una lectura más ágil, adjuntamos como anexo
a esta ponencia el contenido íntegro de los artículos objeto de estudio.
4 REYES PLATA, A., “Ethical Hacking”,
Subdirección de Seguridad de la Información/UNAM-CERT, disponible en
http://www.seguridad.unam.mx/ (Fecha de consulta: 22 de junio de 2014).
También definiciones y principios en http://www.ethicalhacking.com/ (Fecha
de consulta: 17 de junio de 2014).
Así, siguiendo un orden cronológico empezaremos por desgranar el primer
punto del artículo 350 en el que se regulan los presupuestos para adoptar esta
medida. En estas primeras líneas podemos ver como el CPP, tal y como regula
anteriormente, confía la instrucción del caso al Ministerio Fiscal, quién deberá
“pedir razonadamente” al Tribunal de Garantías la autorización de la medida,
por lo tanto será éste último el órgano encargado únicamente de supervisar y
cerciorar la idoneidad de las medidas a utilizar. Posteriormente al hablar de
forma abstracta de “instalación de software” para el manejo remoto del
equipo vemos como no cierra de forma concreta la modalidad de virus a usar
por la policía judicial, por lo que deja en el aire la naturaleza maliciosa del virus
informático, aunque al hacer referencia al control y manejo remoto todo nos
lleva a pesar que se trata de un spyware de naturaleza zombie5.
En primer lugar, debemos manifestar que partimos de un sinsentido, al pensar
que hacer público un artículo que podría posteriormente materializarse en un
protocolo de investigación concreto e interno de los CFSE no deja de ser un
error si el objetivo del texto es atajar conductas criminales de “verdaderos
expertos en ciberdelincuencia”…Realmente, pensamos que esta normativa, tal
y como está redactada, únicamente valdría para detener e incriminar a
personas que tengan un control de las TICs medio-bajo, a lo que si a esto le
sumamos que, como veremos posteriormente, se podría usar esta medida
para ciberdelitos dolosos mayores a 3 años y que el nuevo Código Penal
español penará la exportación de links o la bajada de contenidos y el
“mercadeo” P2P en ordenadores situados en España…es realmente el usuario
medio el que estaría en el punto de mira.
5 Vid. VELASCO NUÑEZ, E., Delitos cometidos
a través de Internet. Cuestiones procesales, Madrid, 2010, págs. 131-137,
explica lo que significa un virus con naturaleza zombie, en el que infectas a un
terminal y puedes usarlo a tu antojo sin que la persona propietaria del mismo
perciba ningún cambio.
Igualmente, partimos de que el articulado es innecesario según el enfoque
que se ha dado porque ya existen otras medidas que se podrían potenciar y
que no dejan de ser menos invasivas y técnicamente menos complejas que el
uso de virus espía, tales como la intervención de las comunicaciones, los
ciberrastreos o la figura del agente encubierto en Internet. Igualmente, dada
la publicidad del borrador del CPP, las personas que se dedican a cometer
delitos en la Red a gran escala se pondrán aún más sobre aviso, brindándoles
un tiempo que a nivel tecnológico es inmenso y teniendo así la reforma un
efecto contraproductivo.
De nuevo la justicia avanza mucho más lenta que la tecnología, y la publicación
de este tipo de articulado no deja de constituir una especie de alarma para las
personas que se dedican a cometer este tipo de actividades ilícitas a través de
la Red. Creemos que el legislador se ha dejado llevar por la imagen idealizada6
que el ciudadano de a pie tiene de los hackers…es decir, asociamos la idea del
hacker con una persona solitaria y hermética que se dedica a buscar retos
informáticos que superar, cuando realmente dos de los tres ejes de delitos que
abarca el borrador del CPP suelen estar perpetrados en su mayoría por grupos
criminales coordinados a lo largo de varios países.
Por ello, tenemos que pensar realmente en el caso de que alguien con
conocimientos técnicos avanzados, es decir algún ingeniero informático,
leyera el artículo. Sin duda el profesional se pondría rápidamente en la
posición de hacker y pensaría la forma de eludir el ataque de este tipo de virus.
6 Vid. “Jueces hackers: el nuevo Código
Procesal Penal podría permitir que se pirateen móviles y ordenadores”, Diario
Crítico,
Edición
del
4
de
junio
de
2014,
disponible
en:
http://www.diariocritico.com/nacional/troyano/pirateria/codigo-procesalpenal/436117 (Fecha de consulta: 11 de junio de 2014).
Normalmente las personas que realicen este tipo de delitos a gran escala no
usan su ordenador personal e incluso suelen optar ellos mismos por controlar
de forma remota otro tipo de terminales7 a través de la inclusión de malware
en diversos equipos informáticos con el fin de crear una red zombie de
ordenadores y un ejército de bots que consumen la acción y así preservar su
anonimato…aún así, si esto posteriormente se demuestra mediante un perito
informático veríamos como no existiría dolo en este tipo de actuaciones y su
conducta podría quedar impune. Todo ello, eso sí, al margen de que los
potenciales ciberdelincuentes fabriquen nuevos virus autónomos para atacar
distintos bienes jurídicos a distintas escalas: desde arremeter contra
cuestiones personales de usuarios hasta llegar a desmantelar la seguridad y la
infraestructura del propio Estado.
Una vez expuestas nuestras dudas sobre el enfoque del texto debemos
analizar si realmente esta medida es, tal y como reza el texto “idónea y
necesaria para el esclarecimiento del hecho investigado”. Todo eso dependerá
de qué hechos queremos investigar con esta medida.
Pues bien, en este caso el texto ve oportuno la utilización de esta medida para
tres tipos de delitos para los que realmente existen otras medidas menos
invasivas para los derechos fundamentales ya reguladas en España dentro del
espectro de técnicas de interceptación de comunicaciones. Igualmente, los
delitos deben ser dolosos y el catálogo contemplado sería el siguiente:
ciberdelitos con pena de privación de libertad superior a 3 años, infracciones
cometidas en Internet a gran escala que afecten a bienes jurídicos concretos
como el grooming, el cyberbulling o el phising y por último, ciberdelitos
realizados por organizaciones criminales encaminadas a
7 Así lo expone también RUIZ HERVÁS, Y.,
“Troyanos para la investigación policial: el fin no justifica los medios”, El
Diario.es,
número
del
6
de
junio
de
2014,
http://www.eldiario.es/zonacritica/Troyanos- investigacion-policial-justificamedios_6_140395962.html (Fecha de consulta: 23 de julio de 2014).
poner en peligro las infraestructuras tecnológicas del Estado, es decir,
ciberterrorismo.
Así las cosas, ¿estamos ante una normativa correcta o realmente deberíamos
abogar por una modificación del articulado antes de que el mismo entre en
vigor? Claramente optamos por esta segunda opción con una premisa clara:
debemos prestar atención a figuras ya contempladas en nuestro derecho
interno y al mismo tiempo hacia la UE para solucionar este tipo de situaciones,
al poseer muchas de ellas un alto componente transfronterizo, por todo ello,
pasamos a exponer a continuación los razonamientos que nos llevan a
sostener esta postura.
De esta forma, si el CPP siguiera adelante y utilizásemos la inclusión de
troyanos para investigar ciberdelitos dolosos con pena de privación de libertad
superior a 3 años, estaríamos ante una técnica excesivamente invasiva, más
aún cuando el proyecto de Código Penal español prevé penas superiores a tres
años para cuestiones de redirección de links o descargas de música. Por ello,
insistimos es que esta medida acabaría atacando prioritariamente al usuario
medio y nos podría llevar a casos en los que un ordenador familiar, utilizado
por varios miembros de la familia, podría ser investigado de forma remota e
integral, vulnerando la intimidad del resto de usuarios, hayan realizado esas
descargas o no8.
Por todo ello proponemos para este primer punto una intervención que
responda a los principios de proporcionalidad y necesidad a través de la
regulación genérica ya establecida para la “interceptación de comunicaciones”
a través del polémico programa SITEL, utilizado por los CFSE.
En España la intervención de las comunicaciones consiste en la
8 En este sentido también se manifiesta
TEJERINA, O., Defensora del Internauta en España en el artículo publicado en
http://www.internautas.org/html/7604.html ( Fecha de consulta: 19 de julio
de 2014).
restricción del derecho fundamental al secreto de las comunicaciones
contenido en el art. 18.3 de la Constitución Española9, efectuada por una
resolución judicial motivada. En este sentido, la problemática procesal que
plantea la interceptación de esta figura en España es triple, por un lado los
problemas de competencia territorial, en segundo lugar el fenómeno de la
interceptación de esta figura y por otro los problemas de autoría y
recepción10.
En el orden jurisdiccional penal las infracciones penales producidas a través de
comunicaciones electrónicas desde distintos dispositivos plantean la situación
de que, en muchas ocasiones, entre el lugar en el que el sujeto ejecuta el
comando que activa el programa y el lugar en el que se produce la ofensa al
bien jurídico exista, una notable distancia geográfica, posibilitando así que el
resultado ofensivo al bien jurídico no se produzca en un único lugar11. Por
tanto necesitaríamos una reforma con carácter previo a la solución acerca de
qué órgano judicial ha de asumir el conocimiento de un determinado asunto
resulta obligado ver si el hecho debe entenderse ejecutado o no en los límites
de la jurisdicción española siendo partidarios de la teoría que dice que el delito
sería cometido en todas las jurisdicciones y que por tanto cualquiera de los
órganos jurisdiccionales tendría competencia en el asunto12.
Del mismo modo, tampoco existe una regulación sobre los datos externos de
los correos electrónicos, la custodia y destrucción de los soportes magnéticos
o telemáticos, el valor probatorio de la
9
GIMENO SENDRA “La intervención de las comunicaciones” Diario La Ley, Nº
7192, Sección Doctrina, 9 Jun. 2009, Año XXX, Ref. D-210, Editorial LA LEY. 10
BUENO DE MATA.F. “La interceptación de los e-mails”, Revista Justicia, 2009,
págs. 5 y ss. 11 MARCHENA GÓMEZ, M. “ Dimensión jurídico-penal del correo
electrónico”, Diario La Ley Nº 6475, 4 de Mayo de 2006, págs. 15 y ss. 12 La
Sala Segunda del Tribunal Supremo, en su Acuerdo de pleno no jurisdiccional,
Sala General, fechado el día 3 de marzo de 2005, proclamó que “el delito se
comete en todas las jurisdicciones en las que se haya realizado algún elemento
del tipo. En consecuencia, el Juez de cualquiera de ellas que primero haya
iniciado las actuaciones procesales será en principio competente para la
instrucción de la causa” La solución propugnada permite optar por el doble
criterio de ubicuidad, entre el lugar de ejecución y el lugar de resultado.
prueba inconstitucionalmente obtenida en estos casos específicos, regulación
para las personas jurídicas, la ausencia del tiempo máximo de intervención13
o una regulación específica para el programa espía utilizado por la policía
judicial: SITEL14. Por lo que realmente sería mucho más efectivo solucionar
todas estas lagunas en el próximo CPP antes de apostar por una normativa
nueva.
Por supuesto, no podemos confundir SITEL con otras herramientas conocidas
a nivel mundial como PRISM, pues su alcance y objeto de actuación es muy
reducido, al interceptar únicamente comunicaciones electrónicas dentro de la
extensión y límites territoriales establecidos para la jurisdicción española. En
referencia a la laguna legal que plantea su uso, se puede constatar por
declaraciones políticas que el programa nació en 2001 y no fue hasta ley
ordinaria 25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones
(LCDCE), cuando obtuvo un manto legal tardío e insuficiente. En este sentido
la regulación se debería dar siempre por una ley orgánica, es decir por mayoría
absoluta, y no una ley ordinaria, al limitar derechos fundamentales.
En segundo lugar, sobre los temas que afectan a bienes jurídicos
especialmente protegidos como es la distribución de imágenes pornográficas
de menores de edad o las estafas a gran escala en el comercio electrónico
creemos que también existen medidas más efectivas ya contempladas cuando
el sistema informático se encuentre situado en territorio sobre el que se
extienda la jurisdicción española.
13 Como referencia citar que de conformidad
con lo dispuesto en el art. 579.3 el plazo de duración de las intervenciones
telefónicas, salvo solicitud de prórroga, no puede ser superior a tres meses. 14
Vid. Para profundizar más sobre SITEL y la interceptación de las
comunicaciones BUENO DE MATA, F., MARTÍN RUANI, H. y VARGAS BASILIO,
A., “Interceptación y monitoreo de correo electrónico”, Diario El Dial, 2012,
págs. 4 y ss.
Por un lado, en primer lugar para los delitos de grooming o ciberbullyng, tal y
como llevamos apostando años atrás15, pensamos que la potenciación de la
figura del agente encubierto en Internet se vuelve algo preceptivo e
imprescindible a nivel nacional.
La figura del agente encubierto para infiltraciones en terrenos físicos,
encuentra su regulación en el art. 282 bis LECrim, gracias a una reforma de la
Ley de Enjuiciamiento Criminal en materia de perfeccionamiento de la
actividad investigadora relacionada con el tráfico ilegal de drogas y otras
actividades ilícitas graves, efectuada por Ley Orgánica 5/ 1999, de 13 de enero.
El problema es que dicho artículo establece un numerus clausus16 o
enumeración tasada de delitos para su uso, lo que impediría su uso en delitos
cometidos en la Red. Aún así, a finales del mes de marzo de 2011 el Senado
aprobó regular la figura del agente policial encubierto en Internet en
investigaciones contra la pornografía infantil y la pedofilia17.
Por todo ello, con el avance constante que tiene la tecnología, consideramos
un error realizar una lista tasada de delitos a los que hacer frente con esta
figura y nos decantaríamos más por establecer aquí un sistema de numerus
apertus basado en categorías de delitos y no en figuras concretas; por lo que
estaríamos hablando siempre de “compartimentos abiertos”, para evitar de
este modo clasificaciones a que queden rápidamente desfasadas. Así, si
extrapolamos el concepto del agente encubierto en el terreno físico y
15 BUENO DE MATA, F., “El agente encubierto
en Internet: mentiras virtuales para alcanzar la justicia”, Los retos del Poder
Judicial ante la sociedad globalizada. Actas del IV Congreso Gallego de Derecho
Procesal (I Internacional) A Coruña, 2 y 3 de junio de 2011, PÉREZ-CRUZ
MARTÍN, A. (dir.), FERREIRO BAAMONDE, X. (dir). A Coruña: Universidade,
2012, págs. 295-306. Los “ciberrastreos” estaban pensados para investigar
intercambio de archivos en redes P2P, como Emule, Kaaza o Elephant, pero
ahora necesitamos otro tipo de investigación más personal y directa,
valiéndonos de las ventajas aportadas por la figura de los agentes encubiertos
en Internet 16 Vid. RIFÁ SOLER, J. M., se cuestiona si el listado recoge numerus
apertus o clausus, en “El agente encubierto o infiltrado en la nueva regulación
de la LECrim.”, Poder Judicial, núm. 55, pág. 161; nosotros entendemos que
con la actual redacción es una lista cerrada y tasada. 17 Vid.
http://www.tecnoupdate.com.ar/2011/03/21/espana-agentes-encubiertosen-internet-contra-la- pedofilia/ (Fecha de consulta: 13 de Abril de 2011).
lo llevamos al plano virtual, podríamos definir al agente encubierto en Internet
como un empleado o funcionario público18 que, voluntariamente, y por
decisión de una autoridad judicial, se infiltra en la Red con el fin de obtener
información sobre autores de determinadas prácticas ilícitas producidas a
través de la Red, que causen una gran repulsa y alarma a nivel social.
Cuestiones distinta sería valorar, al igual que con los virus, la técnica basada
en el engaño y en la ocultación de la verdadera identidad con fines de
investigación…una cuestión de ethical hacking que creemos plenamente
justificada por la naturaleza concreta del delito a investigar y el bien jurídico
lesionado relacionado con personas especialmente vulnerables como los
menores de edad.
Ahora bien, dentro de este mismo segundo bloque cuando los delitos
anteriores adquieren el carácter de transfronterizos, al conllevar por su propia
naturaleza una gran distancia geográfica entre el lugar de comisión y el lugar
de lesión como en los casos de phising; optaríamos por redirigir la
investigación a nivel europeo gracias al nuevo Centro Europeo Contra el
Cibercrimen19, EC3, con sede en la Haya y que empezará a funcionar en enero
de 2015 siendo dirigido por la Oficina Europea de Policía, Europol. Ahora bien,
hemos de reconocer que el articulado sí contempla el recurso a los
mecanismos de cooperación internacional cuando los equipos no se
encuentren en España al regular que “se instarán las medidas de cooperación
judicial internacional en los términos establecidos por la Ley, los Tratados y
Convenios internacionales aplicables y el derecho de la Unión Europea”, pero
pensamos que debe ser a la inversa, un texto europeo que se transpusiera a la
normativa interna de los Estados.
18 BUENO
DE MATA, F., “Un centinela virtual para investigar delitos cometidos a través
de las redes sociales: ¿Deberían ampliarse las actuales funciones del agente
encubierto en Internet?”, El proceso penal en la sociedad de la información:
Las nuevas tecnologías para investigar probar el delito, coord. PÉREZ GIL, J.,
Madrid, 2012, págs. 311 y ss. 19 Vid. https://www.europol.europa.eu/ec3
(Fecha de consulta: 3 de abril de 2014)
¿Qué nos lleva recurrir a este nuevo instrumento de cooperación judicial
internacional? Al encontrarnos ante delitos con un gran carácter
transfronterizo y analizando el carácter bipolar de la norma española, ya que
por un lado se configura como un método excesivamente lesivo para los
derechos fundamentales de los potenciales investigados por un lado, pero que
acota la investigación únicamente a terminales que se encuentre en territorio
español por otro; pensamos que para detener las acciones delictivas a gran
escala es necesario que la Comisión Europea colabore para poder ampliar la
capacidad analítica y operacional en investigaciones de este tipo. En este
sentido, el EC3 nace con la idea de constituir un instrumento de coordinación
en el terreno de los delitos informáticos y como centro de apoyo operativo y
de investigación forense a nivel europeo20, puesto que la lesión de bienes
jurídicos en ciberdelitos de tal magnitud puede producirse en multitud de
Estados miembros, con distintas jurisdicciones y normativas internas que
pueden obstaculizar la investigación y posterior detención de los presuntos
autores.
Según sus propios promotores, el EC3 proporcionará soporte operacional a los
países de la UE, dando un mayor acceso a la experiencia técnica en las
investigaciones conjuntas y podrá así fomentar la puesta en común de
recursos de cada estado miembro en la prevención del cibercrimen, ésta será
la única manera de desmantelar redes organizadas de este tipo, gracias a una
estructura europea capaz de atajar un problema de tal envergadura.
Pues bien, tras analizar los dos primeros bloques para los que está destinada
la futura normativa, solo nos atreveríamos a preservar el precepto, tras una
oportuna y detallada regulación mucho más específica garantista, su
aplicación en casos de ciberterrorismo tal y como pretendió en su día hacer
Alemania, ya que posteriormente el
20 Vid.
https://www.europol.europa.eu/ec3/infographic (Fecha de consulta: 5 de
abril de 2014)
Tribunal Constitucional
considerarla, tal
alemán declaró inconstitucional la norma, al
como apunta ORTIZ PRADILLO,
contraria “al derecho
fundamental a la garantía de confidencialidad e integridad de los equipos
informáticos21”. Únicamente apostaríamos por su mantenimiento, al ser un
problema nacional ante el que la población española esta especialmente
sensibilizada, siempre que la misma fuera fruto de una transposición de una
Directiva europea a derecho interno, pues insistimos en que estos problemas
se deben resolver, dada a su trascendencia desde un punto de vista normativo
e institucional superior.
En este sentido, al igual que la tecnología evoluciona de una forma vertiginosa,
la capacidad de adaptación por parte de las bandas terroristas es vertiginosa.
El uso de las nuevas tecnologías como instrumento para cometer atentados y
como elemento de ataque es una realidad inminente con una enorme
proyección de futuro, ya que, por un lado
los ataques crecen
desmesuradamente año a año y sus autores en la mayor parte de los casos son
personas jóvenes con gran poder de amoldarse a los cambios tecnológicos, lo
que aviva el peligro22.
Consideraríamos actos propios de ciberterrorismo23 el uso de las TICs como
acción del delito y no como instrumento o elemento de apoyo a una
infraestructura criminal. Por tanto esta convergencia del ciberespacio con el
terrorismo podría ser definido como el ataque premeditado y políticamente
motivado contra información, sistemas,
21 ORTIZ PRADILLO, J. lo apunta en un
artículo con gran impacto , “La policía podrá usar troyanos para investigar
ordenadores y tabletas”, periódico EL PAÍS, de 3 de junio de 2014, disponible
en
http://sociedad.elpais.com/sociedad/2013/06/03/actualidad/1370289646_8
65495.html (Fecha de consulta: 3 de junio de 2014). 22 VELASCO NÚÑEZ, E.
“Aspectos procesales de la investigación y de la defensa en los delitos
informáticos", La Ley: Revista jurídica española de doctrina, jurisprudencia y
bibliografía, ISSN 0211- 2744, Nº 3, 2006, págs. 1857-1864. 23 Vid. BUENO DE
MATA, F. “Ciberterrorismo: tratamiento procesal y penal del terrorismo del
futuro”, Estudios actuales en derecho y ciencia política, coord. CARRIZO
GONZÁLEZ-CASTELL, A., 2013, págs. 313-323
programas y datos informatizados relativos a la integridad y la seguridad del
Estado por parte de grupos terroristas. En conclusión, optaríamos por abogar
igualmente por una normativa europea para el ciberterrorismo a nivel
internacional.
Por último debemos hacer una referencia a una parte concreta del articulado
centrado en los deberes de colaboración de entidades personas externas que
se regulan en los artículos 351 y 352.
Así, en el artículo 351 vemos como existe una obligación por parte de los
proveedores de acceso o servicios telemáticos y los titulares o responsables
del sistema informático a facilitar los datos e información recogidos en su
sistema que puedan ser objeto de examen y visualización. Cuestión
plenamente razonable, y que compartimos, siempre que se actúe caso por
caso y no se deje abierta la puerta a un filtrado de información periódica, pues
entonces estaríamos repitiendo a pequeña escala el caso de la NSA.
Pero la polémica se suscita con la llegada del art. 352. 2 al regular que “Las
autoridades y los agentes encargados de la investigación podrán ordenar a
cualquier persona que conozca el funcionamiento del sistema informático o
las medidas aplicadas para proteger los datos informáticos contenidos en el
mismo que facilite la información que resulte necesaria para el buen fin de la
diligencia”. Lo que nos transporta a una situación en la que todo está
permitido, un “todo vale” para que la diligencia acabe bien y en el que se ve
claramente que el fin justifica los medios, ya que con la denominación
“cualquier persona” se desprenden dos efectos negativos inmediatos. En
primer lugar, se desvalora o se reconoce como insuficiente la capacitación
técnica de la policía judicial en términos de investigación policial, cuando
existen unidades concretas con miembros con años de especialización que han
sido formados para tal fin y están en
constante reciclaje y capacitación, por lo que a nivel publicitario y de imagen
exterior no creemos que nos haga ningún bien y, en segundo lugar, ¿qué perfil
tiene esa persona? Al hablarse de un cualquier no se acota la identidad de ese
sujeto, ¿se está hablando de un ingeniero informático profesional? O por el
contrario ¿se abre la puerta al fichaje de hackers que actúen sin fines éticos e
incluso criminales? Preguntas retóricas que a todas luces hacen urgente la
clarificación de este apartado si la norma llegara a entrar en vigor.
3. Reflexión final acerca de la idoneidad de la normativa en derecho español.
Debemos dejar claro que partimos de un futurible, un Código Procesal Penal
que si tenemos en cuenta la fecha en la que nos encontramos, y a sabiendas
de que las próximas elecciones serán a finales del 2015, puede que no cumpla
con los plazos de tramitación parlamentaria, a no ser que se opte por
introducir reformas parciales que gocen de trámites más ágiles y tengan por
objeto la regulación de esta diligencia de investigación.
Al margen del tema temporal y centrándonos en el análisis del Borrador,
vemos como por todo lo expuesto anteriormente, queda claro que no
compartimos la redacción de los artículos 250 a 252 del CPP, ya que como
hemos advertido parte de un planteamiento desafortunado al ir enfocado a
perfiles y tipos penales heterogéneos con un campo de actuación geográfico
limitado. Así creemos que la normativa, tal y como está planteada, afectaría
tanto a ciudadanos con conocimientos informáticos básicos, al imponer la
medida para ciberdelitos dolosos mayores a 3 años como a cibercriminales y
organizaciones internacionales encargadas de cometer delitos a gran escala en
la Red, siempre que el terminal desde el que se cometiera
los hechos estuviera situado en España. Igualmente existen cuestiones
morales y éticas que chocan directamente con el uso de estas técnicas como
son la creación de virus por parte de las propias autoridades o la contratación
de hackers para preservar el buen fin de la diligencia…trasladando a la
sociedad el mensaje de que el fin siempre justifica los medios.
Si unimos todas estas incógnitas a la creencia basada en que la autoridad
judicial que permita el hipotético registro se encontraría con claros y continuos
problemas de motivar la idoneidad, necesidad y proporcionalidad, cuando,
como hemos visto, existen alternativas menos lesivas para los derechos
fundamentales de los investigados en la regulación nacional y que pueden
resultar igual de eficaces de cara al fin perseguido, que no es otro que imputar
determinados hechos delictivos a sus presuntos autores en el mundo del
ciberespacio, por lo que el articulado acabaría poseyendo un corto recorrido.
De esta forma, descartamos de raíz el uso de spyware por parte de los CFSE
para infracciones cometidas por particulares, al pensar que no se ajusta, dado
el perfil criminal de los presuntos autores así como de la entidad de los delitos,
a los principios de necesidad y proporcionalidad, manteniendo para estos
casos lo ya regulado para la interceptación de comunicaciones en la normativa
española, aunque eso sí, tratando de hacer frente a los problemas que lleva
arrastrando la normativa desde hace más de una década, por lo que se solicita
su urgente reforma.
En segundo lugar, para los casos de delitos en redes sociales, foros e incluso
tráfico de imágenes pedófilas o estafas electrónicas, siempre que las mismas
se comentan en la jurisdicción española vemos viable la potenciación de la
figura del agente encubierto en Internet y no el uso de malware; mientras que
si tienen un carácter
transfronterizo lo ideal sería acudir al apoyo de fuerzas policiales europeas
gracias a los mecanismos diseñados por EUROPOL y el Centro Europeo contra
el Cibercrimen.
Todo esto nos lleva a demandar una Directiva europea sobre investigación
policial para delitos cometidos a través de Internet, obligando en este caso a
los distintos Estados Miembro a transponer la regulación a su derecho interno
e incorporar en ella las particularidades que crea oportunas, como puede ser
en el caso español, dada su historia reciente, a implementar estrategias más
invasivas como es el caso del uso de malware en casos de ciberterrorismo.
Para finalizar debemos reconocer el carácter transgresor de la normativa al
volver a agitar el debate sobre los límites entre el uso de medios de
investigación basados en espionaje electrónico y los derechos fundamentales
de los ciudadanos. Está claro que la justicia debe modernizarse pero no a
cualquier precio, si introducimos preceptos limitativos de estos derechos nos
toparemos de frente con la Carta Magna, que servirá como freno a la
instauración de un estado policial y al monitorio de nuestra intimidad por los
poderes públicos.
Internet es un gigante de dimensiones ingobernables, un “Goliat” ante el que
no nos podemos enfrentar de forma individual, país por país, en la figura de
“David”. No es la hora de realizar regulaciones nacionales que permitan el
ciberespionaje sino el momento de unificar esfuerzos entre los Estados de
todo el mundo para impulsar regulaciones europeas y mundiales en la lucha
contra los crímenes que se cometen en la Red.
ANEXO BORRADOR CÓDIGO PROCESAL PENAL ESPAÑOL
(ARTS. 350 A 352)
Artículo 350.- Presupuestos 1.- El Tribunal de Garantías podrá autorizar, a
petición razonada del Ministerio Fiscal, la utilización de datos de identificación
y códigos, así como la instalación de un software, que permitan, de forma
remota y telemática, el examen a distancia y sin conocimiento de su titular o
usuario del contenido de un ordenador, dispositivo electrónico, sistema
informático, instrumento de almacenamiento masivo de datos informáticos o
base de datos, siempre que la medida resulte proporcionada para la
investigación de un delito de especial gravedad y sea además idónea y
necesaria para el esclarecimiento del hecho investigado, la averiguación de su
autor o la localización de su paradero. 2.- La resolución judicial que autorice el
registro, además de motivar la idoneidad, necesidad y proporcionalidad,
deberá especificar: a) Los ordenadores, dispositivos electrónicos, sistemas
informáticos o parte de los mismos, medios de almacenamiento de datos
informáticos o bases de datos y datos informáticos almacenados objeto de la
medida. b) El alcance de la misma, la forma en la que se procederá al acceso y
aprehensión de los datos o archivos informáticos relevantes para la causa y el
software mediante el que se ejecutará el control de la información. d) Los
agentes autorizados para la ejecución de la medida. e) La autorización, en su
caso, para la realización y conservación de copias de los datos informáticos.
f) Las medidas precisas para la preservación de la integridad de los datos
almacenados, así como para la inaccesibilidad o supresión de dichos datos del
sistema informático al que se ha tenido acceso. 3.- Cuando los agentes que
lleven a cabo el registro remoto tengan razones para creer que los datos
buscados están almacenados en otro sistema informático o en una parte del
mismo, pondrán este hecho en conocimiento del Ministerio Fiscal quien podrá
solicitar del Tribunal de Garantías una ampliación de los términos del registro.
4.- El registro remoto sólo podrá ser autorizado cuando los datos se
encuentren almacenados en un sistema informático o en una parte del mismo
situado en territorio sobre el que se extienda la jurisdicción española. En otro
caso, se instarán las medidas de cooperación judicial internacional en los
términos establecidos por la Ley, los Tratados y Convenios internacionales
aplicables y el derecho de la Unión Europea.
Artículo 351.- Deber de colaboración 1.- Los proveedores de acceso o servicios
telemáticos y los titulares o responsables del sistema informático o base de
datos objeto del registro están obligado a facilitar a los agentes investigadores
la colaboración precisa para la práctica de la medida y el acceso al sistema.
Asimismo, están obligados a facilitar la asistencia necesaria para que los datos
e información recogidos puedan ser objeto de examen y visualización. 2.- Las
autoridades y los agentes encargados de la investigación podrán ordenar a
cualquier persona que conozca el funcionamiento del sistema informático o
las medidas aplicadas para proteger los datos informáticos contenidos en el
mismo que facilite la información que resulte necesaria para el buen fin de la
diligencia.
Artículo 352.- Forma
Las actuaciones referentes al examen y registro a distancia de equipos,
dispositivos o sistemas informáticos o electrónicos se sustanciarán en pieza
separada y en régimen de secreto, sin necesidad de declaración expresa, el
cual tendrá una duración máxima de diez días.
El VALOR PROBATORIO DEL DOCUMENTO ELECTRÓNICO: MICROFORMAS EN
EL PERÚ
Ana María Cecilia Valencia Catunta36
Sumario:
Introducción. I.-El Documento. 1.1 Definición. 1.2 Clases de
Documentos. II.- Documento informático o electrónico. 2.1 Clases de
documentos electrónicos. III.- Variación del soporte que contiene el
documento. IV.- El documento como prueba en el proceso judicial y
proceso administrativo. 4.1 El documento como medio de prueba. 4.2
Documentos electrónicos y su valor legal. 4.3 Seguridad. V.
Microformas
5.1
Aspectos
Generales.
5.2
Definición.
5.3
Características de la microforma. 5.4 Requisitos formales. 5.5 Eficacia
probatoria de las Microformas. 5.6 NTP 392.030-2 2005. 5.7 Las
Microformas y sus efectos legales. VI. Conclusiones.
Resumen:
En presente ponencia tratamos sobre la aplicación de las microformas
como medio de prueba en un proceso judicial y en la vía
administrativa peruana, lo cual es factible en virtud a lo establecido
36 Abogada por la PUCP, Docente Universitaria, Árbitro, Conciliadora Extrajudicial y Fedataria Juramentada con
Especialización en Informática.
en el Decreto Legislativo N° 681 y su Reglamento aprobado por
Decreto
Supremo
N°
009-92-JUS,
así
como
sus
normas
complementarias, normas poco difundidas y conocidas por la
ciudadanía; no obstante, su importancia para el almacenamiento y
conservación de documentos con valor legal, como así lo entiende el
Estado y las empresas particulares. Situación que se aprecia a través
de las normas emitidas desde la fecha de emisión del Decreto
Legislativo N° 681 y por la función expresa del Ministerio de Justicia y
Derechos Humanos para supervisar las funciones de autorización,
acreditación y registro en materia de Fedatarios Juramentados con
Especialización en Informática establecidos en el Decreto Supremo N°
011-2012-JUS y la Resolución Ministerial N° 0192-2012-JUS.
En el ordenamiento peruano los Fedatarios Juramentados son
aquellos profesionales del derecho que tienen que aprobar un Curso
organizado por los Colegios de Abogados para lo cual pueden realizar
convenios con instituciones sin fines de lucro especializadas, para ser
autorizados para actuar como tal y así poder dar fe pública en medios
electrónicos al participar en procesos de micrograbación a través de
los cuales se obtienen las microformas.
Para una mejor comprensión del presente trabajo y considerando
que la microforma es un documento electrónico con valor legal,
hemos empezado el presente estudio analizando el documento, su
naturaleza jurídica, clasificación y evolución en el tiempo, para luego
tratar sobre el documento electrónico o informático y su tratamiento
particularmente en el caso peruano. Posteriormente, desarrollamos
el tema de las microformas resaltando sus características y requisitos
para que puedan ser utilizadas como medio probatorio y tengan
efectos legales que permitan su uso en distintos procesos civiles,
penales y administrativos.
Asimismo, damos a conocer en Anexo aparte una serie de
disposiciones legales en las cuales podemos apreciar las normas
emitidas relacionadas al Decreto Legislativo N° 681, por cuanto, la
producción de microformas requiere del cumplimiento de normas
técnicas y legales, solo así, tendrán valor legal.
INTRODUCCIÓN
Es preocupación de las entidades públicas y privadas, así como de los
particulares la organización, conservación y mantenimiento de los
documentos papel que generan, así como de los expedientes que se tramitan
en sus organizaciones, los cuales son solicitados por los ciudadanos o
entidades, o bien son presentados o requeridos en procesos administrativos o
judiciales. Sin embargo, existen factores que pueden afectar la ubicación
oportuna y conservación de documentos y expedientes ocasionando pérdidas
de tiempo y dinero, tales como: la humedad que termina deteriorando los
documentos; una deficiente o nula organización de los archivos que ocasiona
pérdida de tiempo para ubicar determinado documento; y, la pérdida de
documentos por causa de incendios 37 u otros fenómenos naturales.
37 Así, por ejemplo en diciembre de 2009, la empresa Ransa, que custodia documentos públicos y privados sufrió un
incendio en sus almacenes ocasionando la destrucción de los mismos. Se perdieron en el siniestro cerca de 480 mil
expedientes de jubilación, además de documentos de empleadores y sólo se pudo reconstruir aproximadamente 10,000
Dicha situación nos lleva a reflexionar la necesidad de contar con copias de
seguridad y archivos digitalizados para evitar la afectación de los usuarios. Al
respecto para la conservación de los archivos de documentos e información
con valor legal contamos con el Decreto Legislativo Nº 681, publicado el 14 de
octubre de 199138.
La presente investigación tiene como objetivo dar a conocer los efectos legales
de las microformas39 conforme al Decreto Legislativo Nº 681, y para su mejor
comprensión
desarrollamos
primeramente
aspectos
relevantes
del
documento y la evolución de su concepción en el tiempo con el avance de las
tecnologías; así como su uso como medio probatorio, para luego abocarnos al
tema de las microformas. Asimismo, damos a conocer en Anexo aparte una
serie de disposiciones legales en las cuales podemos apreciar las principales
normas emitidas relacionadas al Decreto Legislativo N° 681.
I.
DOCUMENTO
1.1
Definición.-
de los expedientes desaparecidos. Dicha información se puede apreciar en la página web http://ecallao.net/2011/12/inaudito-ancianos-se-quedan-sin-cobrar-pensiones-a-causa-de-incendio-en-ransa/ (consultado el 11
de octubre de 2012).
38
Dicha disposición legal regula el uso de tecnologías avanzadas en materia de archivo de documentos e información
tanto respecto a la elaborada en forma convencional cuanto la producida por procedimientos informáticos en
computadoras y otorga valor legal a los archivos conservados mediante microformas, con procedimientos técnicos de
micrograbación o microfilmación.
39
La producción de microformas requiere del cumplimiento de normas técnicas y legales, solo así, tendrán valor legal y
podrán ser llevados a un proceso como medio probatorio.
Para abordar el tema del valor probatorio de las microformas debemos
referirnos primeramente al documento tradicional. Así, para CARNELUTTI, el
documento es "una cosa u objeto que mediante la intervención de la actividad
del hombre, es capaz de representar un hecho"40
Según ROUANET, un documento es "un objeto normalmente escrito en el que,
por tanto, se plasma algo mediante letras u otros signos trazados o impresos
sobre el papel u otra superficie, pero que excepcionalmente puede no ser
escrito; y es un objeto en el que puede representarse un hecho natural o un
acuerdo de voluntades (hecho voluntario, arte o negocio) o ser el resultado de
una actividad o de un procedimiento".41
El documento para CHIOVENDA es “toda representación material destinada e
idónea para reproducir una cierta manifestación del pensamiento”42
Para Téllez Valdés el documento en sentido amplio “es toda representación
material destinada e idónea para reproducir una cierta manifestación del
pensamiento”
43
. El documento escrito, para dicho autor, no es la única
manifestación de la prueba documental, lo serán también las copias
fotostáticas, fotografías, etc.
Ledesma Narváez define el documento como “un objeto material originado
por un acto humano, susceptible de representar por sí mismo y para el futuro,
40
Francesco Carnelutti, Sistema de derecho procesal civil ( Buenos Aires, Tomo II, 1944), p. 414.
41
Javier Rouanet Moscardó, Valor probatorio procesal del documento informático. (Zaragoza: Congreso sobre Derecho
Informático. Facultad de Derecho, 1989), p. 116.
42 Giuseppe Chiovenda, Instituciones de Derecho Procesal Civil. (Madrid: Revista de Derecho Privado, Madrid, 1940), p.
265.
43 Julio Téllez Valdés, Derecho Informático (México: Segunda Edición McGraw-Hill/Interamericana de México S.A. 1996),
p. 117.
un hecho o una serie de hechos percibidos en el momento para su elaboración,
con prescindencia de la forma en que esa representación se exterioriza”.44
En el ordenamiento jurídico peruano, el Texto Único Ordenado del Código
Procesal Civil, aprobado por Resolución Ministerial Nº 010-93-JUS45, define en
su Artículo 233 al documento como “todo escrito u objeto que sirve para
acreditar un hecho”.
Como se puede apreciar de los conceptos vertidos el concepto de documento
en un sentido amplio es toda representación material; y en un sentido
restringido el concepto de documento podemos entenderlo a todo escrito en
el que se consigna un hecho, situación o circunstancia que puede ser utilizado
para comprobar algo.
1.2
Clases de documentos.-
Para Téllez Valdez, especialista en Derecho Informático los documentos
escritos se dividen en públicos y privados. Señala que “Los primeros son
otorgados por autoridades o funcionarios públicos dentro de los límites de sus
atribuciones o por personas investidas de fe pública dentro del ámbito de su
competencia en forma legal; éstos pueden ser notariales, administrativos,
judiciales y mercantiles y su naturaleza depende de su origen. Por otra parte,
tenemos a los documentos privados que son aquellos en que se consigna
alguna disposición o convenio por personas particulares, sin la intervención
del escribano ni de otro funcionario que ejerza cargo por autoridad pública, o
44 Marianella Ledesma
45
Narváez, Comentarios al Código Procesal Civil (Perú: Gaceta Jurídica S.A. Tomo I. Julio 2008), p. 840.
Publicado en el Diario Oficial El Peruano el 22.04.93
bien con la intervención de estos últimos pero sobre actos que no se refieren
al ejercicio de sus funciones.” 46
El Artículo 234 del Texto Único Ordenado del Código Procesal Civil, aprobado
por Resolución Ministerial Nº 010-93-JUS establece sobre las clases de
documentos que “Son documentos los escritos públicos o privados, los
impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías,
radiografías, cintas cinematográficas, microformas tanto en la modalidad de
microfilm como en la modalidad de soportes informáticos, y otras
reproducciones de audio o video, la telemática en general y demás objetos que
recojan, contengan o representen algún hecho, o una actividad humana o su
resultado".
Los documentos como podemos apreciar no sólo son escritos sino cualquier
objeto que represente un hecho o el resultado de una actividad humana y con
el avance de la tecnología el legislador ha incluido expresamente también
como documento a las microformas, en el caso peruano.
Es oportuno, mencionar, asimismo, la Ley N° 2729147, la cual regula la
utilización de los medios electrónicos para la comunicación de la
manifestación de voluntad y la utilización de la firma electrónica. El Artículo
141 del Código Civil en virtud de la norma acotada establece lo siguiente:
46
47
Ob. Cit. p. 117.
Norma que modifica el Código Civil permitiendo la utilización de los medios electrónicos para la comunicación de la
manifestación de voluntad y la utilización de la firma electrónica, publicada en el Diario Oficial El Peruano el 24 de junio
de 2000.
“La manifestación de voluntad puede ser expresa o tácita. Es
expresa cuando se realiza en forma oral o escrita, a través de
cualquier medio directo, manual, mecánico, electrónico u otro
análogo. Es tácita cuando la voluntad se infiere indubitablemente
de una actitud o de circunstancias de comportamiento que revelan
su existencia (…)”
La manifestación de voluntad puede darse a través de un escrito (soporte
papel), como también a través de un correo electrónico e inclusive también a
través de un programa o software que manifieste la voluntad del emisor, y si
bien surgen problemas cuando la manifestación de voluntad se da por medios
electrónicos como: falta de autenticidad, integridad y repudio; la firma digital
como solución a los problemas antes referidos brinda seguridad técnica y
seguridad jurídica a los mensajes enviados por medios electrónicos.
Al respecto el artículo 141 del Código Civil modificado por la Ley N° 27291
establece lo siguiente:
“En los casos en que la ley establezca que la manifestación de
voluntad deba hacerse a través de alguna formalidad expresa o
requiera de firma, ésta podrá ser generada o comunicada a través
de medios electrónicos, ópticos o cualquier otro análogo”.
Como señala Eduardo de Urbano Castrillo48 desde la invención de la escritura,
cada vez más frecuentemente nos encontramos con otra clase de documentos
48
Eduardo De Urbano Castrillo. El Documento Electrónico: Aspectos procesales en Internet y Derecho Penal (Madrid:
Cuadernos de Derecho Judicial X-2001, Consejo General del Poder Judicial, 2001), p.568.
que progresivamente van sustituyendo al documento manual escrito como:
certificados de estado civil, del catastro, recibos de cajeros automáticos,
tickets emitidos por cajas automáticas y un sinfín de documentos de los más
diversos como los documentos electrónicos, al que nos hemos referido, en
tanto provienen de un sistema de elaboración electrónica.
II.
DOCUMENTO INFORMÁTICO O ELECTRÓNICO
Sobre el documento electrónico Valentín Carrascosa49 distingue entre
documento electrónico en sentido estricto, que se caracteriza por el hecho de
no poder ser leído por el hombre sin la utilización de las adecuadas “máquinas”
que hagan perceptibles y comprensibles las señales digitales que de están
formados; y documento electrónico en sentido amplio, que son aquellos que
pueden ser leídos por el ser humanos de forma directa, sin necesidad de
utilizar una máquina traductora, pudiendo, no obstante, tener diversos modos
de formación.
Siguiendo a De Urbano Castrillo50, el documento electrónico se puede definir
considerando tres aspectos (natural, legal y técnico). Veamos, a continuación
cada uno de ellos:
-
Un concepto natural o lógico de “documento electrónico penal” es aquél
documento creado por procedimientos electrónicos, el cual tiene
relevancia procesal, en el ámbito del proceso penal.
49
Citado por Carola Canelo y otros en: El Documento
http://www.derechoinformatico.uchile.cl/index.php (accedido el 11.06.12).
50
Eduardo de Urbano Castrillo. Ob. Cit. p. 570.
Electrónico.
Aspectos
Procesales.
-
Un concepto legal, se puede apreciar, como señala De Urbano Castrillo, en
la Ley 1/2000 de 7 de enero de Enjuiciamiento Civil. Así en su artículo 299.2
admite como medios de prueba “los medios de reproducción de la palabra,
el sonido y la imagen, así como los instrumentos que permiten archivar y
conocer o reproducir palabras, datos, cifras y operaciones matemáticas
llevadas a cabo con fines contables o de otra clase, relevantes para el
proceso”. Y el artículo 812.1.1 establece que en los procesos de
reclamaciones de deudas inferiores a cinco millones de pesetas, al
posibilitar que pueda acudirse a tal proceso mediante “documentos,
cualquiera que sea su forma y clase o el soporte físico en que se encuentre,
que aparezcan firmados por el deudor o con su sello, impronta o marca o
con cualquier otra señal, física o electrónica, proveniente del deudor”.
Para Bonet Company51, citado por De Urbano Castrillo, el documento
electrónico administrativo es aquél que contiene “un volumen de
información determinada, procesable o procesada, y susceptible de
individualización en un procedimiento administrativo”, y en sentido
estricto, sólo cuando se trate de un documento de tales características
“cualificado por el uso de firma digital” En España, señala, se admite como
válidos y eficaces los documentos en soporte electrónico, y sus copias,
emitidos por las Administraciones Pública, conforme a las garantías y
requisitos legales, siempre que quede garantizada su autenticidad,
integridad y conservación.
51
Eduardo De Urbano Castrillo, Ob. Cit. p. 570.
-
Un concepto técnico del documento electrónico penal, como señala
Valentín Carrascosa, mencionado también por De Urbano Castrillo, es
“aquél documento proveniente de la elaboración electrónica”52; es decir,
que tiene su origen en la informática, tanto se produzca por el ordenador
o por medio de éste. Para dicho autor es un documento producido por
medios automatizados, escrito en un lenguaje binario –el de los bits- en un
soporte –cinta o disco- que reúne las características: legible, inalterable y
reconocible o identificable.
Así también, la Ley Modelo de Comercio Electrónico de la UNCITRAL, de 1966
incluye una concepto amplio de “documento electrónico”, por cuanto, no solo
comprende los documentos materializados, sino los telemáticos (e-mail, telex,
fax y telegramas).
Ecuador, por su parte, reconoce al mensaje de datos como un documento
escrito, así en el Título I, en los principios generales de la Ley de Comercio
Electrónico, Firmas Electrónicas y Mensajes de Datos del Ecuador emitido en
el año 2002, en su Capítulo I, refiriéndose a los mensajes de datos, su artículo
2 reconoce jurídicamente los mensajes de datos y les concede igual valor
jurídico que los documentos escritos.53
En el Perú, el tratamiento del documento electrónico se puede apreciar en
diversas normas legales, que señalamos seguidamente:
52
53
Íbid, p. 570.
Diego Salamea Carpio. El Delito Informático y la Prueba Pericial Informática (Ecuador: JE Editorial Jurídica del Ecuador.
Primera Edición 2012), p. 64.
a.
Artículo 234 del T.U.O del Código Procesal Civil, como hemos señalado,
comprende como documento a las microformas tanto en la modalidad de
microfilm como en la modalidad de soportes informáticos54.
b.
El correo electrónico55, conforme a la Directiva Nº 005-2003-INEI/DTNPNormas para el uso del servicio de correo electrónico en las entidades de
la Administración Pública56, aprobada por R.J. Nº 088-2003-INEI57, el
correo electrónico tiene validez oficial y legal. Así, el numeral 6.4.1
establece que la institución podrá establecer, mediante una directiva
interna, la validez oficial de los mensajes que se transmitan entre sus
trabajadores, así como la validez en el intercambio de información entre
otras instituciones públicas y los ciudadanos; y el numeral 6.4.2, señala,
que para el intercambio de información entre instituciones públicas, se
deberá propender a la utilización del correo electrónico seguro, para lo
que se podrá utilizar la firma y certificados digitales u otro medio de
seguridad y verificación.
c.
En la nueva Ley de Arbitraje (Decreto Legislativo N° 1071), también
podemos apreciar como la norma le da la calidad de documento escrito a
54
T.U.O del Código Procesal Civil (Resolución Ministerial Nº 010-93-JUS)
Clases de documentos."Artículo 234.- Son documentos los escritos públicos o privados, los impresos, fotocopias, facsímil o fax, planos, cuadros,
dibujos, fotografías, radiografías, cintas cinematográficas, microformas tanto en la modalidad de microfilm como en la
modalidad de soportes informáticos, y otras reproducciones de audio o video, la telemática en general y demás objetos
que recojan, contengan o representen algún hecho, o una actividad humana o su resultado".
(Artículo sustituido por el Artículo 5 de la Ley Nº 26612, publicado en el Diario Oficial El Peruano el 21.05.96).
55 Importante herramienta de comunicación e intercambio de información que permite agilizar las comunicaciones y
contribuir al ahorro del gasto público (compra de papel, repuestos y mantenimiento de impresoras y fotocopiadoras; y
contratación de servicios de mensajería); así como cumplir con los principios de celeridad y eficacia regulados en el Artículo
IV del Título Preliminar de la Ley Nº 27444, Ley del Procedimiento Administrativo General
56 En mérito a dicha disposición legal por Resolución de la Superintendencia Nacional de los Registros Públicos Nº 3242003-SUNARP-SN se aprobó la Directiva Nº 008-2003-SUNARP/SN sobre Disposiciones que regulan la remisión de
documentos internos de la SUNARP, Sede Central y Órganos Desconcentrados, vía correo electrónico.
57Publicada
en el Diario Oficial El Peruano el 03 de abril de 2003
la “comunicación electrónica” al referirse al Convenio Arbitral. Así el
Artículo 13 de la norma referida establece lo siguiente:
“1. El convenio arbitral es un acuerdo por el que las partes deciden
someter a arbitraje todas las controversias o ciertas controversias
que hayan surgido o puedan surgir entre ellas respecto de una
determinada relación jurídica contractual o de otra naturaleza.
2. El convenio arbitral deberá constar por escrito. Podrá adoptar
la forma de una cláusula incluida en un contrato o la forma de un
acuerdo independiente.
3. Se entenderá que el convenio arbitral es escrito cuando quede
constancia de su contenido en cualquier forma, ya sea que el
acuerdo de arbitraje o contrato se haya concertado mediante la
ejecución de ciertos actos o por cualquier otro medio.
4. Se entenderá que el convenio arbitral consta por escrito
cuando se cursa una comunicación electrónica y la información
en ella consignada es accesible para su ulterior consulta.
Por “comunicación electrónica” se entenderá toda comunicación
que las partes hagan por medio de mensajes de datos.
Por “mensaje de datos” se entenderá la información generada,
enviada, recibida o archivada por medios electrónicos,
magnéticos, ópticos o similares, como pudieran ser, entre otros,
el intercambio electrónico de datos, el correo electrónico, el
telegrama, el télex o el telefax.” (las negritas son nuestras)
Como podemos observar, la comprensión del documento electrónico o
informático requiere de una preparación previa, por cuanto, está relacionado
con aspectos técnicos que surgen y surgirán como consecuencia del avance
tecnológico, como es el caso de la microforma, la cual está regulada en el
Decreto Legislativo N° 681.
2.1
Clases de documentos electrónicos.-
De Urbano Castrillo, Eduardo58 señala que pueden distinguirse los documentos
electrónicos según aparezcan firmados con firma electrónica u otra clase de
firma o no tengan firma.
Otro criterio clasificatorio de corte científico, según De Urbano, es el que
diferencia entre documentos formados por el ordenador (computador) y
documentos formados por medio de la computadora. Los primeros son
internos, pues se les ha llamado negocios entre computadoras, en tanto los
segundos son los creados en el tráfico ordinario, poseyendo vocación de
exteriorización. En cuanto a los segundos De Urbano
distingue entre
documentos electrónicos en sentido estricto y documentos electrónicos en
sentido amplio. Los primeros se pueden clasificar en documentos volátiles
(aquellos creados en memoria RAM que desaparecen cuando se apaga el
ordenador), permanentes (los que se insertan en disquete), inalterables (los
que se fijan en memoria ROM o CD-ROM no regradable; o, con dispositivo de
acceso (los que necesitan pasar tarjetas magnéticas para operar). En tanto, lo
segundos son los documentos electrónicos ya creados, en fase de difusión.
58
Ob Cit. pp. 574-575.
III.
VARIACIÓN DEL SOPORTE QUE CONTIENE EL DOCUMENTO
Como consecuencia del avance de la tecnología se ha generado los
documentos electrónicos lo cual no significa que ha cambiado el concepto de
documento sino que estamos ante otro soporte diferente que contiene un
documento, como es el caso de la microforma, del cual trataremos más
adelante.
Canelo Carola y otros59 señalan que no es el concepto de documento el que
cambia sino su forma de representación, es decir, el soporte que lo contiene
como documento; y que con las nuevas tecnologías han ido apareciendo más
formas de soportes y registros.
Así también Carlos Barriuso, citado por Canelo Carola, opina que los datos de
los documentos electrónicos (gráficos, alfanuméricos, de audio, video,
hipermedia, etc.) se “plasman con soportes binarios, en soportes magnéticos,
ópticos, óptico-magnéticos, electrostáticos, etc., y requieren para su
reproducción una pantalla, impresora, altavoces, etc. y para su transmisión
redes de comunicación digital de fibra óptica, red telefónica básica, telefonía
móvil, etc.”
IV.
EL DOCUMENTO COMO PRUEBA EN EL PROCESO JUDICIAL Y PROCESO
ADMINISTRATIVO
4.1
59
El documento como medio de prueba.-
Canelo Carola, Raúl Arrieta, Rodrigo Moya y Rodrigo Romo. El Documento Electrónico. Aspectos Procesales (Chile:
Revista Chilena de Derecho Informático-Centro de Estudios en Derecho Informático. Facultad de Derecho. Universidad de
Chile). En: wwwderechoinformatico.uchile.cl/index.php (Accedido el 4 de octubre de 2011
La prueba se vincula con el proceso judicial; es decir, para crear certeza y
convencer al Juez de nuestra verdad son necesarias las pruebas.
El Juez valora la prueba presentada para tomar una decisión y poner fin al
conflicto mediante una sentencia y la norma procesal establece los medios de
prueba a utilizarse en las diversas áreas jurisdiccionales.
Entre las pruebas establecidas en los ordenamientos procesales tenemos:
confesión, documental, pericial, inspección judicial, testimonial, entre otras.
El documento no solo constituye una fuente como función sino que, también,
forma la convicción del Juez, prueba hechos con trascendencia jurídica y para
ser comprendida en prueba procesal debe reunir ciertas características, como
señala De Urbano Castrillo60, las cuales son: permanencia, inalterabilidad,
autonomía extraprocesalidad, inteligibilidad, conservación y autenticidad.
Sobre la prueba documental Kielmanovich61, señala también, que después de
la confesión, la prueba documental es una de las más eficaces, no solo porque
consigna con exactitud el pensamiento de las partes al celebrar un negocio
jurídico evitando que con el tiempo se borren de la memoria las circunstancias
y pormenores que se tuvieron en cuenta en ese momento sino por la seguridad
que importa para la estabilidad de los derechos, la exigencia por parte de la
ley de formalidades determinadas respecto de ciertos actos y la regulación de
60
61
Ob. Cit. 538-541.
Jorge, Kielmanovich, Teoría de la prueba y medios probatorios, citado por Marianella Ledesma Nárvaez en su obra
Comentarios al Código Procesal Civil (Perú: Gaceta Jurídica S.A., Tomo I, Primera Edición 2008), p. 233.
su fuerza probatoria, no solo entre las partes sino también con relación a
terceros.
Para Echeandía “el juez necesita percibir el documento, para asumirlo como
medio de prueba. Esas percepciones sensoriales pueden ser diversas: visuales,
para verificar la clase de materia que lo forma, como papel o tela o plástico o
cuero, etc., la clase de escritura o de dibujo empleado y el material que se
utilizó para escribir o dibujar (tinta, pintura, lápiz, máquina de escribir o de
imprimir, etc.); olfativas, para conocer si contiene o no perfumes u olores
nauseabundos, si está impregnado o no de cierto olor propio del lugar, del
recipiente, caja o cartera en donde se presume que estuvo guardado y el olor
propio de la clase de papel empleado; auditivas, cuando interesa precisar el
ruido que puede percibir al ser rasgado el documento o estrujado en una mano
o dejado caer al piso”62
Asimismo, la destacada magistrada Ledesma Narváez hace la distinción
tratándose del medio de prueba entre documento e instrumento. Así,
documento es todo objeto que represente una manifestación del pensamiento
mediante signos exteriores corrientes o convenidos;
en cambio, los
documentos que requieren la intervención de otros medios para ser
entendidos o probados, como los peritajes, traducción, estos documentos se
denominan instrumentos.63
62
Ledesma Narváez, Marianella. Ob. Cit. p. 842.
63
Ledesma Narváez, Marianella. Ob. Cit, p. 233.
Ledesma Narváez, nos dice, además, que para que exista jurídicamente un
documento como medio de prueba, debe satisfacer –según Carnelutti- los
siguientes requisitos: a) debe referirse a una cosa o un objeto formado
mediante un acto humano y que tenga aptitud representativa. Generalmente
son cosas muebles, pero, un cuadro, un mural u un escrito estampado en una
pared, son también indudablemente documentos, aun cuando no puedan
agregarse al expediente, sino que debe probarse mediante inspección judicial
y en ocasiones con auxilio de peritos; b) que represente un hecho cualquiera y
c) que tenga una significación probatoria.64
De lo expuesto, podemos señalar, que el documento es un medio probatorio
importante en un proceso judicial o administrativo y para ser considerado
como tal debe cumplir determinados requisitos. En lo que respecta a los
documentos electrónicos, como veremos a continuación, para ser
considerados como medio de prueba, deben cumplir con los requisitos
establecidas en la ley.
4.2
Documentos electrónicos y su valor legal
Hoy por el avance de la tecnología podemos elaborar documentos electrónicos
cuyo soporte no es el papel. Al respecto Téllez señala que “el creciente
aumento en el volumen y complejidad de las actividades a realizar han
provocado que manifestaciones, tales como la elaboración de documentos
64
Ledesma Narváez, Marianella. Ob. Cit, p. 844.
escritos, se vean total o parcialmente modificados en función de razones de
orden práctico por otro tipo de soportes derivados de la evolución misma de
la tecnología, mejor adaptados a las estrategias de gestión moderna. De este
modo tenemos a la informática, la microfilmación, archivos magnéticos,
etcétera. Sin embargo, en la mayoría de las ocasiones este tipo de prácticas no
tienen en cuenta a las disposiciones legales y estas últimas, a su vez, no
consideran consignas específicas en torno a estos soportes.”65
Siendo una realidad, la aplicación de la informática en la gestión de nuestras
labores, la existencia del documento electrónico es una realidad, lo que ha
dado lugar a la modificación de los códigos procesales por lo que cabe
preguntarse sobre el valor legal del mismo en un proceso judicial.
En el derecho anglosajón la Civil Evidence Act de 1968, la Stock Exchange Act
de 1976 y la Banking Act de 1979, admiten el documento electrónico en un
proceso judicial66.
En Estados Unidos de acuerdo a la Uniform Business Record as Evidence Act y
la Uniform Rules of Evidence, los tribunales norteamericanos han admitido, en
toda clase de procesos, el documento electrónico67.
Así también, el derecho alemán admite la presentación en los procesos de
faxes, discos ópticos, microfilms etc.68.
65Julio
Téllez Valdes. Derecho Informático ( México: McGraw-Hill/Interamericana de México S.A. Segunda Edición, 1996),
p.118.
66
Eduardo De Urbano Castrillo, Ob. Cit. p. 586.
67
Eduardo De Urbano Castrillo, Ob. Cit. p. 586.
68
Eduardo De Urbano Castrillo, Ob. Cit. p. 586.
El Perú cuenta también con diversas disposiciones legales que regulan el valor
legal y probatorio (medio de prueba) de los documentos electrónicos en el
Perú. Así tenemos:
- La Directiva Nº 005-2003-INEI/DTNP regula en su numeral 6.4.3 que los
mensajes de correo electrónico y sus archivos adjuntos, tendrán validez legal
si están firmados digitalmente69. Asimismo, se hace mención en el numeral 7.1
de la referida Directiva que las notificaciones institucionales pueden
efectuarse mediante correo electrónico conforme el numeral 20.1.2 de la Ley
Nº 27444. Al respecto, el Artículo 1º del Decreto Legislativo Nº 1029, publicada
el 24 de junio de 2008, modificó dicho numeral e incluyó el numeral 20.4 cuyo
tenor es el siguiente:
“20.4. El administrado interesado o afectado por el acto que
hubiera consignado en su escrito alguna dirección electrónica que
conste en el expediente podrá ser notificado a través de ese medio
siempre que haya dado su autorización expresa para ello. Para
69Ley
Nº 27269-Ley de Firmas y Certificados Digitales
“Artículo 3.- Firma digital
La firma digital es aquella firma electrónica que utiliza una técnica de criptografía asimétrica, basada en el uso de un par
de claves único; asociadas una clave privada y una clave pública relacionadas matemáticamente entre sí, de tal forma que
las personas que conocen la clave pública no puedan derivar de ella la clave privada.”
D.S. Nº 052-2008-PCM-Reglamento de la Ley de Firmas y Certificados Digitales
“Artículo 3.- De la validez y eficacia de la firma digital
La firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica tiene la misma validez y eficacia jurídica
que el uso de una firma manuscrita. En tal sentido, cuando la ley exija la firma de una persona, ese requisito se entenderá
cumplido en relación con un documento electrónico si se utiliza una firma digital generada en el marco de la
Infraestructura Oficial de la Firma Electrónica.
(…)”
“Artículo 4.- De los documentos firmados digitalmente como medio de prueba
Los documentos electrónicos firmados digitalmente dentro del marco de la Infraestructura Oficial de Firma Electrónica
deberán ser admitidos como prueba en los procesos judiciales y/o procedimientos administrativos, siempre y cuando la
firma digital haya sido realizada utilizando un certificado emitido por una Entidad de Certificación acreditada en
cooperación con una Entidad de Registro o Verificación acreditada (…)”
este caso no es de aplicación el orden de prelación dispuesto en el
numeral 20.1”.
- La CONASEV- Comisión Nacional Supervisora de Empresas y Valores cuenta
con el Sistema MVNet70 la cual regula el sistema de transmisión e intercambio
de documentos e información a través de la Red del Mercado de Valores
Peruano. El Artículo 4° de la Resolución CONASEV Nº 008-2003-EF/94.10
70
Resolución Conasev Nº 008-2003-EF/94.10, publicada el 07 de febrero de 2003
“DEL MVNet
Artículo 6°.- Definición del MVNet
El MVNet, es un sistema electrónico de intercambio de información, basado en tecnología PKI, que utilizando la tecnología
de las firmas digitales e Internet, permite el intercambio de información seguro y eficiente, entre las entidades obligadas
y CONASEV.
El MVNet como toda transacción electrónica segura, reúne y garantiza los siguientes elementos de seguridad:
a) Autenticación: Proceso técnico que permite determinar la identidad de la persona que firma digitalmente, en función
del mensaje firmado por ésta y al cual se le vincula.
b) Confidencialidad: Característica que determina que el contenido del mensaje encriptado y firmado digitalmente no
podrá ser leído por una persona no autorizada.
c) Integridad: Característica que indica que el mensaje de datos, el documento electrónico o la información enviada, no
han sido alterados accidental o maliciosamente desde el inicio de la transmisión por el remitente hasta su recepción por
el destinatario.
d) No Repudio: Característica que indica que el emisor del mensaje de datos, del documento electrónico o de la
información que han sido digitalmente firmados no puede negar haberlos transmitido o el destinatario haberlos recibido.
e) Sello de Tiempo: Servicio de valor agregado mediante el cual una tercera parte neutral otorga fecha y hora cierta de
una transacción electrónica, característica que es usada para fijar momentos de recepción de información en domicilios
electrónicos.
Artículo 7°.- Aplicaciones jurídico-informáticas incorporadas en el MVNet
En el MVNet se encuentran integradas las siguientes aplicaciones jurídico – informáticas y funcionales:
a) De control de acceso;
b) De firma digital de los documentos a ser enviados por las entidades obligadas y CONASEV;
c) De transmisión telemática segura de los documentos;
d) De formularios web;
e) De generación y entrega de cargos electrónicos con sello electrónico de tiempo;
f) Del domicilio electrónico de las entidades obligadas y CONASEV;
g) De auditabilidad y disponibilidad de la bitácora en el MVNet;
h) Del Pago Electrónico, como funcionalidad opcional para las entidades obligadas”
establece el Principio de equivalencia funcional, y lo desarrolla de la siguiente
manera:
“Por medio del principio de equivalencia funcional, los actos
jurídicos realizados por medios electrónicos que cumplan con las
disposiciones jurídicas vigentes, poseen la misma validez y eficacia
jurídica que los actos realizados por medios convencionales,
pudiéndolos sustituir para todos los efectos legales.
De conformidad con lo establecido en la Ley de Firmas y
Certificados Digitales y su reglamento, los documentos e
información firmados digitalmente pueden ser presentados y
admitidos como prueba en toda clase de procesos judiciales y
procedimientos administrativos.”
Con dicha disposición legal se da valor y eficacia jurídica a los actos jurídicos
realizados por medios electrónicos y si son firmados digitalmente podrán ser
medios
de
prueba
en
los
procesos
entablados
judicialmente
o
administrativamente. Pero, siguiendo a Espinoza Céspedes71, reconocido
especialista en Derecho Informático, para efectos de su almacenamiento en el
tiempo con valor legal y fe pública deberán ser convertidos en microformas.
4.3
71
Seguridad.-
José Francisco Espinoza Céspedes. La Firma Digital y su relación con la Microforma. http://www.asider.pe/ (accedido el
11.10.14)
Si bien no es materia del presente trabajo la Firma Digital, es necesario, indicar,
dado su mención en la presente investigación para efectos del tratamiento del
documento electrónico con valor legal y probatorio, que el Perú cuenta con la
Ley Nº 27269, “Ley de Firmas y Certificados Digitales” y su Reglamento
aprobado mediante Decreto Supremo Nº 052-2008-JUS72. Dicho reglamento
establece que los documentos electrónicos firmados digitalmente dentro del
marco de la Infraestructura Oficial de Firma Electrónica, deberán ser admitidos
como prueba en los procesos judiciales y/o procedimientos administrativos,
siempre y cuando la firma digital haya sido realizada utilizando un certificado
emitido por una Entidad de Certificación acreditada o en cooperación por una
Entidad de Registro o Verificación acreditada.
La Firma Digital es una especie de la firma electrónica, la cual es entendida por
Espinoza Céspedes “como todo medio derivado del desarrollo y del estado de
la técnica electrónica u otra análoga, que por el uso de determinados sistemas
técnicos, permite proteger bienes de naturaleza inmaterial e identificar el
cumplimiento de los principios de integridad, autenticidad, disponibilidad,
aceptación y validación; otorgando en este sentido una adecuada seguridad a
las partes que contratan en redes abiertas, a la contratación electrónica, a la
informática y a la telemática en general.” 73
V. MICROFORMAS
72
El Reglamento de la Ley de Firmas y Certificados Digitales fue regulado inicialmente por el D.S. N° 019-2002-JUS,
posteriormente por el D.S. Nº 004-2007-PCM y últimamente por el D.S. Nº 052-2008-PCM.
73 José Francisco Espinoza Céspedes, Contratación Electrónica, Medidas de Seguridad y Derecho Informático (Perú: Editora
RAO S.R.L., 2000), p. 125.
5.1
Aspectos Generales.-
El uso de las tecnologías de avanzada en materia de archivos de documentos
e información está regulada en el Decreto Legislativo N° 681 y sus normas
complementarias. A través de dicho dispositivo legal se puede elaborar
microformas tanto por procesos convencionales como informáticos en
computadoras74, lo cual permite ahorro de espacio y costos a las entidades y
empresas. El uso de microformas coadyuva a la eficiencia y productividad de
las organizaciones y alienta la inversión.
El Ing° Véliz Granados75 señala que los archivos de las organizaciones
constituyen el legajo de la gestión documental; son objeto de consulta interna
y externa; tienen valor histórico, valor de activo y/o patrimonial para la
organización; y, deben ser conservados por periodos establecidos por la
organización o por orden legal. Y, asimismo, refiere que la gestión de la
documentación y la información en las organizaciones deben contar con un
adecuado soporte para la gestión y toma de decisiones, ello permite que se
incremente la productividad y la competitividad y que se tenga aptitud para el
rápido acceso y difusión a distancia. Por ello la necesidad de conocer el
Decreto Legislativo N° 681 que permite la concreción de lo señalado.
5.2.- Definición.74
En dicho contexto actúa el fedatario informático que es un funcionario que actúa en forma “Independiente (…) en el
ámbito informático, digital y electrónico [además] Actúa en el ámbito informático, digital y electrónico [otorgando] fe
pública en medios electrón[i]cos.” Espinoza Céspedes, José Francisco. Procesos Técnicos en el ámbito de la Fedatación
Informática. En: https://es-es.facebook.com/ASIDERoficial. Revisada el 15 de julio de 2014.
75 Miguel Véliz Granados, Director Ejecutivo de Consultora InnSolutions S.A.C., Director Ejecutivo del Instituto de Normas
Técnicas de CINSEYT, Consultor de Certificación de Sistemas ISO 9001, ISO 270 01 y NTP 392.030-2. Curso de Normas
Técnicas Peruanas sobre Micrograbación tratado en el Curso de Formación de Fedatarios Informáticos organizado por el
Colegio de Abogados de Lima en el año 2011.
La microforma se define como la
“Imagen reducida y condensada, o
compactada, o digitalizada de un documento, que se encuentra grabado en un
medio físico técnicamente idóneo, que le sirve de soporte material portador,
mediante un proceso fotoquímico, informático, electrónico, electromagnético,
o que emplee alguna tecnología de efectos equivalentes, de modo que tal
imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o
métodos análogos; y pueda ser reproducida en copias impresas, esencialmente
iguales al documento original. (…)”.76
Las microformas, constituyen documentos electrónicos que reproducen no
solo documentos originales (soporte papel), sino también documentos
producidos por la computadora y por la microfilmación con pleno valor legal,
siempre y cuando observen los aspectos técnicos y jurídicos establecidos en el
Decreto Legislativo Nº 681 y sus normas complementarias.77
5.3
Características de la microforma.-
Un documento se podrá reconocer como MICROFORMA, si cumplen con
determinados requisitos tanto de índole técnico como de índole formal. Al
respecto el Artículo 5 del Decreto Legislativo Nº 681,78 establece lo siguiente:
76 Artículo 1º del Decreto Legislativo Nº 681- Dictan normas que regulan el uso de tecnologías avanzadas en materia de
archivo de documentos e información tanto respecto a la elaborada en forma convencional cuanto la producida por
procedimientos informáticos en computadoras, publicado en el Diario Oficial El Peruano el 14.10.91, modificado por el
Artículo 1º de la Ley Nº 26612
77 En el concepto de microforma, de acuerdo al segundo párrafo numeral 1 del Artículo 1º del Decreto Legislativo Nº 681,
están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos informáticos o
telemáticos en computadoras o medios similares como los producidos por procedimientos técnicos de microfilmación
siempre que cumplan los requisitos establecidos en la presente ley
78
El inciso e) ha sido añadido por el Artículo 3 de la Ley Nº 26612, publicada el 21 de mayo de 1996
“Artículo 5.- Los procedimientos técnicos empleados en la
confección de las microformas, sus duplicados y sus copias fieles
deben garantizar los resultados siguientes:
a) Que las microformas reproducen los documentos originales con
absoluta fidelidad e integridad.
b) Que las microformas obtenidas poseen cualidades de
durabilidad, inalterabilidad y fijeza superiores o al menos similares
a los documentos originales.
c) Que los microduplicados sean reproducciones de contenido
exactamente igual a las microformas originales y con similares
características.
d) Que a partir de las microformas y de los microduplicados
pueden recuperarse, en papel u otro material similar, copias fieles
y exactas del documento original que se halla micrograbado en
aquellas.
e) Que las microformas bajo la modalidad de documentos
producidos por procedimientos informáticos y medios similares
tengan sistemas de seguridad de datos e información que
aseguren su inalterabilidad e integridad. Asimismo, cuando en
esta modalidad de microformas se incluya signatura o firma
informática, ésta deberá ser inalterable, fija, durable y
comprobable su autenticidad en forma indubitable; esta
comprobación deberá realizarse por medios técnicos idóneos."
Observado los requisitos técnicos y formales referidos, podemos señalar las
características de la microforma que se detallan a continuación:
o integridad
o inalterabilidad
o autenticidad
5.4
Requisitos formales.-
En el proceso de micrograbación es necesario que participe el Fedatario
Juramentado con Especialización en Informática o el Notario Público. Ambos
deben contar con el Certificado de Idoneidad Técnica, el cual es otorgado
luego de haber aprobado un Curso de 600 horas comprendido en dos
semestres académicos; es decir, que para dar fe pública en medios
informáticos deben ambos (Abogados y Notario Públicos) cumplir con el
número de horas y materias establecidas en el Decreto Legislativo Nº 681.
Adicionalmente el Abogado para ejercer como Fedatario deberá juramentar
ante la Corte Superior de Lima.
5.5
Eficacia probatoria de las microformas.-
De la norma acotada podemos establecer como requisitos técnicos para que
una microforma tenga plena eficacia probatoria, las siguientes:
•
Reproducción de los documentos originales con absoluta
fidelidad e integridad.
•
El resultado representado por las microformas posean cualidades de
durabilidad, inalterabilidad y fijeza, similar o superior al original
•
Las copias representadas por los
microduplicados deben ser
reproducciones exactas a la original y con similares características.
•
A partir de las microformas y de los microduplicados pueden
recuperarse, en papel u otro material similar, copias fieles y exactas del
documento original que se halla micrograbado en aquellas.
•
Las microformas bajo la modalidad de documentos producidos por
procedimientos informáticos y medios similares tengan sistemas de
seguridad de datos e información que aseguren su inalterabilidad e
integridad.
•
Observancia de la NTP 392.030-2 2005
5.6
NTP 392.030-2 2005.-
La NTP antes referida establece los requisitos que deben cumplir las
organizaciones que operan sistemas de producción de imágenes en medios de
archivo electrónico. Dicha norma se aplica en la evaluación del sistema de
producción de archivos y contiene veintisiete definiciones de las cuales
mencionaremos algunas dada su importancia:
-Documento original: Para los propósitos de la NTP mencionada, es el
documento de una organización que autoriza su migración a Microformas y de
cuyo origen y contenido es responsable.
-Documento electrónico: Unidades estructuradas de información registrada,
publicada o no, susceptible de ser generada, clasificada, gestionada,
transmitida, procesada o conservadas por una persona o una organización de
acuerdo a sus requisitos funcionales, utilizando sistemas informáticos.
Es importante indicar, como nos advierte el Ing. Véliz Granados, que el término
documento electrónico no se refiere únicamente a los documentos de texto
que se suelen crear con procesadores de textos, sino también comprende los
mensajes de correo electrónico, las hojas de cálculo, los gráficos e imágenes,
los documentos HTML o XML y los documentos compuestos, multimedia o de
otras clases, que incluyen a sus enlaces y accesos automáticos.
Para la elaboración de de microformas, de acuerdo a la NTP 392.030-2 2005,
se debe cumplir con las siguientes etapas:
• Proceso de preparación
• Proceso de captación de imágenes
• Proceso de indización
• Proceso de digitalización
• Sistema de Seguridad
• Período de conservación de las Microformas
• Requisitos del medio de archivo electrónico
• Proceso de grabación
• Rotulado de las microformas
Es importante mencionar, así también, que para cada línea de producción y
lugar de almacenamiento de microformas e intermediación digital en la
elaboración de microformas, la organización debe señalar el procedimiento de
intervención de los Fedatarios Juramentados con Especialización en
Informática, quienes deben estar facultados para ejercer dicho rol.
5.7
Las microformas y sus efectos legales.-
En el Artículo 208 del Texto Único Ordenado del Código Civil que trata sobre la
actuación de pruebas, podemos apreciar que el reconocimiento y la exhibición
de los documentos, constituye una prueba que puede servir para respaldar la
verdad de una de las partes.
Las microformas constituyen documentos conforme al Artículo 234 del TUO
del Código Procesal Civil y deben elaborarse cumpliendo los requisitos técnicos
y legales establecidos en la normatividad de la materia para que tengan
efectos legales.
El Artículo 8 del Decreto Legislativo Nº 681 establece que “Los medios
portadores de las microformas, obtenidos con arreglo a lo dispuesto en esta
Ley, sustituyen a los expedientes y documentos originales micrograbados en
ellos, para todos los efectos legales”.
En cuanto al uso de las microformas en procesos judiciales el Artículo 9 señala
que “Para la utilización en juicio o fuera de él de los documentos
archivados conforme al artículo 8, el notario o fedatario expiden
copias fieles de las correspondientes microformas, en papel o
material similar que permita técnicamente su reproducción
exacta; y autentican estas copias con su signo y firma, mediante
sello ad-hoc, previa comprobación de que el medio físico soporte
de la microformas es auténtico y no ha sido alterado (…) Las copias
de documentos así obtenidas tienen el mismo valor legal, en juicio
o fuera de él, que los documentos originales que reproducen, sin
modificar la calidad de instrumentos públicos o privados que ellos
tuvieran, ni su mérito intrínseco (…)”.
Asimismo, conforme al Artículo 13 del Decreto Legislativo Nº 68179, las
microformas son válidas, para cualquier revisión de orden contable o
tributario, así como para los exámenes de los órganos de control.
Dada la importancia de las microformas para el almacenamiento con valor
legal de información de las entidades públicas y privadas; así, por ejemplo, la
Ley Nº 27444, Ley de Procedimiento Administrativo General ha establecido en
su Artículo 153.380 el empleo por parte de las entidades de la Administración
79
Decreto Legislativo Nº 681
Artículo 13.- Los microarchivos y los documentos contenidos en ellos son válidos para cualquier revisión de orden contable
o tributario, así como para exámenes y auditorías, públicas o privadas. Pueden ser exhibidos ante los inspectores,
revisores, auditores y autoridades competentes, directamente, mediante su presentación en pantallas o aparatos visores,
sin requerirse copia en papel, salvo que tenga que ser presentados los documentos en algún expediente o en caso similar.
Las microformas, los microduplicados y los documentos contenidos en ellos pueden ser utilizados en la transferencia
electrónica de fondos, en la transferencia electrónica de datos informatizados (EDI) y otros servicios de valor añadido,
conservando para todos sus efectos legales su valor probatorio.(*)
(*) Párrafo agregado por el Artículo 9 de la Ley Nº 26612, publicada en el Diario Oficial El Peruano el 21.05.96.
80
Ley Nº 27444-Ley del Procedimiento Administrativo General
“Artículo 153.- Intangibilidad del expediente
(…)
153.3 Las entidades podrán emplear tecnología de microformas y medios informáticos para el archivo y tramitación de
expedientes, previendo las seguridades, inalterabilidad e integridad de su contenido, de conformidad con la normatividad
de la materia.
Pública de la tecnología de microformas y medios informáticos para el archivo
y tramitación de expedientes. El Artículo 153.3 establece lo siguiente:
“(…)
153.3 Las entidades podrán emplear tecnología de Microformas y
medios informáticos para el archivo y tramitación de expedientes,
previniendo las seguridades, inalterabilidad e integridad de su
contenido, de conformidad con la normatividad de la materia.
(…)”
En tal sentido, si mediante disposiciones legales como la Ley N° 2532381 que
crea el Sistema Nacional de Archivos se exige para todos los organismos y
reparticiones del Sector Público Nacional la conservación e integridad física de
los documentos en los archivos administrativos, tal obligación puede
cumplirse mediante el uso de microformas obtenidos conforme al Decreto
Legislativo N° 681.
VI.
CONCLUSIONES
De lo expuesto podemos señalar lo siguiente:
1.
Los documentos son los escritos, impresos, fotocopias, facsímil o fax,
planos,
cuadros,
dibujos,
fotografías,
radiografías,
cintas
cinematográficas, microformas tanto en la modalidad de microfilm
(…)”
81
Publicada en el Diario Oficial El Peruano el 11.10.2000
como en la modalidad de soportes informáticos, reproducciones de
audio o video, la telemática en general y demás objetos que recojan,
contengan o representen algún hecho, o una actividad humana o su
resultado.
2.
El documento electrónico no solo comprende los documentos
materializados, sino los telemáticos (e-mail, telex, fax y telegramas).
3.
El avance de la tecnología ha generado los documentos electrónicos lo
cual no significa que ha cambiado el concepto de documento sino que
estamos ante otro soporte diferente que contiene un documento, como
es el caso de la microforma.
4.
El documento forma la convicción del Juez, permite probar hechos con
trascendencia jurídica; por lo que para ser comprendidas como pruebas
deben cumplir con los requisitos establecidos en el ordenamiento legal.
5.
Los archivos de las organizaciones constituyen el legajo de la gestión
documental y tienen valor histórico, valor de activo y/o patrimonial para
la organización y deben ser conservados, para lo cual es necesario
contar con un adecuado soporte para la gestión y toma de decisiones.
La adopción de tal medida permitirá que se incremente la productividad
y la competitividad y para ello contamos con la microforma regulada en
el Decreto Legislativo N° 681.
6.
La NTP 392.030-2 2005, establece los requisitos de idoneidad técnica,
calidad y conservación de las microformas, que contienen documentos,
información y datos resultantes del sistema de gestión documental de
cada organización.
7.
Las microformas constituyen documentos conforme al Artículo 234 del
TUO del Código Procesal Civil y deben elaborarse cumpliendo los
requisitos técnicos y legales establecidos en la normatividad de la
materia para que tengan efectos legales y probatorios.
8.
Las microformas son válidas, para cualquier revisión de orden contable
o tributario, así como para los exámenes de los órganos de control.
Costo-beneficio del tratamiento de nuestros datos personales y de la
invasión a nuestros datos personales en las aplicaciones móviles (México)
Contenido
Introducción ................................................................................................ 117
1.
Planteamiento del problema.............................................................. 118
2.
Propuesta alterna .............................................................................. 120
3.
Principios para la protección de los datos personales ........................ 123
3.1.
Consentimiento .............................................................................. 123
3.2.
Finalidad ......................................................................................... 124
3.3.
Información .................................................................................... 126
4.
Derechos de acceso, rectificación, cancelación y oposición ............... 129
Conclusiones ............................................................................................... 130
Bibliografía .................................................................................................. 131
Introducción
Debido al incremento en el uso de los equipos de telefonía móvil y de tabletas
electrónicas (dispositivos móviles), el uso de aplicaciones móviles ha venido
también en aumento (aplicaciones), ya sea porque son necesarias para el
funcionamiento de determinada plataforma, porque son gratuitas o porque
están de moda entre nuestros amigos y familiares.
Al momento de instalar estas aplicaciones móviles, las mismas nos requieren
datos personales e incluso nos solicitan acceso a carpetas, registros o datos
adicionales contenidos en nuestros dispositivos móviles, información que en
ocasiones es vital para el funcionamiento de las aplicaciones, pero además, en
muchas de las ocasiones se nos piden datos personales adicionales o acceso a
carpetas e información que nada tienen que ver con la aplicación en sí.
El requerirnos datos personales o información adicional, obedece al hecho de
algunas de las aplicaciones además de ser nuestras fuentes de
entretenimiento, comunicación, administración de documentos, o cualquier
otra funcionalidad para las cuales las hayamos descargado, recopilan
información adicional con la finalidad de perfilar el comportamiento de los
clientes, vender publicidad, e incluso ceder o vender bases de datos e
información personal, la cual no solo puede ser extraída de manera directa a
través de la instalación de virus o programas que permiten el monitoreo de los
comportamientos, preferencias, sitios visitados e incluso de las interacciones
con otros usuarios de aplicaciones, sino también a través del uso de cookies.
1. Planteamiento del problema
Conforme a lo antes señalado, el problema mayor no radica en el uso de los
datos personales recopilados de manera adicional a los requeridos para llevar
a cabo las operaciones básicas de la aplicación, sino en realidad radica en que
el acceso a los mismos se realiza previo consentimiento expreso por parte de
los titulares de los datos personales, ello ya que autorizamos el acceso a
nuestros datos, a la intromisión de nuestra privacidad e incluso, autorizamos
el que nos convirtamos en conejillos de indias experimentales con la finalidad
de que nos observen día y noche con fines de perfilamiento y prospección
comercial.
Ante la pregunta del cómo permitimos tales acciones, la respuesta es muy
sencilla, debido a que en muchas de las ocasiones, descargamos las
aplicaciones aceptando todas y cada una de las políticas o avisos de privacidad,
sin fijarnos todas las cuestiones y puntos a los que estamos cediendo a cambio
de una aplicación.
Posterior a lo anterior y ante el reclamo de los titulares respecto del exceso de
datos e información personal recopilada, o incluso, del que los mismos sean
usados para finalidades adicionales a las elementales para el funcionamiento
de las plataformas, nos encontraremos con la cruda realidad de que en su
momento se nos informó respecto de los datos recopilados y de las finalidades
del tratamiento, se nos dio la oportunidad de elegir entre descargar o no la
aplicación y con ello sus efectos colaterales, y nosotros aceptamos someternos
a ello.
Pero el problema no solo está en la aceptación que realiza el titular respecto
de la recopilación de datos personales y de las finalidades del tratamiento de
los mismos, sino que también se encuentra respecto de que en los avisos de
privacidad (i) la presentación de la información es presentada de una forma
muy extensa, compleja e incluso técnica, (ii) es tanta la cantidad de
aplicaciones como de avisos de privacidad, políticas de uso, y términos y
condiciones que hay que leer, que en realidad es prácticamente imposible
leerlos con detenimiento, pero sobre todo (iii) el hecho de que la aceptación
respecto al uso de nuestros datos personales y finalidades para su tratamiento,
sean o no elementales para el funcionamiento de la operación, se encuentran
establecidas de manera conjunta, de manera que la aceptación de los mismos
se plantea como un “combo” es decir, aceptas el todo no nada.
2. Propuesta alterna
Conforme al problema antes planteado, nos pueden venir muchas preguntas
a la mente, tales como, el cómo hacer para que los usuarios lean los avisos de
privacidad, cómo hacer para que entiendan de una forma clara y sencilla no
solo el contenido del aviso, sino que en específico, entiendan los alcances e
implicaciones de los datos personales recopilados y de las finalidades de su
tratamiento, además de cómo hacer para que la aceptación de tales datos y
finalidades no sea manejada mediante un combo.
Como propuesta de solución a los cuestionamientos antes planteados está la
utilización de un modelo híbrido que contemple los principios de
consentimiento, información y finalidad conforme a las obligaciones actuales
establecidas la legislación mexicana al responsable, por ser el caso de estudio,
así como la implementación de los siguientes elementos:
(i)
Realizar un catálogo de los tipos de datos personales y sus
correspondientes finalidades del tratamiento, de manera que se pueda
diferenciar entre los que son elementales para el funcionamiento de la
aplicación, de las que son adicionales.
(ii) Adicional a que se señale o remita al contenido del Aviso de Privacidad y
se establezca una casilla se aceptación del mismo, previo a la descarga,
se podrían establecer casillas de aceptación adicionales conforme a lo
siguiente:
- Para los datos e información personal y las finalidades del tratamiento
que sean elementales para el funcionamiento de la aplicación,
establecer como requisito indispensable para la descarga de la
aplicación la aceptación expresa para su recopilación y tratamiento.
De manera que en caso de que tal casilla de aceptación no sea
seleccionada, no se pueda proceder con la descarga.
- Para los datos e información personal y las finalidades del tratamiento
que no sean indispensables para el funcionamiento de la aplicación,
establecer como requisito opcional el que el titular acepte o no el
acceso y uso de sus datos personales. Pero sin que ello sea un
elemento indispensable para la descarga e instalación de la
aplicación.
Incluso, se podrían llegar a subcategorías de datos personales y
finalidades no indispensables para el funcionamiento de la aplicación.
(iii) Uso de un lenguaje sencillo y claro al momento de clasificar los tipos de
datos personales y las finalidades del tratamiento, ello al momento de
recopilar el consentimiento expreso y previo a la descarga de la
aplicación.
En la actualidad, al momento de ver la información sobre la aplicación o
al momento de seleccionar el descargar la aplicación, se despliega un
listado de permisos que son requeridos para poder acceder a la
aplicación, tales como acceso al directorio telefónico o información de
contactos, acceso a fotografías, datos de geolocalización, entre otros
(permisos de acceso). De manera que al final, de los mismos se tiene que
seleccionar el botón de aceptar, para poder iniciar con la descarga.
Pero la propuesta es seguir manejando el mismo listado de permisos de
acceso, pero de una manera clasificada, estableciendo en primer lugar y
bajo un rubro de permisos de acceso elementales para el funcionamiento
de la aplicación, el listado de los permisos que correspondan a tal
clasificación. Como ya se mencionó, la aceptación o selección de la casilla
de aceptación de los mismos sería indispensable para la descarga.
Posterior a ello y bajo el rubro que corresponda a las finalidades no
indispensables para su tratamiento, tales como, permisos de acceso
necesarios para fines de perfilamiento y usos comerciales, para fines
estadísticos y de localización, entre otros, se listarían los permisos de
acceso aplicables. Pero en este caso, si el usuario no selecciona la casilla
de aceptación, ello no sería elemento indispensable para la descarga, y el
responsable no podría tener acceso a tales datos personales, ni mucho
menos realizar el tratamiento de los mismos.
3. Principios para la protección de los datos personales
En el presente estudio lo he acotado al análisis de los principios de
consentimiento, información y finalidad, ya que son los que mayor relevancia
e impacto tienen en relación con el problema y propuesta alterna, antes
planteados.
3.1.
Consentimiento
En primero lugar, conviene recordar que consentimiento es la manifestación
de la voluntad del titular de los datos personales para se pueda llevar a cabo
el tratamiento de dichos datos, además, es conveniente resaltar que entre
otras características, dicho consentimiento tiene que ser realizado de manera
libre, previo a tu recopilación y tratamiento, y de una manera informada.
Conforme a la legislación mexicana, en específico en la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares (Ley de
Protección de Datos), se prevé el que el consentimiento se pueda obtener de
manera expresa y por medios electrónicos, ópticos o de cualquier otra
tecnología, pudiendo así los responsables de las aplicaciones móviles obtener
el consentimiento para la recopilación de los datos personales, para el uso de
determinados permisos de acceso y para el sometimiento de los mismos a
determinadas finalidades del tratamiento.
En sentido práctico, lo más fácil para el responsable de la aplicación y por lo
tanto, para el tratamiento de los datos personales, es acotarse al estricto
cumplimiento de la ley y manejar la autorización para la recopilación de todos
los datos y su correspondiente tratamiento de manera conjunta, es seguir
manejando tal aceptación a manera de combo, tal y como lo mencionaba
anteriormente.
Pero conforme a la propuesta alterna planteada, se propone la posibilidad de
migrar a un modelo hibrido, pasando del modelo de aceptación del todo o
nada, a un modelo en el cual el titular tenga la libertad de decidir respecto de
la recopilación de sus datos personales, así como de las finalidades para el
tratamiento de los mismos.
3.2.
Finalidad
En la Ley de Protección de Datos Personales se establece el que el tratamiento
de los datos personales por parte del responsable debe estar acotado a las
finalidades del tratamiento establecidas en el Aviso de Privacidad.
Cabe destacar que en dicha legislación en materia de protección de datos
personales, se establece el que las finalidades que se señalen en el Aviso de
Privacidad serán divididas entre finalidades primarias y secundarias, es decir,
el responsable deberá distinguir entre las finalidades que dieron origen y son
necesarias para la relación jurídica surgida entre el titular y el responsable del
tratamiento, de aquellas que no lo son.
Lamentablemente el que la distinción entre facultades primarias y secundarias
se lleve a cabo de manera expresa en el Aviso de Privacidad del responsable,
no garantiza que el titular de los datos personales vaya a entender el contenido
y alcance de las mismas, porque como ya se mencionó en el planteamiento del
problema, en muchas de las ocasiones el titular ni siquiera lee el aviso de
privacidad adjunto en la aplicación.
Además, otro de los derechos del titular de los datos personales es el de
oponerse al tratamiento de sus datos personales cuando los fines a los que
son sometidos sean distintos de las finalidades que son necesarias para el
cumplimiento de la obligación jurídica, sin embargo, cuando en las
aplicaciones se maneja la aceptación de tales finalidades a manera de combo,
no se le está dando la oportunidad al titular de que realice la oposición al
tratamiento de las mismas de una manera previa al otorgamiento del
consentimiento para su tratamiento.
Es por ello que se plantea el que de una manera sencilla y clara se le permita
al titular de los datos personales el revisar a manera de checklist las finalidades
para las cuales se recopilan los datos personales, señalando se manera expresa
cuales son indispensables para el funcionamiento de la aplicación y cuales son
adicionales.
Con la propuesta alterna analizada en el presente estudio, lo que se pretende
no es limitar el tratamiento de los datos personales conforme a finalidades
distintas de las necesarias para el funcionamiento elemental de la aplicación,
sino la visión de tal propuesta es que dicho tratamiento se pueda realizar pero
siempre y cuando el titular de los datos personales esté consciente de la
información que se recopila de él, así como los usos a los cuales dichos datos
van a ser destinados. Ello mediante el cumplimiento del principio de
información.
3.3.
Información
El principio de información consiste en el respeto del derecho que tiene el
titular de los datos personales de conocer cuales datos personales se recopilan
de él y las finalidades del tratamiento a las cuales van a ser sometidos, ello
realizado a través de la publicación y puesta a disposición del Aviso de
Privacidad, el cual deberá cumplir de manera adicional con los demás
requisitos que establece la legislación aplicable en materia de datos personales
en México (legislación de datos personales).
Ahora bien, debido a que los Avisos de Privacidad deben de contar con
diversos elementos y especificaciones establecidos en la legislación de datos
personales, como ya se ha manifestado, los mismos suelen ser muy extensos,
complejos e incluso técnicos, de manera que el titular casi nunca accede a ellos
y ni les da lectura.
Para los casos como los de las aplicaciones, la legislación mexicana en materia
de protección de datos personales contempla la posibilidad de que cuando el
espacio para colocar los avisos sea muy reducido y no sea posible colocar el
Aviso de Privacidad completo, tal y como es el caso de las aplicaciones, se
podrá emplear un Aviso de Privacidad corto que al menos contendrá la
identidad y domicilio del representante, las finalidades del tratamiento y los
mecanismos que el responsable ofrece para que el titular pueda conocer el
Aviso de Privacidad Integral o completo.
Sin embargo, conforme al planteamiento del problema expuesto el aviso de
privacidad corto tampoco resuelve el problema de garantizar el que el titular
pueda aceptar o no el tratamiento de las finalidades primarias o secundarias,
ya que aunque se ponga a su disposición el aviso de privacidad completo, como
ya se ha mencionado el problema real es que el titular no realiza la lectura del
mismo, aunque tal Aviso completo sea informado mediante un vínculo
electrónico que remita al sitio web en donde está montado el Aviso de
Privacidad completo.
Por ello es que la propuesta planteada contempla la posibilidad de que
adicional a establecer un Aviso de Privacidad corto que contenga los
elementos antes señalados, se establezca de una forma muy clara y concreta
cuales son los datos y finalidades del tratamiento indispensables para el
tratamiento de la información y cuales no lo son, ello además de dar la
oportunidad de el titular pueda aceptar o negar el tratamiento de sus datos
personales conforme a tales finalidades.
En el caso de México, actualmente también se contempla en los Lineamientos
del Aviso de Privacidad el que en el caso de medios electrónicos, la
recopilación del consentimiento expreso, o expreso y por escrito, podrá ser
mediante el establecimiento de una casilla de marcado o de aceptación,
mediante la cual el titular podrá manifestar su conformidad o no con el
contenido del Aviso de Privacidad. Lo cual es considerado una base
fundamental para lo antes analizado, sin embargo, ello se enfoca y da pie a
que la aceptación de la recopilación de información y la aceptación de las
finalidades del tratamiento se realice a manera de combo.
Lo anterior es un punto de oportunidad para la legislación, ya que incluso por
lo que respecta al Principio de Información, el esquematizar la información y
solicitar la aceptación expresa para las finalidades del tratamiento adicionales
al funcionamiento elemental de las aplicaciones web, es una forma de
garantizar que si bien no todas las personas lean las implicaciones base del
tratamiento, por lo menos más personas lo hagan.
En la legislación mexicana, en específico en los Lineamientos del Aviso de
Privacidad si bien se contempla que en los casos en los cuales el espacio o los
formularios sean muy pequeños, se podrá colocar un Aviso de Privacidad
Corto, mediante el cual se informe al titular al menos el nombre y domicilio
del responsable, las finalidades del tratamiento y se establezcan los
mecanismos mediante los cuales se pone a disposición el Aviso de Privacidad
completo, sin embargo, ello no resuelve el que en realidad los titulares de los
datos den lectura a los Avisos cortos o completos, y menos aún si el titular
comprendió o no el contenido e implicaciones de los datos remitidos y de las
facultades autorizadas.
4. Derechos de acceso, rectificación, cancelación y oposición
En la legislación mexicana en materia de protección de datos personales al
igual que en la mayoría de los países que regulan el tratamiento de dichos
datos personales, se establece como derecho de los titulares el que puedan
ejercitar ante el responsable sus derecho de acceso, rectificación, cancelación
y oposición al tratamiento de tales datos personales (derechos ARCO).
Sin embargo, debido a la forma de operación y funcionamiento de las
aplicaciones, como primero se da una aceptación global de la recopilación o
acceso a ciertos datos personales, así como de las finalidades de su
tratamiento, sean o no indispensables para el funcionamiento de la aplicación,
al momento de realizar la aceptación del Aviso de Privacidad y con la
consecuente instalación de la aplicación, lo que puede ocurrir es que en
segundos nuestra información pueda estar dispersada en la web, haya sido
transferida a terceros para su tratamiento o incluso ya esté siendo tratada con
fines de perfilamiento comercial.
Posterior a lo anterior, aunque realicemos la desinstalación de la aplicación de
nuestros equipos móviles o incluso recurramos al ejercicio de nuestros
derechos ARCO, ya no podremos hacer mucho respecto de la información que
ya fue previamente difuminada o distribuida, ya que en su momento
otorgamos la autorización expresa para que ello aconteciera.
Es por lo que la medida propuesta es a su vez una medida preventiva para que
desde el momento en el que se recopila el consentimiento, el titular tenga la
oportunidad de conocer, comprender y decidir respecto del tratamiento de
sus datos personales.
Es mejor que actuar de manera preventiva respecto de la protección de
nuestros datos personales, a que actuemos de manera reactiva e incluso ante
la imposibilidad de recuperar la protección de los datos personales que ya
fueron dispersados.
Conclusiones
La forma mediante la cual se otorga el consentimiento en las aplicaciones
móviles respecto del acceso a nuestros datos personales, así como de las
finalidades a las cuales los mismos van a ser sometidas, es un punto de
oportunidad tanto para la legislación en materia de protección de datos
personales en México, como para los responsables que realizan el tratamiento
correspondiente.
Por ello, con la propuesta alterna aquí analizada lo que se propone es
encontrar un modelo hibrido o intermedio que permita tanto el cumplimiento
de la ley, como el que los responsables puedan ir un paso más allá del mero
cumplimiento de la misma, ello para garantizar que en realidad el titular esté
comprendiendo de una forma clara y sencilla las finalidades a las cuales se
someterá el tratamiento de sus datos personales.
Ahora bien, lo anterior puede ser que sea visto por los responsables como una
carga administrativa o técnica establecida de manera adicional a las que ya se
establecen en la legislación aplicable, pero desde ahí podemos cambiar
nuestra forma de pensar, ya que al final lo que pudiera resultar una carga
puede ser un elemento diferenciador que me permita garantizar la satisfacción
de los clientes, mediante el incremento de la confianza que tenga en mí,
además de que ello se puede convertir en un elemento diferenciador que me
permita llevar una ventaja competitiva en el mercado.
Bibliografía
29, G. d. (8 de diciembre de 2011). Dictamen 16/2011 sobre la recomendación
de mejores prácticas de EASA/IAB. Recuperado el 20 de julio de 2014,
de
http://ec.europa.eu:
http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinionrecommendation/files/2011/wp188_es.pdf
Diputados, C. d. (05 de Julio de 2010). Ley Federal de Protección de Datos
Personales en Posesión de los Particulares. Recuperado el 13 de Enero
de
2014,
de
Cámara
de
Diputados:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
Diputados, C. d. (21 de Diciembre de 2011). Reglamento de la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares.
Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf
Economía, S. d. (17 de enero de 2013). Lineamientos del Aviso de Privacidad.
Recuperado el 20 de julio de 2014, de Diario Oficial de la Federación:
http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17
/01/2013
Mañas, José Luis Piñar; Lina Ornelas Núnez;. (2013). La Protección de Datos
Personales en México (Primera ed.). México: Tirant Lo Blanch
Monografías.
APROXIMACIONES A LA PROTECCIÓN AL CIUDADANO COMO CONSUMIDOR
Y COMO ELECTOR EN UN CONTEXTO DE FEDATACIÓN INFORMÁTICA EN EL
AMBITO JURÍDICO INFORMÁTICO PERUANO
JOSÉ FRANCISCO ESPINOZA CÉSPEDES82
SUMARIO
1. Aspectos generales. 2. Acciones básicas del ciudadano como
consumidor con miras a su protección en un ámbito negociación
electrónica. 3. La protección al ciudadano como elector en medios
electrónicos. 4. la protección al ciudadano como consumidor y
como elector en medios electrónicos en el contexto de Fedatación
informática. 5. conclusiones. 6. bibliografía. 7. infografía.
PALABRAS CLAVES
82
Abogado por la Universidad de Lima. Egresado de la maestría en Derecho Empresarial de la Universidad de
Lima. Estudios de Maestría en Buen Gobierno y Sistema Electoral de la Universidad de Piura. Estudios de Postgrado en Comercio Electrónico (UNMSM). Estudios de Postgrado en “Experto Universitario en Entornos
Virtuales de Aprendizaje” (OEA). Estudios de Administración Electrónica (Colombia). Estudios de
Especialización en Negocios Electrónicos (ESAN). Postgrado en Informática Jurídica - UCI - Cuba. Autor del
libro: Contratación Electrónica Medidas de Seguridad y Derecho Informático”. Docente en la Universidad
Ricardo, Universidad Wiener y en la Universidad UTP. Profesor del Diplomado en Gobierno Electrónico (UCI)
Cuba. Profesor Honorario de la Universidad Nacional Faustino Sánchez Carrión. Profesor visitante - Facultad
de Derecho de Santa María (FADISMA) Brasil. Coordinador Académico del Curso de Formación de Fedatarios
Informáticos 2011. Presidente de la Asociación Iberoamericana para el Desarrollo Regional –ASIDER.
Administrador del Blog: http://iusinformatico.blogspot.com y de la página: http:www.asider.pe. Ponente en
eventos nacionales e internacionales en Argentina, Brasil, Bolivia, Colombia, Chile, Ecuador, México, Cuba y
España.
Negociación Electrónica. Votación Electrónica. Voto Electrónico.
Fedatario
Informático.
Fedatación
Informática.
Derecho
Informático.
RESUMEN
Por el desarrollo de los medios para manifestar voluntades por
medios electrónicos es necesario prever contextos de participación
de los Fedatarios Informáticos para la protección de los ciudadanos
sea como consumidores o como electores.
1. ASPECTOS GENERALES
En pleno siglo XXI es una realidad el incremento las operaciones
transfronterizas83 realizadas en medios virtuales o electrónicos; siendo un
escenario cierto la existencia de una serie de transacciones comerciales y no
comerciales mediante el uso y aplicación de las redes abiertas y públicas en el
ciberespacio.
En dicho contexto, es una verdad incuestionable que diariamente se
realicen diversas
operaciones
técnicas
derivadas
de
los
negocios
electrónicos84, situación que necesariamente nos lleva a reflexionar respecto
83
En tal sentido, “En la medida en que los sistemas jurídicos nacionales absorben el derecho mercantil y lo
particularizan, surge también una dinámica compensatoria interesante, en tanto empieza a necesitarse un
sistema nuevo que rija las operaciones transfronterizas (…)” asimismo, debe tenerse en cuenta que “Las nuevas
geografías pueden concebirse como ensamblajes de redes transfronterizas entre determinados lugares
parcialmente insertos en lo nacional, ciertos componentes de distintos órdenes-espacio temporales y una
variedad de elementos institucionales y de regulación.” En: SASSEN SASKIA. Territorio, autoridad y derechos.
De los Ensamblajes Medievales a los Ensamblajes Globales. Madrid. Kats Editores. 2010. pp. 259 - 492.
84 Sobre el particular “(…) no debe olvidarse que la razón por la que las empresas usarán los Mercados
Electrónicos seguirá siendo realizar transacciones de formas ágil y más eficiente, aunque la mayor parte de
a la existencia o no de ciertos criterios que permitan otorgar una adecuada
protección a los consumidores que interactúan en el ámbito de los medios
electrónicos.
Siendo una necesidad fundamental analizar contextos vinculados
directamente con el desarrollo y crecimiento de la publicidad generada a partir
de los negocios electrónicos, debiendo tenerse, en cuenta por ejemplo, la
existencia de una serie de elementos relacionados con la transferencia85 y
posterior envío de bienes a nivel mundial, resultantes de operaciones por
medios electrónicos, virtuales o digitales.
Luego de superado el shock del siglo XX, que el comercio y negocios
electrónicos en su mayoría se negocian, transan y ejecutan a partir de las
operaciones transfronterizas que hoy requieren protección internacional a fin
de brindar una real protección al consumidor, la misma que por sus
características intrínsecas hoy en día es territorial; existen normas de
protección a los consumidores que se desarrollan en medios electrónicos pero
estas están limitadas por el medio geográfico fronterizo, y por tanto físico86.
Aún en este nuevo contexto, generado por los negocios electrónicos,
surge la cuestión de determinar si existe alguna forma de generar medios
probatorios idóneos que le permitan al consumidor que actúa en medios
ingresos y consultas se reciban de los servicios de valor añadido.” En: García del Poyo, Rafael y otros. El Libro
del Comercio Electrónico. 2da. Edición Revisada y Actualizada. Madrid. ESIC Editorial. 2011. p. 368.
85 Debe considerarse que “el envío de correos electrónicos a muchas personas, se constituye como una oferta
determinada” SANCHEZ DEL CASTILLO, Vilma. Publicidad en Internet. Régimen Jurídico de las
Comunicaciones Electrónicas. Madrid. La Ley. 2006. p. 52.
86 En dicho contexto consideramos que “(…) la política económica del poder real (economía) no dejó espacio
para la tutela de los derechos del Consumidor, como poder formal (derecho) [de ahí la necesidad que intervenga
el Derecho Informático]” STIGLITZ, Gabriel. (Director). Derecho del Consumidor. Rosario. Editorial Juris. 2008.
p.38.
electrónicos estar en condiciones de probar la existencia de su vinculación los
comercios y los negocios electrónicos.
Por otro lado también es real que el ciudadano en un contexto
democrático requiere protección al interactuar con los mecanismo
electrónicos que le permiten ejercer su Derecho al Sufragio por medios
electrónicos, para tal efecto se van creando espacios donde la votación
electrónica tiene un lugar expectante para el desarrollo de mecanismos de
participación ciudadana en el ciberespacio.
2. ACCIONES BÁSICAS DEL CIUDADANO COMO CONSUMIDOR CON
MIRAS A SU PROTECCIÓN EN UN ÁMBITO NEGOCIACIÓN
ELECTRÓNICA
Los consumidores antes de interactuar a nivel del comercio y negocios
electrónicos es necesario que tengan un actuar diligente, por lo tanto deben
tener un desempeño racional, que les permita ser catalogados como
consumidores racionales en ambientes informáticos y electrónicos, por lo
tanto, deben preguntarse sobre las seguridades técnicas que le brinda el sitio
web donde van a realizar sus operaciones y negociaciones por medios
electrónicos, deberán verificar para tal efecto los aspectos publicitarios
aplicables a las transferencias de bienes y servicios requeridos.
Tales acciones deben desarrollarse para que los consumidores puedan
estar en capacidad de reaccionar adecuadamente ante posibles afectaciones
a sus derechos en las jurisdicciones en las que se hallen adquiriendo bienes y/o
negociando servicios.
Es una realidad que en operaciones comerciales87 por medios
electrónicos se vienen aplicando contractualmente una serie de regulaciones
publicitarias que son restrictivas respecto a la transferencia de bienes y
servicios, tanto para bienes intangibles como para la comercialización de
bienes tangibles.
Debe tenerse en cuenta que en medios electrónicos las acciones
comerciales que puede ser legales para determinada jurisdicción regulatoria
no lo son para otras; al respecto podemos señalar con conocimiento de causa
que existen una serie de barreras y limitaciones para la descarga de bienes
inmateriales dirigida especialmente para países que presentan problemas o
altos índices vinculados con la piratería de software, de películas, de estudios
de mercado, etc.
En el contexto de la protección al consumidor se debe verificar la
existencia de restricciones internacionales a las transferencias de bienes y
servicios realizadas por medios electrónicos con la finalidad de no ser
87En
el ámbito histórico tenemos al EDI, que al inicio de sus operaciones “(…) se utilizó simplemente como un
sistema de intercambio electrónico de los documentos necesarios para las operaciones comerciales. En vez de
enviar una carta o un fax con una orden de compra, se enviaba un correo electrónico, lo que proporcionaba
mayor rapidez.
Hoy en día este enfoque ha quedado pequeño, y ahora el EDI sirve para transmitir todo tipo de información
técnica o comercial, por lo cual el EDI es fundamental dentro del comercio electrónico.
El intercambio electrónico de dato o EDI, hace posible la transmisión de datos en formato normalizado entre los
diferentes sistemas informáticos que se incluyen en las transacciones comerciales, reduciendo al mínimo la
intervención manual.
Cuando el sistema EDI se combina con determinadas aplicaciones informáticas y telecomunicaciones, se
constituye un sustituto del documento en soporte papel en su función de portador de datos para el comercio y
las actividades que se relacione[n] con él.” En: Editorial Vértice. Operaciones de caja en la venta. Málaga.
Editorial Vértice. 2010. p. 19.
perjudicados como consumidores en plataformas web nacionales que generan
efectos internacionales.
Debido a la diversidad de problemas que pueden afectar al consumidor
en materia de negocios electrónicos debemos analizar las cláusulas y sobre
todo las políticas de cada uno de los sitios web visitados a fin de determinar
que no se presenten restricciones que afecten la transferencia de bienes y
servicios a ciertos espacios territoriales en el ámbito mundial, por lo tanto,
deben tenerse en cuenta todos aquellos aspectos relativos a la responsabilidad
generada por medios electrónicos, aspectos legales de aplicación general,
elementos administrativos, legislación aplicables, juez competente, formas de
resolución de conflictos en medios electrónicos, etc.
Por otro lado los consumidores deben solicitar apoyo legal especializado
en aspectos vinculados con la contratación electrónica y relativos a devolución
de productos, cambio de mercadería, revocación de operaciones electrónicas,
formas de acreditación de la identidad personal, protección de datos
personales, intercambio de información financiera, pago de tributos, validez
de las actividades comerciales en línea, formas legales de manifestar la
voluntad por medios electrónicos, y además tener en cuenta cualquier otro
criterio que faciliten tomar conocimiento de cualquier problemas posterior y
sobre todo poder encontrar la solución que proteja efectivamente al
consumidor en medios electrónicos.
Actualmente, muchos sistemas regulatorios van teniendo algún nivel de
normatividad que proteja al consumidor88 en medios electrónicos, sean a nivel
88
Al respecto deben resaltarse los trabajo que sobre el particular se han venido realizando en el contexto
europeo, en ese sentido se aprecia que no “(…) hay comercio sin consumo. El usuario de la Red, cuando actúa
de operaciones y transferencias tanto de bienes como de servicios que
permitan una oportuna protección al consumidor que realiza operaciones y
negocios electrónicos; en tal sentido, los aspectos regulatorios sobre la
publicidad en medios electrónicos no se hace esperar, es así que el Perú
cuenta con normatividad que sanciona el spam de carácter comercial,
regulado por la Ley Nº 28493 - Ley que regula el uso del correo electrónico
comercial no solicitado (SPAM), modificada por la Ley Nº 29246, la misma que
fue reglamentada por el Decreto Supremo Nº 031-2005-MTC.
El objeto de la norma bajo comentario, conforme a lo previsto en su
Artículo Nº 1 es regular el envío de todas aquella comunicaciones de carácter
comercial, enviadas con fines publicitarios o promocionales que no hayan sido
solicitadas; la mismas que deben haber sido efectuadas por correo electrónico;
para tal efecto debe tenerse en cuenta que el nuevo marco regulatorio de los
correos comerciales no deseados también le es aplicable todas aquellas,
disposiciones que se encuentre vigentes respecto a la materia comercial,
publicitaria y relativa a la protección al consumidor.
En el ámbito de la normatividad antes referida, conforme al Artículo Nº
2, debe entenderse por Correo electrónico, a todo aquel mensaje, archivo,
dato u otra información electrónica pasible de ser transmitida hacia una o más
personas, a través de un contexto de interconexión de redes89 o medios
en calidad de consumidor, es decir, de destinatario final de los bienes y servicios que se ofrecen en línea, es
pues la gran contraparte del prestador de servicios de la sociedad de la información (…)” GARCÌA MEXÌA,
Pablo. Derecho Europeo de Internet. Hacia la autonomía Académica y la Globalidad Geográfica. La Coruña.
NETBIBLO S.L. 2009. p.251.
89
“La interconexión de redes de telecomunicaciones es una disciplina ya madura, tanto a nivel privado – local
(caso de redes de área local, por ejemplo) como a nivel público-internacional (caso de redes telefónicas
públicas, o de redes de datos; internet, por ejemplo).
No obstante, el actual escenario de competencia ha abierto una nueva dimensión en el campo de la
interconexión
de
redes
de
telecomunicaciones
(…)”En:
cualquier otro medio análogo. En dicho contexto será considerado como
correo electrónico a toda aquella información que se encuentre contenida
tanto en forma de remisión o anexo, siempre y cuando dichos supuestos sean
accesibles a través de enlaces electrónicos directos o que se encuentren
contenidos dentro del propio correo electrónico.
Para efectos de evaluar al correo de carácter comercial generado en el
marco de las transferencias de información por medios virtuales debe tenerse
en cuenta que aquel está referido a todo correo electrónico que contenga en
su estructura interna información comercial publicitaria o información
promocional sobre bienes y servicios vinculados a empresas, organizaciones o
personas, siempre y cuando tengan fines comerciales o lucrativos.
En dicho contexto, se entiende por proveedor de servicios a toda
persona sea natural o jurídica que se encuentre en capacidad proveer diversos
mecanismos de correo electrónico y por lo tanto, en dicho contexto actúa
como intermediario en el envío como en la recepción de los correos
electrónicos de carácter comercial.
Finalmente, debemos tener en cuenta que para que todo correo de
carácter comercial que no haya sido solicitado por el consumidor en medios
electrónicos sea legal debe cumplir, lo dispuesto por el Artículo Nº 5 de la Ley
28493, en el sentido de colocar en el campo del asunto del correo la palabra
“PUBLICIDAD”; por lo tanto, debe tenerse en cuenta que la norma no señala si
deba dicha palabra debe ir delante o al final del asunto o subject,
http://www.gatv.ssr.upm.es/stelradio/STEL/adjuntos/material_consulta/2_apuntes_interconexion_y_gestion_re
des.pdf. Revisada el 29-07-14.
consideramos que para evitar problemas posteriores debe preferirse colocar
dicho texto al inicio del asunto.
Seguidamente, debe incorporarse el nombre o denominación social, de la
persona natural o jurídica, señalándose su domicilio completo, así como la
dirección de correo electrónico de la persona envía el mensaje; y por último
debe incluirse una dirección de correo electrónico válido y que se encuentre
activa, para poder dar respuesta a todas las inquietudes que usuarios o
receptores de los correos comerciales no deseados puedan enviar sus
comunicaciones o mensajes para indicar su voluntad expresa de no querer
recibir correos de carácter comercial no solicitados; también podrá utilizarse
cualquier otro sistema que permita llegar al mismo resultado.
Es importante tener presente los elementos que hacen ilegal a un correo
comercial enviado por medio electrónicos, en ese, sentido, conforme a lo
dispuesto por el Artículo Nº 6 de la norma bajo análisis plantea que operará
tal situación cuando no se cumpla con cualquiera de los requisitos previstos en
el artículo 5, antes analizado; además cuando se proceda a crear un correo con
nombre falso o que contenga información falsa, que impida identificar a quien
envía o transmite el correo electrónico o el mensaje de datos.
Asimismo se determina que el correo es ilegal si se consigna información
falsa o que sea engañosa en el “asunto” o en el “subject” o que dicha
información presentada no coincida con el contenido expresado en el mensaje
de datos a ser enviado. O finalmente que se proceda a enviar o transmitir a
una persona que haya solicitado el no envío de correos publicitarios luego de
dos (2) días de ocurrido el reclamo o envió de tal solicitud. De ocurrir tal
supuesto el afectado queda facultado para presentar la correspondiente
denuncia, previo rechazo de la misma, para tal efecto deberá adjuntarse a la
denuncia copia del correo electrónico que contiene el rechazo y el nuevo
correo enviado por el remitente.
Por otro lado, debe tenerse en cuenta que Código de Protección y
Defensa del Consumidor, aprobado por LEY Nº 29571, en adelante la Ley, se
plantea para efectos de los reclamos en medios electrónicos90 que si el
proveedor cuenta con alguna línea de atención de reclamos o con algún medio
electrónico u otros elementos análogos se encuentra obligado a asegurarse
que tal atención sea oportuna, a fin que por el paso del tiempo o por
ineficiencias en el servicio electrónico no se convierta esto en un problema u
obstáculo para el reclamo que realice el afectado.
Respecto al contrato de consumo previsto en el Artículo 47 de la Ley, se
expresa taxativamente el literal c) del citado artículo que los “(…)
consumidores tienen derecho a emplear los mismos mecanismos de forma,
lugar y medios utilizados para la celebración de los contratos para
desvincularse de estos, como por ejemplo la vía telefónica, cualquier medio
electrónico u otro análogo.” Situación que se vincula con todas aquellas
prestaciones adicionales o complementarias a que hubiera lugar.
90
En ese orden de ideas, debe tenerse en cuenta que el “(…) E-mail ocupa un lugar muy importante en el
comercio por Internet. Solo en base a él se puede estructurar un emprendimiento de comercio por Internet sin
necesidad de poner un sitio. En el comercio por Internet se envían constantemente E-mail con el objetivo de
promover las ventas. Revitaliza como ningún otro medio la creatividad aplicada a escribir cartas comerciales
que tengan poder de: impactar, despertar el interés, mantener la atención, persuadir, seducir (despertar el deseo
por el producto), profundizar la motivación a comprarlo, informar con claridad sobre el procedimiento que debe
hacer el interesado para concretar la compra, apurar al comprador a realizar la acción de compra.” En: DE LA
CRUZ, Juan. Los Ojos Manipuladores del Dragón. Estados Unidos de Norteamérica. Palibrio LLC. 2014. p.191.
Debemos tener presente que en el marco del literal d) del Artículo 58.1.,
de la Ley, se encuentran prohibidas las prácticas comerciales que importen
realizar determinadas proposiciones no solicitadas por el consumidor sean
realizadas por correo electrónico u otro medio análogo de una de manera
persistente e impertinente, que implique ignorar todas aquellas solicitudes del
afectado relativas al cese de tales proposiciones. Situación que alcanza a los
mensajes electrónicos masivos enviados a las direcciones electrónicas que se
hayan inscrito en INDECOPI para no ser sujetos a promoción por medios
electrónicos.
Todo lo antes señalado se aplica en el marco de lo previsto en el Artículo
58.2., a todo tipo de contratación, siendo aplicable a los contratos a distancia,
como a los contratos derivados del comercio electrónico y modalidades
similares como los negocios electrónicos en general.
Por lo tanto, de lo antes expuesto se aprecia que a inicios del siglo XXI,
los abogados debemos estar en condiciones de realizar permanentemente
estudios legales para encontrar y proponer medidas jurídicas que permitan dar
solución a las controversias en contextos electrónicos a través de conciliación
o el arbitraje derivado de operaciones transfronterizas a través del
ciberespacio.
Hoy en día, es de gran ayuda para solucionar todos los problemas legales
antes referidos la aplicación doctrinaria, jurisprudencial y regulatoria ius
informática generada a partir de la aplicación del Derecho Informático, como
rama nueva del Derecho que nos permite ir proponiendo y creando
mecanismo de seguridad para las diversas operaciones, transacciones91 y
negocios electrónicos generados en la actualidad a través de la interconexión
de redes en el contexto internacional.
3. LA PROTECCIÓN AL CIUDADANO COMO ELECTOR EN MEDIOS
ELECTRÓNICOS
En todo sistema democrático que se respete es deber y obligación
fundamental del Estado brindar los espacios y los mecanismo de participación
para un real ejercicio del Derecho al Sufragio, generando elementos de
protección al ciudadano que actúa como elector en los diversos procesos de
transferencia de poder gobernantes y representantes.
En ese contexto surge el voto electrónico como un proceso de desarrollo
ius informático pensado en el ciudadano, que fomenta la modernización de la
regulación peruana en materia electoral y a su vez se presenta como una
propuesta derivada de los planes gobierno electrónico; es así que el Perú
cuenta con su política de gobierno 2013-2017, elaborada por la Oficina
Nacional de Gobierno Electrónico –ONGEI, entidad estatal que actúa como
ente Rector de todo nuestro Sistema Nacional de Informática y tiene entre sus
fines la modernización del Estado, en un ámbito de inclusión digital marcado
por un proceso tendiente al desarrollo del Gobierno Electrónico.
91
“El desarrollo técnico permite un constante incremento de operaciones con datos y mensajes de datos
relativos a las diversas actividades realizadas a consecuencia del crecimiento de las transacciones electrónicas,
facilitándose de esta forma el avance del conocimiento especializado en la sociedad en un mundo
interconectado.” En: ESPINOZA CESPEDES, José Francisco. Aspectos Generales del Derecho Informático.
http://www.asider.pe/detalle_articulo.php?id_articulo=95. Revisada el 31 de julio de 2014.
El referido plan de Gobierno Electrónico fue aprobado por Decreto
Supremo N°081-2013-PCM, norma publicada en el Diario Oficial el Peruano el
10 de julio del 2013, cuya finalidad fue el despliegue del Gobierno Electrónico
en todo el Perú, con la finalidad que las tecnologías aplicadas al ciudadano
tengan un ámbito de interacción nacional.
Asimismo, también es importante destacar que en el Plan Nacional de
Gobierno Electrónico se ha previsto Promover el Despliegue del DNI
Electrónico, para tal efecto se busca optimizar los accesos a los servicios
públicos en línea a través de medios seguros, se implementarán los elementos
que permitan la aplicación de la identidad digital así como electrónico no
presencial.
En ese sentido, es necesario que las autoridades tomen conciencie sobre
la necesidad de dotar de recursos al Sistema Electoral para permitir que el
ciudadano a la hora de sufragar pueda hacerlo a través del uso de los medios
electrónicos que faciliten a los sufragantes cumplir su deber cívico ciudadano
en forma rápida, segura y eficiente. La forma de sufragar ya cambió, y debe
ponerse en práctica en las localidades que cuentan con facilidades
tecnológicas.
La entidad que por Ley se encuentra facultada para poner en marcha el
voto electrónico es la Oficina Nacional de Procesos Electorales (ONPE92); la
referida entidad tiene entre sus retos hacer que el sistema de votación
92
Conforme al segundo párrafo del Artículo 182 de la Constitución Política del Perú de 1993, a la ONPE “Le
corresponde organizar todos los procesos electorales, de referéndum y los de otros tipos de consulta popular,
incluido su presupuesto, así como la elaboración y el diseño de la cédula de sufragio. Le corresponde asimismo
la entrega de actas y demás material necesario para los escrutinios y la difusión de sus resultados. Brinda
información permanente sobre el cómputo desde el inicio del escrutinio en las mesas de sufragio. Ejerce las
demás funciones que la ley le señala.”
electrónica sea auditable y trazable, a fin de evitar afectaciones al voto
ciudadano.
El uso del voto electrónico permitirá un cambio de paradigma en las
instituciones electorales pero también en el elector a la hora de sufragar y
ejercer sus derechos constitucionales entorno al sistema democrático; en tal
sentido, el sistema de votación electrónica necesariamente debe contar con
mecanismos de seguridad que impida que terceros ajenos a la voluntad del
elector puedan cambiar los resultados de sufragio ciudadano.
Debemos tener en cuenta que un buen sistema de votación electrónica
permitirá la generación de confianza colectiva sobre las bondades del sistema
en cuanto a los elementos de seguridad que impidan cualquier tipo de fraude
electoral.
El uso de la votación electrónica es fundamental por el ahorro de
tiempo, esfuerzo y dinero al elector, se combate la contaminación y la tala de
árboles al no utilizarse papel, se impide cualquier manipulación de las actas
electorales, se mejora el sistema de escrutinio, los resultados de las elecciones
se conocerán con mayor velocidad y seguridad, situación que permitirá la no
afectación de la salud de los miembros de mesa, que con el sistema tradicional
tenían que permanecer en los locales de votación hasta muy tarde en la noche
o hasta las primeras horas de la madrugada siguiente para escrutar
adecuadamente los votos y elaborar la actas sin errores.
En dicho contexto, el marco regulatorio es fundamental, por lo que por
Ley 29603, se autorizó a la Oficina Nacional de Procesos Electorales (ONPE)93
93
Conforme al artículo 182 de la Constitución Política del Perú de 1993 la Oficina Nacional de Procesos
Electorales - ONPE es la entidad encargada de organizar los procesos electorales en el Perú.
a implementar, de forma autónoma, las Normas Reglamentarias y los
procedimientos que permitan el desarrollo gradual y progresiva del Voto
Electrónico en el Perú, tanto en su forma presencial como no presencial, en el
marco de la Ley 2858194, norma que en su momento estableció los
mecanismos legales para las Elecciones Generales del Año 2006.
Posteriormente en diciembre del año 2010 se aprobó, mediante
Resolución Jefatural Nº 211-2010-J-ONPE, el Reglamento del Voto Electrónico,
norma que tuvo como antecedentes el Memorando Nº 581-2010-SG/ONPE de
la Secretaría General; el Informe Nº 300-2010-OGAJ/ONPE, elaborado por la
Oficina General de Asesoría Jurídica de la referida institución.
Una vez aprobado el “Reglamento del Voto Electrónico”, presentaba
cuatro (4) títulos, seis (6) capítulos, cuarenta y ocho (48) artículos y seis (6)
Disposiciones Complementarias y Finales; asimismo la norma presentó un
anexo que formó parte integrante de dicha resolución.
El objeto del citado Reglamento fue regular todos aquellos aspectos
vinculados con el procedimiento aplicable para que los electores puedan
ejercer el derecho al voto por medios electrónicos e informáticos. Para tal
efecto se genera la Dirección oficial de correo electrónico, que es aquella
cuenta de correo electrónico otorgada al elector que desea participar en la
votación electrónica.
94 Por la Primera Disposición Complementaria de la Ley Nº 28581 se autorizó al ONPE a que procesa
implementar en forma progresiva y gradual todo lo relativo al voto electrónico; utilizando para tal efecto los
medios técnicos, sean electrónicos, informáticos o de cualquier otro tipo que permitan otorgar seguridad y
confidencialidad a todo proceso de votación por medios tecnológicos; debiendo preverse los mecanismos que
permitan identificar al elector, generar un medio que permita la integridad de los resultados de sufragio y sobre
todo generar altos estándares de transparencia en el proceso electoral.
En dicho contexto normativo se entendía por voto electrónico al
conjunto de procedimientos aplicados a los procesos electorales, referéndum
o consultas populares, que facilitan el ejercicio del derecho de sufragio en
forma automatizada, mediante los medios electrónicos e informáticos. En el
ámbito normativo analizado el voto electrónico presentaba dos modalidades:
el Voto Electrónico Presencial y el Voto Electrónico no Presencial.
El Voto Electrónico Presencial es una forma de votación por medios
electrónicos generado en ámbitos físicos donde el elector concurre a sufragar
bajo supervisión de las entidades correspondientes. Por otro lado, la Votación
Electrónica no presencial facilita al elector ejercer su derecho al sufragio
mediante el uso de Internet. Tal modalidad era optada voluntariamente. La
entidad encargada del desarrollo del sistema es la ONPE, designada como la
única entidad responsable.
Recientemente el 15 de julio de 2014, se aprobó mediante Resolución
Jefatural Nº 0171-2014-J-ONPE, el Nuevo “Reglamento de Voto Electrónico”
norma que tienen por objeto plantear principios, garantías y criterios que
permitan la regulación adecuada del ejercicio del derecho al sufragio a través
del voto mediante el uso de medios electrónicos. El desarrollo del sistema de
votación electrónica se realizarán en concordancia con lo dispuesto por la Ley
Nº 27269, que regula el uso de las firmas y certificados digitales, así como el
Decreto Supremo Nº 066-2011-PCM, que aprobó el Plan de Desarrollo de la
Sociedad de la Información en el Perú conocido como La Agenda Digital
Peruana 2.0, y el Decreto Supremo Nº 052-2008-PCM, mediante el cual se
aprobó el Reglamento de la Ley que aprobó el uso de las firmas y certificados
digitales en el Perú y todas las demás aplicables.
Para la nueva norma el sistema de votación electrónica es aquel ámbito
de aplicación del software, hardware y red de comunicaciones permiten
comprobar la identidad del elector; facilitan la emisión, conteo y consolidación
de los votos válidamente emitidos y la transmisión de los mismos.
El nuevo reglamento considera al voto electrónico presencial como
aquel sistema de votación electrónica que automatiza los procesos electorales
en ambientes y sistemas que son administrados por la ONPE. Asimismo, se
define el Voto electrónico no presencial como el sistema de votación
electrónica que al utilizar software administrado por la ONPE, facilita al elector
ejercer su derecho al sufragio mediante el uso de internet; debiendo
asegurarse su operatividad y gestión.
En ese orden de ideas, es importante que desde una perspectiva
jurídica95 se tienda a desarrollar un estudio sistemático de la votación
electrónica en el Perú, para tal efecto se cuenta con las instituciones del
Derecho informático para generar espacios de discusión y sobre todo de
elaboración de contenidos que sustenten su desarrollo e implementación
desde una perspectiva internacional.
4. LA PROTECCIÒN AL CIUDADANO COMO CONSUMIDOR Y COMO
ELECTOR EN MEDIOS ELECTRÓNICOS EN EL CONTEXTO DE
FEDATACIÓN INFORMÁTICA
95
“El reto de innovar a los efectos de adaptar la enseñanza de Derecho (…) nos indujo a avanzar no solo en el
terreno de las formas, [sino] a tratar de modificar los contenidos. Uno de los ejemplos meridianos de esa aptitud
ha sido la introducción en la materia objeto de estudio del voto electrónico.” SEIJAS VILLADANGOS, Esther.
La enseñanza del Derecho Constitucional en el EEES. Transición formal: calidad y corresponsabilidad y
transición material: el voto electrónico En: LASALA CALLEJA, Pilar (ed.). Derecho y tecnologías avanzadas.
LEFIS Series, 15. Zaragoza. Prensas de la Universidad de Zaragoza. 2013. p.233.
Como se ha podido apreciar el Código de Protección y Defensa del
Consumidor protege a los usuarios de medios electrónicos, y Ley sobre el Voto
Electrónico busca la protección del elector; En ese sentido es oportuno
preguntarnos cómo es que actúa la actividad de Fedatación informática en
dicho contexto.
En primer lugar para obtener pruebas en medios electrónicos aplicables
para la protección tanto del consumidor como del elector debemos contar con
la participación del Fedatario Informático Juramentado, conforme a lo previsto
en el Decreto Legislativo Nº 681; para tal efecto el referido profesional debe
contar con un Certificado de Idoneidad Técnica, debe haber juramentado ante
la Corte Superior de Justicia o el Juez especializado designado para tal efecto
y finalmente estar inscrito en el Registro Nacional de Fedatarios Juramentados
del Ministerio de Justicia y Derechos Humanos.
Una vez cumplidos los requisitos anteriores el Fedatario Informático
puede actuar en operaciones electrónicas en medios informáticos o digitales
con la finalidad de generar documentos electrónicos con valor legal
denominados microformas96, para tal efecto es necesario que actúe en una
plataforma de producción de documentos de digital a digital; dicha plataforma
estará supervisada por INDECOPI, situación que permitirá que el consumidor
96
Para tal efecto en el marco del Decreto legislativo Nº 681 modificado por la Ley 26612 en tiéndase por
MICROFORMA a la “ Imagen reducida y condensada, o compactada, o digitalizada de un documento, que se
encuentra grabado en un medio físico técnicamente idóneo, que le sirve de soporte material portador, mediante
un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos
equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o
métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original.
Están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos
informáticos o telemáticos en computadoras o medios similares como los producidos por procedimientos
técnicos de microfilmación siempre que cumplan los requisitos establecidos en la presente ley.
en medios electrónicos pueda contar con un elemento inmaterial
debidamente acreditado en su correspondiente soporte material.
En tal sentido, encontramos que las operaciones comerciales por
medios electrónicos y la votación por medios electrónicos se encontrarán
debidamente protegidas con la participación de los dadores de fe pública en
medios electrónicos quienes al actuar como peritos informáticos permitirán a
ciencia cierta la probanza del valor probatorio de las microformas
confeccionadas por ellos tanto en ámbitos comerciales como en contextos
electorales, generan un espacio de seguridad tanto técnica como jurídica para
la protección de las operaciones electrónicas tanto económicas como políticas
en el Perú.
Por ejemplo hoy los Fedatarios Informáticos están facultados para
actuar a nivel de los remates judiciales generados por medios electrónicos,
conforme a lo previsto en la Ley 30229, Ley que plantea la adecuación del Uso
de Las Tecnologías de la Información y las Comunicaciones al Sistema de
Remates Judiciales; así como a los Servicios de Notificaciones de Las
Resoluciones Judiciales, para tal efecto modificó La Ley Orgánica Del Poder
Judicial, El Código Procesal Civil, El Código Procesal Constitucional y la Ley
Procesal del Trabajo, por lo tanto, la Ley 30229 es un campo normativo de vital
importancia para la revalorización de los bienes por medios electrónicos y la
democratización real de la adquisición de bienes por medios electrónicos.
5. CONCLUSIONES
a. El desarrollo de diversas actividades por medios electrónicos van
incrementando permanentemente, situación que es fundamental para la
intervención del Derecho Informático, como rama del Derecho que permite
alcanzar una adecuada regulación ius-informática con la finalidad de proteger
a los consumidores y electores que actúan en medios electrónicos.
b. Por el incremento de las actividades en el ciberespacio se genera un
creciente desarrollo de la publicidad por medios electrónicos, tanto en el
ámbito nacional como internacional, a través de operaciones transfronterizas,
que afectan consumidores como a electores; hecho que requiere estudio y
análisis para una mejor protección de los seres humanos que actúan en redes
abiertas.
c. Por la falta de convenios internacionales sobre protección al
consumidor y del elector en medios electrónicos es necesario que usuarios,
consumidores y electores en medios electrónicos se preparen para actuar en
forma racional en el ámbito de los contratos electrónicos que vienen
suscribiendo o en la emisión de los votos que van sufragando; surgiendo en
ese sentido la necesidad por conocer los aspectos jurisdiccionales territoriales
aplicables tanto a la contratación como al sufragio por medios electrónicos.
d. Con la finalidad de crear elementos probatorios en medios
electrónicos es importante que las operaciones electrónicas generadas por
consumidores y electores sean almacenadas en microformas como
instrumentos que incorporan al Fedatario Informático como dador de fe
pública en ámbitos virtuales.
e. Con la participación del Fedatario Informático en las Operaciones
Electrónicas, la Votación Electrónica y en los Remates Electrónicos Judiciales
se logrará una real democratización en entornos seguros de las diversas
manifestaciones de voluntad por el ciberespacio.
6. BIBLIOGRAFÍA
DE LA CRUZ, Juan. Los Ojos Manipuladores del Dragón. Estados Unidos
de Norteamérica. Palibrio LLC. 2014. 305 p.
EDITORIAL VÉRTICE. Operaciones de caja en la venta. Málaga. Editorial
Vértice. 2010. 80 p.
GARCÍA DEL POYO, Rafael y otros. El Libro del Comercio Electrónico.
2da. Edición Revisada y Actualizada. Madrid. ESIC Editorial. 2011. 395 p.
GARCÍA MEXÍA, Pablo. Derecho Europeo de Internet.
Hacia la
autonomía Académica y la Globalidad Geográfica. La Coruña. NETBIBLO S.L.
2009. 289 p.
LASALA CALLEJA, Pilar (ed.). Derecho y tecnologías avanzadas. LEFIS
Series, 15. Zaragoza. Prensas de la Universidad de Zaragoza. 2013. 294 p.
SANCHEZ DEL CASTILLO, Vilma. Publicidad en Internet. Régimen
Jurídico de las Comunicaciones Electrónicas. Madrid. La Ley. 2006. 444 p.
SASSEN SASKIA. Territorio, autoridad y derechos. De los Ensamblajes
Medievales a los Ensamblajes Globales. Madrid. Kats Editores. 2010. 598 p.
STIGLITZ, Gabriel. (Director). Derecho del Consumidor. Rosario. Editorial
Juris. 2008. 283. p.
7. INFOGRAFÍA
ANÓNIMO
En:
http://www.gatv.ssr.upm.es/stelradio/STEL/adjuntos/material_consulta/2_a
puntes_interconexion_y_gestion_redes.pdf. Revisada el 29-07-14.
ESPINOZA CESPEDES, José Francisco. Aspectos Generales del Derecho
Informático.
http://www.asider.pe/detalle_articulo.php?id_articulo=95.
Revisada el 31 de julio de 2014.
LOPEZ JIMENEZ, David. Prácticas publicitarias operadas a través de la
telefonía móvil: la necesaria convergencia con Internet. En: IUS Revista del
Instituto de Ciencias Jurídicas de Puebla. México. Nro. 31. Enero Junio 2013.
p.123.
LAS HERRAMIENTAS TECNOLÓGICAS Y SU IMPACTO EN LOS DATOS DE SALUD
Esc. María Elisabeth Bouvier Villa
[email protected]
Integrante de la Comisión de Derecho Informático y
Tecnológico
de la Asociación de Escribanos del Uruguay
La aplicación de las nuevas herramientas tecnológicas, el uso de Internet
y el intercambio de información a nivel global han producido una gran
revolución en la sociedad enfrentándonos a nuevos paradigmas.
Los avances tecnológicos nos presentan dos realidades que queremos
destacar en este trabajo: una de ellas es el hecho de haber redimensionado
derechos fundamentales tales como el acceso a la información, la protección
de datos personales y el derecho a la salud; la otra es que los mismos son más
vulnerables y muchas veces podrían ser violados o estar amenazados.
En esta era de cambio el Derecho tiene ante sí el gran reto de
implementar soluciones jurídicas para las desafiantes realidades que el
hombre debe vivir. Es por ello que analizaremos la normativa uruguaya de
protección de datos personales, focalizando en los datos de salud. Haremos un
breve planteamiento del tratamiento de los datos genéticos, finalizando con
la normativa en Uruguay de Historia Clínica Electrónica y el desafío de su
implementación a nivel nacional.
La Historia Clínica Electrónica es el nuevo paradigma que se impone para
documentar todo lo referido a la salud de un paciente.
Palabras clave: protección de datos personales, datos de salud, datos
genéticos, historia clínica electrónica, Uruguay.
INTRODUCCION
La información y el manejo de datos es la base de toda nuestra actividad.
En el pasado tanto la información como los datos eran elementos fácilmente
controlables. Hoy con el advenimiento de la tecnología, de internet y el uso de
las redes, ambos elementos han adquirido dimensiones impensadas. Las
herramientas tecnológicas nos permiten recopilar una inmensa cantidad de
datos e información en tiempos muy breves, a la vez que los mismos son
distribuidos a una velocidad aún mayor. Este gran cambio que estamos
viviendo penetró en todas nuestras actividades humanas, desde las culturales
hasta las económicas, redimensionando conceptos tales como el de intimidad
y privacidad. El tráfico indiscriminado de datos e información permite trazar
el perfil de una persona con fines económicos o discriminatorios. Los datos
personales se convierten en un gran valor para las empresas, a veces el
principal activo de las mismas. Frente a esta nueva realidad, se hace necesario
que el derecho regule esta nueva situación jurídica, para que los derechos
humanos y la libertad del hombre puedan ser respetados. Comienza a
reconocerse una nueva generación de derechos humanos, entre los cuales
encontramos el derecho a la protección de datos personales. Esto permitirá
al ciudadano saber dónde están, cómo son tratados, a dónde se transfieren y
poder modificarlos o solicitar su eliminación de los bancos de datos donde no
le interese estén alojados. Las nuevas herramientas tecnológicas producen
grandes beneficios para la sociedad toda, traen más y mejor desarrollo pero a
la vez nos enfrentan a nuevos riesgos y a nuevos paradigmas que el Derecho
tendrá que regular.
1. PROTECCIÓN DE DATOS PERSONALES. DERECHO HUMANO
El advenimiento de la tecnología primero y el gran avance de Internet más
tarde, han hecho repensar el derecho a la intimidad, ya que los grandes bancos
de datos y las transferencias de ellos a cualquier lugar del planeta, hace que la
misma pueda ser eventualmente vulnerada. Siguiendo al Dr. Carlos Delpiazzo
decimos que “frente a esta nueva realidad, ha comenzado a afianzarse la
afirmación de derecho a la privacidad con un alcance más amplio que el de la
simple intimidad”97 Muchas veces se confunde intimidad con privacidad, y
debemos destacar, que la primera es la parte más íntima del ser humano, la
que sólo él conoce, donde se alojan sus creencias religiosas, sus valores, sus
sentimientos. La privacidad es una faceta más amplia de su personalidad,
donde se desarrollan sus preferencias, sus actividades, su vida social, aquellos
elementos que en forma aislada no corren peligro, pero hoy frente al
cruzamiento veloz de información permiten realizar un perfil de la persona
pudiendo vulnerar su dignidad y su libertad. Siguiendo esta evolución el
derecho a la protección de datos personales es reconocido como un derecho
humano. La regulación del derecho a la protección de datos personales
97
Dr. Delpiazzo Carlos. “Tratamiento seguro de Datos de Salud”
comprende tanto la protección del derecho a la intimidad como la protección
de todos aquellos datos que puedan hacer a una persona identificada o
identificable como lo establecen las legislaciones.
2. PROTECCIÓN DE DATOS PERSONALES. URUGUAY
2.1 Ley 18331 de 11 de agosto de 2008 y su decreto reglamentario No.
414/09
Uruguay sanciona la Ley de Protección de Datos Personales
No.18331 de 11 de agosto de 2008, publicada el 18 de agosto siguiente y su
decreto reglamentario No.414/09 de 31 de agosto de 2009. La misma sufrió
modificaciones posteriores por la ley 18719 de 27 de diciembre de 2010 y por
la ley 18996 de 7 de setiembre de 2011. Las mismas la adecuaron, a la luz de
las lecciones aprendidas en los años de aplicación, a los efectos de que la
protección del derecho en juego fuera más efectiva.
El derecho a la protección de datos personales es un derecho humano,
y así lo consagra nuestra legislación. Dentro de los datos personales regulados
por la ley, la misma distingue una categoría que son los datos sensibles,
definidos por el artículo 4 inciso E :” datos personales que revelan origen racial
y étnico, preferencias políticas, convicciones religiosas o morales, afiliación
sindical e informaciones referentes a la salud o a la vida sexual”. ¿Por qué la
ley establece esta categorización? Pues porque los mismos se refieren a la
esfera íntima de la persona, por lo que deben tratarse con medidas más
estrictas de seguridad técnica y jurídica a los efectos de garantizar
su
confidencialidad e integridad. En el caso que nos ocupa, los datos de salud,
integran esta categoría de datos sensibles por lo que deberán ser tratados
tanto en su recolección como en su tratamiento respetando la dignidad y
libertad de la persona. Si bien en la ley no tenemos una definición del dato de
salud, sí la encontramos en el decreto 414/009, diciendo:” dato personal
relacionado con la salud: las informaciones concernientes a la salud pasada,
presente y futura, física o mental de una persona. Entre otros se consideran
datos relacionados con la salud de las personas los referidos a su porcentaje de
discapacidad o a su información genética” (artículo 4 inc. E). El dato de salud
es un dato personal de naturaleza sensible por lo cual serán de aplicación los
principios establecidos en la norma, poniendo especial énfasis en el principio
de finalidad, previo consentimiento informado, seguridad y responsabilidad.
En el capítulo IV se establece una regulación especial para lo que la ley llama
datos especialmente protegidos, incluyendo en esta categoría a los datos
sensibles y los relativos a la salud entre otros.
El derecho a la protección de datos relativos a la salud es reconocido en
nuestro derecho, nos preguntamos
¿cómo efectiviza ese derecho el
ciudadano? La respuesta la encontramos en la propia normativa, por un lado
al titular del dato se le reconocen los derechos de información al momento de
la recolección de los mismos, de acceso, de rectificación, actualización,
inclusión o supresión y derechos referentes a la comunicación de los datos
entre otros. Por otro lado se establecen dos procedimientos frente a la
violación del derecho, uno en la vía administrativa ante la Unidad Reguladora
y de Control de Datos Personales, que es el órgano de control del sistema, y
otro en la vía judicial, la Acción de Protección de Datos Personales, Habeas
Data, siendo la misma de carácter general.
2.2 Datos de salud como datos personales de naturaleza sensible.
Del análisis de la legislación vigente en Uruguay en materia de Datos
personales, concluimos que el dato de salud es un dato personal de naturaleza
sensible. Por la característica de estos datos se establece un régimen especial
tanto al momento de su recolecta como al de su tratamiento. Se establece en
forma expresa que: “ninguna persona puede ser obligada a proporcionar datos
sensibles” y se exige el consentimiento expreso y por escrito para su
tratamiento. Estas exigencias se ven reforzadas en los artículos 5 y 6 del
decreto 414/09 al requerir al momento de la recolecta que el titular del dato
deberá ser informado en forma precisa de la finalidad a la que se destinará el
dato, estableciendo que de no mediar dicha información el “consentimiento
será nulo”. Se establecen excepciones a lo referido, así por ejemplo en el caso
de comunicación de los datos relativos a la salud no se requerirá el previo
consentimiento, siempre que “sea necesaria su comunicación por razones
sanitarias, de emergencia… preservando la identidad de los titulares de los
datos mediante mecanismos de disociación adecuados cuando ello sea
pertinente” (artículo17 inciso C). Siguiendo con la ley, al hablar de los datos de
salud se determina quienes podrán recolectar y tratar los mismos,
estableciendo que serán las instituciones de salud así como los profesionales
vinculados a la salud los encargados de ello (artículo 19). La ley protege al
titular de los datos de salud a los efectos de que su recolecta o tratamiento no
pueda vulnerar la dignidad del ciudadano. Se busca siempre que el titular no
sea identificado a través de sus datos de salud, protegiéndolo de posibles
discriminaciones. Imaginando el universo de los datos de salud podemos
apreciar varios escenarios. Los mismos son requeridos por los empleadores,
por las compañías de seguros, por los laboratorios para sus campañas de
publicidad. El mal uso de los mismos por los diferentes actores pueden llevar
a la desigualdad, la discriminación y hasta la vulneración de la libertad de la
persona.
La legislación analizada es una respuesta del derecho o parte de una respuesta
a este nuevo paradigma al que nos enfrenta el empleo de las nuevas
herramientas tecnológicas. Haciendo foco en los datos personales relativos a
la salud se establecen normas que siguiendo parámetros éticos buscan
garantizar el respeto a la intimidad de los ciudadanos.
2.3 Datos genéticos
El empleo de las nuevas herramientas tecnológicas ha impactado en todas las
áreas de la vida del hombre. Es precisamente en la investigación científica
relacionada con la genética donde han surgido más preocupaciones. Si bien los
descubrimientos genéticos, la finalización del mapa del genoma humano,
abren enormes perspectivas para la calidad de vida del ser humano también
nos vemos enfrentados a grandes riesgos que debemos evaluar. El hombre ha
llegado a la parte más íntima de sí, esto manipulado por la tecnología puede
llevar a vulnerar la dignidad del hombre y a su posible discriminación.
El dato genético no está definido en nuestra legislación, sólo el decreto
reglamentario 414/09 al definir el dato de salud establece que entre otros,
“se consideran datos relacionados con la salud de las personas los referidos…a
su información genética”.
A nivel internacional la Recomendación No.R(97) 5, de 13 de febrero de 1997
del Comité de Ministros del Consejo de Europa a los Estados miembros sobre
Protección de Datos Médicos, define al dato genético diciendo: “ la expresión
“datos genéticos” se refiere a todos los datos, cualquiera que sea su clase,
relativos a las características hereditarias de un individuo o al patrón
hereditario de tales características dentro de un grupo de individuos
emparentados. También se refiere a todos los datos sobre cualquier
información genética que el individuo porte (genes) y a los datos de la línea
genética relativos a cualquier aspecto de la salud o la enfermedad, ya se
presente con características identificables o no. La línea genética es la
constituida por similaridades genéticas resultantes de la procreación y
compartida por dos o más individuos”.98
También la Declaración Internacional sobre los Datos Genéticos Humanos de
la Unesco, ( DIDGH) nos entrega una definición: “A los efectos de la presente
Declaración, los términos utilizados tienen el siguiente significado: i) Datos
genéticos humanos: información sobre las características hereditarias de las
personas, obtenida por análisis de ácidos nucleicos u otros análisis
científicos…”
Partiendo de la base que cada persona tiene una configuración genética
característica y que sus datos genéticos pueden tener incidencia no sólo sobre
ella, sino también sobre su propia familia y hasta sobre personas que no
conoce, es que los mismos deben ser objeto de protección especial. No
podemos perder de vista que la investigación está interesada en continuar con
98
http://www.bioeticaweb.com/recomendaciasn-nao-r-97-5-de-13-de-febrero-de-1997-del-
comitac-de-ministros-del-consejo-de-europa-a-los-estados-miembros-sobre-protecciasnde-datos-macdicos/
el estudio de estos datos, por lo cual habrá que establecer un equilibrio entre
ambos aspectos. Equilibrio que se podría lograr exigiendo herramientas
tecnológicas adicionales que otorguen mayor seguridad y protección a los
datos genéticos con estándares de alto nivel. Frente a esta nueva realidad,
nuestra legislación define al dato personal como “información de cualquier
tipo referida a personas físicas o jurídicas determinadas o determinables”, por
lo tanto el dato genético sería un dato personal no cabe duda. ¿Pero entraría
dentro de la normativa general de datos personales o dentro de los llamados
datos sensibles? Nuestra ley establece que los datos de salud son datos
sensibles, y el decreto reglamentario establece que la información genética es
dato de salud, así que podemos afirmar que dentro de nuestra legislación el
dato genético es un dato de salud, con la característica de sensible por lo cual
requerirá una protección especial. Será para ellos de aplicación todo lo visto
anteriormente en cuanto a su recolección y tratamiento.
Los datos genéticos no sólo tienen importancia en el área de la medicina, sino
que también son de mucha utilidad a los efectos de identificación de personas
desaparecidas o sospechosos de actos delictivos, de allí su utilización en
diferentes procesos judiciales. Siguiendo esta línea, Uruguay promulgó la ley
No. 18849 de Registro Nacional de Huellas Genéticas (9 de diciembre de 2011).
Expresamente se determina que el objeto del referido registro será la
identificación de personas fallecidas, desaparecidas o responsables en la
investigación criminal. La información recolectada en la forma establecida por
la ley,
será secreta y confidencial. Siguiendo las recomendaciones
internacionales la ley establece que “Bajo ningún supuesto dicha información
podrá ser utilizada como base o fuente de discriminación, estigmatización,
vulneración de la dignidad, intimidad, privacidad u honra de persona alguna.”
(artículo 4 in fine)
En el escenario de los datos genéticos no podemos dejar de tener en cuenta la
importancia económica y comercial que ellos están tomando frente a los
rápidos avances de la tecnología y el interés de tantos actores en el tema. El
derecho se enfrenta a un gran desafío ya que el uso indiscriminado de las
herramientas tecnológicas actuales y futuras podrían vulnerar la intimidad del
hombre como jamás se ha pensado. Es por ello que debemos repensar qué
sociedad queremos, para poder saber qué tipo de derecho vamos a
instrumentar. Los datos genéticos por sus características deberían ser objeto
de una normativa especial, teniendo presente que el mal uso de los mismos
podría llevar a la discriminación o estigmatización de la persona, grupo o
familia lo cual estaría violando derechos humanos como la libertad o la
dignidad.
3. HISTORIA CLÍNICA ELECTRÓNICA
3.1
Concepto
La historia clínica electrónica es una herramienta de vital importancia para los
profesionales de la salud y para los ciudadanos. Ella nos enfrenta a un nuevo
paradigma en la forma de documentar toda la información referida a un
paciente que servirá de base para determinar el estado de salud o la
enfermedad del mismo. Alguna parte de la doctrina define la historia clínica
como aquella que “está constituida por documentos, tanto escritos como
gráficos, que hacen referencia a los episodios de salud y enfermedad de esa
persona y a la actividad sanitaria que se genera con motivo de esos episodios”
(Carnicero 2003) .99 Pero frente al nuevo paradigma, ¿qué se entiende por
historia clínica electrónica? En los años noventa la misma se definía
como:”…aquella que reside en un sistema electrónico específicamente
diseñado para recolectar, almacenar, manipular y dar soporte a los usuarios
en cuanto a proveer accesibilidad a datos seguros y completos, alertas,
recordatarios, sistemas clínicos de soporte para la toma de decisiones, brindan
información clínica importante para el cuidado de los pacientes…”100
3.2
Legislación uruguaya en la materia
En Uruguay la ley 18335 de 15 de agosto 2008 establece “Los derechos y
obligaciones de los pacientes y usuarios de la salud”. La existencia de la historia
clínica es un derecho del paciente. 101 La ley establece que la misma podrá ser
escrita o electrónica dándole validez jurídica a la Historia Clínica Electrónica.
102
Frente a la historia clínica papel o electrónica se nos plantea la duda de
saber quién es el propietario de la misma, respuesta que encontramos en la
ley al establecer que es propiedad del paciente. Ella es reservada y sólo podrán
acceder a la misma los responsables de la atención médica y el personal
administrativo vinculado con éstos, el paciente o en su caso la familia y el
Ministerio de Salud Pública cuando lo considere pertinente. El Decreto 274/10,
de 8 de setiembre 2010 reglamenta la ley 18335. En el mismo se amplía el
espectro de personas que pueden tener acceso a la Historia Clínica. En este
99
González Bernaldo de Quirós, Fernán y Luna ,Daniel. “La historia clínica electrónica” en Manual de Salud
Electrónica para directivos de servicios y sistemas de salud” Publicación de la Naciones Unidas. Cepal. Enero 2012.
100
Idem 4
101
“ se lleve una historia clínica completa, escrita o electrónica, donde figure la evolución de su estado de
salud desde el nacimiento hasta la muerte.” ( artículo 18 inciso.D).Ley 18335.
102
“ Artículo 19.- Toda historia clínica, debidamente autenticada, en medio electrónico constituye
documentación auténtica y, como tal, será válida y admisible como medio probatorio.” Ley 18335.
supuesto permite al paciente autorizar a una persona para tener acceso, y
establece dos situaciones más: “c) El representante legal del paciente
declarado judicialmente incapaz. d) En los casos de incapacidad o de
manifiesta imposibilidad del paciente, su cónyuge, concubino o el pariente más
próximo.”
4. Desafío de implementación de HCE en Uruguay
En Uruguay por decreto del Poder Ejecutivo de 23 de noviembre de 2011 se
aprueba la Agenda Digital Uruguay 2011-2015 (ADU 11-15). En la Introducción
de la misma se establece que en esta etapa se pondrá “especial énfasis en la
generación de beneficios directos y concretos para la ciudadanía”. Partiendo
de esa premisa, uno de sus objetivos es “Redes avanzadas para la salud e
historia clínica electrónica integrada a nivel nacional”. Dentro de las metas que
se plantea este objetivo está la de “crear y administrar a partir de 2012 una
plataforma de historias clínicas electrónicas, que asegure la disponibilidad de
la información con los necesarios mecanismos de seguridad y protección de la
privacidad” y crear en el período un Banco Nacional de Historias Clínicas
Electrónicas. Dentro de este marco surge el programa salud.uy, el que está
integrado por un Comité de Dirección y un Consejo Asesor. El primero está
integrado por Presidencia, Ministerio de Economía y Finanzas (MEF),
Ministerio de Salud Pública (MSP) y Agesic. El Consejo Asesor está integrado
por los diferentes actores públicos y privados que brindan servicios de salud,
por la academia y por ANTEL. Lo que busca el programa es apoyar al Sistema
Integrado de Salud mediante el empleo de las nuevas herramientas
tecnológicas, así como promover una red integrada de los servicios de salud.
Una de las herramientas a utilizar es la historia clínica electrónica nacional, la
que posibilitará que para un usuario único los datos de salud estén accesibles
en el lugar y momento que sean necesarios con independencia de dónde y
cuándo se generaron. Así mismo se implementarán sistemas informáticos para
lograr una red integrada de servicios de salud. El fin último es la
interoperablidad de los datos de salud para lo cual habrá que tener en cuenta
principios de seguridad y confidencialidad, este último implícito en los datos
que estamos tratando, datos personales de carácter sensible, tal como lo
establece la ley 18331. Todo esto implica un gran cambio cultural, no solo en
los usuarios sino en los profesionales de la salud. Se requiere de capacitación
profesional y académica, y que toda la información esté centrada en el
paciente, quien debe involucrarse también para que el programa se pueda
implementar. Lo que se busca es un sistema de salud más eficiente y de mayor
calidad, siendo el ciudadano el foco principal del programa.
Este nuevo paradigma ¿cómo impactará en los diferentes actores, es decir en
el paciente, en el médico, en los prestadores de servicios de salud? En el
paciente el impacto lo vemos en el acceso a sus datos de salud. Para ello los
datos de salud deberán tener un acceso seguro y confiable, deberán ser
veraces. Desde el punto de vista del médico, la herramienta será el contacto
entre él y el paciente, y ese contacto es el que se ve impactado por esta
herramienta tecnológica. ¿Por qué? , pues porque ella le permitirá al
profesional tener con un clic la totalidad de la historia clínica del paciente,
pudiendo dar mejor diagnóstico así como hacer una trazabilidad de la salud o
enfermedad del mismo. Si miramos a los prestadores de servicios de salud,
vemos que el impacto se produce en la gestión de los servicios que prestan, lo
que le exigirá una mayor eficiencia en los mismos, así como un mayor control.
Frente a esta nueva realidad, ¿es suficiente la legislación existente en la
materia o es necesario repensar los problemas que se presentan y buscar
nuevas soluciones legislativas? Para contestar esta pregunta trataremos de
visualizar los diferentes factores que entran en juego al momento de legislar
la Historia Clínica Electrónica. Por un lado podemos encontrar en ella
información del paciente hasta ahora desconocida, como son los datos
genéticos y los estudios para llegar a ellos. Así mismo, para poder generar
confianza en los diferentes actores, habrá que abordar el acceso a la misma,
teniendo en cuenta quiénes, cuándo, y en qué medida se tendrá derecho al
acceso, así como establecer las responsabilidades en cada caso. Dijimos que el
fin último del proyecto, es la interoperabilidad de los datos de salud, lo cual se
deberá lograr protegiendo la confidencialidad e integridad de los mismos. Es
por ello que nuestra respuesta es que
la legislación vigente no es lo
suficientemente apropiada. Para nuevas realidades y conflictos es necesario
crear nuevas soluciones legislativas. Las mismas deberán contemplar el nuevo
paradigma pero con una mirada al futuro, ya que el avance de la tecnología es
demasiado rápido y el derecho podría rápidamente quedar perimido. La
sociedad toda exige soluciones justas ya que los datos de salud afectan al ser
humano en su parte más íntima. Sólo una legislación robusta podrá permitir
que los derechos humanos sean respetados. Coincidimos con Pérez Luño
cuando dice “Las NT constituyen un inmenso cauce de desarrollo de la
condición humana en todas sus esferas. Pero supone también la aparición de
riesgos y amenazas para la libertad más implacables que los sufridos e
imaginados en cualquier período anterior de la historia”.103
CONCLUSIONES
La Historia Clínica Electrónica como herramienta en los sistemas de
salud posibilita una atención más eficiente y de calidad. Para dar el salto
a su implementación el centro deberá ser la persona valorando su
dignidad y libertad.
103
Pérez Luño, Antonio Enrique: ¿Ciberciudadaní@ o ciudadadní[email protected]?, ed. Gedisa, Barcelona, España.1ª. ed., enero
2004.
BIBLIOGRAFIA
1. Cambrón,Ascensión. “Los Principios de Protección de Datos Genéticos
y
la
Declaración
de
la
Unesco”
http://ruc.udc.es/dspace/bitstream/2183/2338/1/AD-8-12.pdf
visitado 18.12.2013
2. Dr.
Delpiazzo,
Carlos.
“La
Historia
Clínica
Electrónica”..-
http://www.elderechodigital.com.uy/smu/doctri/SDMD0001.html
visitado 3.2.2014
3. Dr. Delpiazzo, Carlos. “Tratamiento Seguro de los Datos de Salud”.
4. Dra. Garriga Domínguez, Ana. “ Reflexiones sobre la protección de
los datos genéticos: apuntes sobre la discriminación por razones
genéticas
en
el
derecho
europeo”.
http://www.elderechodigital.com.uy/smu/doctri/SDMD0031.html
Visitado 18.1.2014
5. Gómez Sánchez, Yolanda. “Los Datos genéticos en el Tratado de
Prüm”
http://www.ugr.es/~redce/REDCE7/articulos/07yolandagomezsanc
hez.htmvisitado 8.2.2014
6. González Bernaldo de Quirós, Fernán y Luna ,Daniel. “La historia
clínica electrónica” en Manual de Salud Electrónica para directivos
de servicios y sistemas de salud. Publicación de la Naciones Unidas.
Cepal. Enero 2012.
7 .Prof. Pérez Serrano, Ma. Mercedes. “ La Protección de los datos
sanitarios.
La
Historia
Clínica”
http://www.uclm.es/actividades0506/seminarios/proteccion_datos/p
df/datos_sanitarios.pdf
8. Pérez
Luño,
visitado 18.12.2013
Antonio
Enrique:
¿Ciberciudadaní@
o
ciudadadní[email protected]?, ed. Gedisa, Barcelona, España.1ª. ed., enero
2004.
9. Russo, Aldo “La nueva era de los registros médicos: Historia Clínica
Electrónica”.
http://www.histomed.net/node/17
visitado
14.2.2014
10. Sánchez Bravo, Alvaro. “La protección de los datos genéticos”.
http://www.uhu.es/derechoyconocimiento/DyC03/DYC003_A09.p
df
Visitado 3.3.2014
IDENTIDAD VIRTUAL: IMPLICANCIAS EN EL DERECHO A LA INTIMIDAD
Dra. Ana Karin Chávez Valdivia∗
Tal vez la intimidad puede precisarse más que como un derecho como una
libertad proyectada en la facultad de una persona para disponer de un ámbito
de inmunidad para sus acciones privadas que permita sustraerlas de la
injerencia del Estado y de terceros. De ser así, en concordancia con la identidad
que es un derecho personalísimo y permite un reconocimiento en
singularidad, la persona podrá construir una identidad que le es propia y solo
a ella le concierne.
El desarrollo tecnológico ha convertido esta identidad en un concepto
dinámico, perdiendo en cierta forma su tradicional carácter único e inequívoco
y generando cuestionamientos en torno a la clásica conceptualización de la
intimidad.
Por otro lado, el anonimato en Internet en nuestro país permite desvincular,
desdoblar o tergiversar la identidad eliminando la responsabilidad y facilitando
el actuar en un universo de identidades en el cual, mientras algunos buscan
Doctora en Derecho y Magister en Derecho de la Empresa por la Universidad
Católica de Santa María. Especialista en Derecho Informático y Gobierno
Electrónico por la Universidad Inca Garcilazo de la Vega. Abogada. Conciliadora
Extrajudicial. Docente asociada a la Carrera de Derecho de la Universidad La
Salle de Arequipa-Perú.
∗
[email protected]
protegerlas otros están interesados en descubrirlas para sus propios intereses
y existe además un tercer grupo que las crea y re-crea a satisfacción personal.
INTRODUCCION
Son las 10:00 horas de un día cualquiera, en cualquier lugar del mundo, desde
la comodidad de casa nos conectamos a una red social de Internet, vemos que
“X” ha viajado fuera del país por vacaciones y que “Z” se ha casado, nos
enteramos que “Y” va a organizar una fiesta y estamos invitados y que hemos
sido etiquetados en una foto de cuando terminamos la universidad. Que “B”
ha terminado con su novio y “A” perdió su trabajo. Tenemos 1001 amigos que
se enteran de lo que nos pasa, lo que hacemos, pensamos, de cómo nos
sentimos, etc. En conclusión, podemos tener una vida social más activa y
atractiva a través de la red que en la propia realidad, sin embargo no estamos
siendo conscientes que esta “interactividad social” va más allá de sólo
premisas y que individualmente el brindar tanta información personal podría
suponer algunos riesgos.
Hace años demandábamos la protección de nuestros datos personales sin
embargo y contradictoriamente ahora los colgamos gratuitamente en la red a
disposición de cualquiera, arriesgándonos a que parte de nuestra intimidad
quede a merced de los demás. Precisamente las críticas más frecuentes hacia
las redes sociales en Internet se centran -al margen de su necesidad/utilidaden su mejorable funcionalidad, masiva proliferación, en la forma como estos
servicios recopilan información personal y como la utilizan, pero sobre todo en
que pueden convertirse en una amenaza a la intimidad debido a que nos
exigen un gran número de datos que quedan en manos extrañas y en muchos
casos se debe aceptar algunas condiciones que podrían dejarnos totalmente
expuestos e indefensos.
Son los usuarios de la red, en general, y de las herramientas de software, en
particular, quienes deberían saber administrar muy bien la información que
revelan sobre sí mismos (imágenes, datos de contactos, cuentas de correo,
preferencias personales, orientación sexual, ideología, etc.) pero al no
configurarse este supuesto y hacer pública la vida privada y subsecuente
intimidad, pasamos del espacio personal al espacio social y desde allí al
mercado. Hemos ido de la red de redes en la que participar requería de ciertos
conocimientos técnicos a entornos web en los que cualquiera con un mínimo
de aprendizaje puede publicar cualquier información.
Las posibilidades que ofrece la llamada web 2.0 son infinitas. Podemos afirmar
que ha nacido una sociedad que se desarrolla íntegramente en el mundo
virtual. En ella los individuos interactúan siguiendo en muchas ocasiones
normas y pautas de conducta perfectamente homologables con las que se
producen en el mundo físico; sin embargo en muchas otras se perfilan nuevos
escenarios sociales.
El nuevo entorno tecnológico obliga a reflexionar profundamente sobre hasta
qué punto el derecho que regula nuestras sociedades es eficaz en el universo
de las redes sociales y en este contexto constituye una cuestión fundamental
establecer las reglas que deben regir respecto al levantamiento y uso de la
información personal. Nos preguntamos si realmente los individuos conocen
el valor de la información que proporcionan cuando se registran a un servicio,
cuando navegan por internet o cuando comparten opiniones, sentimientos o
fotografías en una red social. Por otro lado se debe tener presente que un
significativo número de conductas patológicas que se dan en internet tienen
como origen o finalidad el tratamiento de los datos personales.
Recordemos que existe una frase muy ilustrativa que dice: Nadie es tan lindo
como la foto de su perfil, ni tal inteligente como sus tweets, ni tan feo como
en la foto del DNI.
1.- LAS REDES SOCIALES ON LINE
Las primeras redes sociales hicieron su aparición a finales de los años 90,
fueron consolidándose entre 1997 y 2001 (incorporando una serie de
herramientas de uso comunitario junto a los listados de los miembros del
grupo) y se consagraron a partir del año 2002. Friendster hizo su aparición en
el 2002 y Myspace en el 2003. Facebook inicia su actividad en el 2004
originalmente como una red social sólo para estudiantes de Harvard104.
Poco a poco Facebook empezó a abrirse a otras universidades y a principios de
Septiembre del 2005 se expandió para incluir profesionales dentro de redes
corporativas hasta que finalmente a partir del 2006 se abrió a todo el
mundo105. Las redes sociales se expanden y alcanzan popularidad de forma no
homogénea, creciendo en determinadas áreas y países y en otros no.
Estas redes se pueden definir como aquellos servicios de la sociedad de la
información106 que ofrecen a los usuarios una plataforma de comunicación a
través de internet para que estos generen un perfil con sus datos personales
facilitando la creación de redes en base a criterios comunes y permitiendo la
conexión con otros usuarios y su interacción. Las vinculaciones se miden en
grados donde el primer grado serían los contactos directos, el segundo los
contactos de los contactos y así sucesivamente de forma que a mayor número
de usuarios mayor número de vinculaciones y mayor es la red. Esta criterio
puede fundamentarse en la teoría de los 6 grados de separación, es decir, en
104
Para formar parte de dicha red era preciso disponer de una dirección de correo electrónico hardvard.edu. Esta red social
fue diseñada por Mark Zuckerberg un estudiante de Harvard para hacer las veces de directorio telefónico de su facultad.
Nació ligado a la metáfora: los “facebook” (libros de caras) que eran publicaciones que se repartían en los colleges americanos,
una especie de anuario donde se recogían las fotos y nombres de los alumnos de una promoción.
105
Véase: boyd,d.m.,& Ellison N.B. (2007). “Social Network Sites:Definition, history, and scholarchip”. Journal of computermediated Communication, 13 (1), article 11.
106
Artículo 1, apdo 2. De la Directiva 98/34/CE del Parlamento Europeo y del Consejo por la que se establece un procedimiento
de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad
de la información, modificado por la Directiva 98/48/CE.
la idea de que el número de conocidos crece exponencialmente con el número
de enlaces en la cadena pudiendo cualquier individuo estar conectado con
cualquier persona a través de una cadena de no más de 6 grados107
Las redes sociales on line son un ejemplo más de la web 2.0 o web colaborativa,
en la que internet deja de ser un foco de información para convertirse en un
espacio virtual retroalimentado en el que los internautas consumen pero
también aportan información. El usuario por tanto asume un doble papel el de
consumidor y el de creador, el de interesado y responsable, ya no es más un
sujeto pasivo, muy por el contrario es quien difunde información en los blogs,
opina en los foros, cuelga con o sin permiso fotografías o grabaciones de
videos en los que identifica amigos o conocidos sin percatarse que podrían
afectar los derechos de terceros que algunas veces ni siquiera son usuarios de
una red social. De esta manera son los propios internautas los que crean una
gran base de datos cualitativos y cuantitativos, propios y ajenos con
información relativa a la edad, sexo, localización, intereses u otros. A esto se
suma el hecho de que el acceso a las redes sociales se amplía más con la
aparición de nuevos medios de acceso a internet como los smartphones que
además de permitir la conexión en cualquier momento, lo hacen en cualquier
lugar, lo que ha provocado la proliferación de redes que facilitan la
107
Teoría propuesta en 1929 por el escrito húngaron Frigyes Karinthy y recogida también en el libro “Six degree: The science
of a connected age” del sociólogo Duncan Watts.
localización. Estos servicios que son la evolución natural de las redes sociales,
apuntan además riesgos adicionales para la intimidad108.
En esta “sociedad en red” existen servicios de redes sociales de todos los tipos
y son utilizados por diversas generaciones para diferentes finalidades. Estas
redes se utilizan como una forma de comunicación, expresión o “branding
personal”109 entre los usuarios y como una herramienta de marketing por
parte de las empresas que cada vez más se acercan a potenciales clientes por
estos medios. Aunque vivimos en un proceso de diversificación constante,
podemos hacer una clasificación en al menos tres grandes grupos que cuentan
con características comunes y elementos particulares que las diferencian:
1.1.- Redes sociales de comunicación
Entre otros facebook y myspace. En este tipo de plataformas los
usuarios pueden registrarse en el servicio libremente mediante
108
Debe señalarse que los intentos por definir a la palabra intimidad han sido innumerables. Ello demuestra de alguna manera
lo dificultoso que resulta dar un concepto acabado de ese término. Quizás una de las razones de tal dificultad radique en la
diferente terminología utilizada en el país en que se trate. Así, los italianos hablan de la "riservatezza" (reserva), los franceses
prefieren decir "vie privée" (vida privada) y los países anglosajones utilizan la palabra "privacy" (privacidad). A pesar de las
distintas maneras de hacer referencia a un mismo tema, debe advertirse que todas estas denominaciones encierran un mismo
sentido negativo, de exclusión, de esfera propia donde los demás no tienen cabida. Podría decirse que en principio no resulta
extraño emplear los términos intimidad y privacidad como sinónimos. Hay sin embargo, quienes sostienen que ambas palabras
denotan conceptos distintos. Carlos Nino en su obra "Fundamentos de derecho constitucional. Análisis filosófico, jurídico y
politológico de la práctica constitucional" afirma que existe una confusión conceptual entre el bien de la intimidad y aquél que
se refiere a la privacidad. Mientras la privacidad se conceptúa como el derecho a "ser dejado solo", como sostenía el juez
Cooley en su obra de 1873 "The elements of torts", o el derecho de "ejercer autonomía sobre cuestiones personales
significativas" -como argüía el juez Brennan de la Corte Suprema de los Estados Unidos de América-. El derecho a la intimidad,
es definido como aquel en el cual los demás no tengan información no documentada sobre hechos, respecto de una persona
que ésta no quiera que sean ampliamente conocidos. La exclusión de la información documentada se refiere a aquella que es
accesible al público en general, aunque haya pasado inadvertida, dado que está registrada en publicaciones, ficheros, etc., a
los que cualquiera puede acceder (no, por cierto, cuando la registración se haya hecho por un propósito muy especial y a la
que haya acceso restringido)". Así, en los términos utilizados por Nino, es dable señalar que la idea de privacidad implica la
posibilidad irrestricta de realizar acciones "privadas, o sea acciones que no dañan a terceros y que, por lo tanto, no son objeto
de calificación por parte de una moral pública como la que el derecho debe imponer; ellas son acciones que, en todo caso,
infringen una moral personal o "privada" que evalúa la calidad del carácter o de la vida del agente, y son, por tanto, acciones
privadas por más que se realicen a la luz del día y con amplio conocimiento público (...)". En cuanto al concepto de intimidad,
lo define el autor citado como la "esfera de la persona que está exenta del conocimiento generalizado por parte de los demás".
109
Puede definirse “personal branding” o “marca personal” como la construcción de una imagen de la persona clara,
identificable y diferenciada de los demás.
invitación y encontrar conocidos e invitarles a formar parte de su
comunidad. Además estas redes proponen la vinculación con contactos
de segundo o tercer grado o gente que pertenece a los mismos grupos
que el usuario (colegio, universidad). En estas redes sociales los usuarios
pueden publicar sus fotografías, videos, reflexiones, aflicciones y
preferencias de todo tipo. Desde sus películas favoritas, hasta la religión
que profesan o la orientación política o sexual.
1.2.- Redes sociales especializadas
Este tipo de redes sociales se centran en un eje temático con la finalidad
de unir a colectivos con los mismos intereses (fotografía, viajes). Algunos
ejemplos podemos verlos en las redes como flickr.com para compartir
fotos,
virtualtourist.com
para
viajeros,
redes
sociales
de
microblogging110 como twitteer.com; entre otros.
1.3.- Redes sociales profesionales
Pueden clasificarse como una categoría propia (linkedIn.com) y
permiten a los individuos de todo el mundo buscar nuevas
oportunidades de empleo, hacer “networking” con compañeros de
trabajo, con gente con la que han intercambiado una tarjeta, con
profesionales del sector mediante contactos comunes de confianza.
110
El microblogging permite a los usuarios enviar y publicar mensajes breves generalmente de solo texto mediante sitios web,
a través de SMS, mensajería instantánea o aplicación para móviles.
2.- FUNCIONAMIENTO DE LAS PLATAFORMAS DE REDES
En términos generales y sin atender a un modelo concreto de red social, el
funcionamiento se estructura en tres fases: registro, utilización y baja en la red
social. Debe tenerse presente que participar en una red social entraña una
serie de riesgos que pueden surgir en diferentes momentos.
2.1.- Momento de registro. Pude hacerse motu propio o por invitación y
suelen solicitarse los datos básicos (nombre y apellidos, dirección de correo
electrónico, sexo y edad). Por la finalidad de esto servicios, es habitual que
las redes sociales sugieran al usuario importar los contactos de su cuenta
de correo, para lo que éste tiene que dar el consentimiento mediante la
introducción de su contraseña, permitiendo invitar a aquellos que todavía
no forman parte de la red. Es en este momento cuando al usuario suele
guiársele para la configuración de sus opciones de privacidad. Los riesgos
específicos relativos a esta fase son los relacionados con la falta de una
correcta información, la seguridad de los datos y la configuración de sus
opciones de privacidad111.
111
Los proveedores de estas redes tienen que adoptar las medidas técnicas y organizativas necesarias para mantener la
seguridad e impedir accesos no autorizados, implantando por defecto opciones de privacidad protectoras ya que la gran
mayoría de los usuarios no realizarían cambios en el futuro en esa configuración.
2.2.- Utilización se la red social. El usuario desarrolla su actividad en la red
actualizando su estado e interactuando con los otros usuarios. Al utilizarla,
los usuarios van creando un perfil con datos relativos a intereses, estudios,
localización, hasta la ideología. Además, con la utilización y publicación de
información, pueden difundirse en el perfil datos de otras personas. Las
principales plataformas de redes sociales están configuradas en tres niveles
de privacidad (amigos-primer grado de relación-, amigos de amigos –
segundo grado- yoda la red- con todos los miembros de la red
independientemente de su relación). De esta manera, según confiere el
usuario su privacidad, la información podrá tener distinto alcance.
Entre otros servicios que puede ofrecer la red social se encuentran el servicio
de chat, buzón para mensajes de texto, espacio para publicar fotos, grupos de
noticias, foros de discusión, blogs, eventos, geolocalización y buscador
mediante el que se puede localizar a otros miembros de la misma red,
empleando diferentes criterios de búsqueda. Todos ellos se sirven de cookies
para personalizar el sistema y también la publicidad. En esta fase las
preocupaciones se centran en el desconocimiento del alcance de la
información publicada por el usuario, su posible utilización para otras
finalidades, el tratamiento de datos de terceros o la suplantación de identidad.
2.3.- La baja de estos servicios o cancelación de la cuenta. Conlleva
entre sus riesgos específicos la dificultad para eliminar de manera real y
efectiva la cuenta de usuario, puede provocar que la información
continúe disponible sin su conocimiento112.
Si bien las amenazas referidas son importantes existen autores que ponen de
relieve otros peligros que quizá siendo menos evidentes tienen mayor
trascendencia. Este es el caso de Dumortier que considera que el mayor riesgo
de las redes sociales es la descontextualización de la información, de los datos
que aparecen publicados113. Este autor sigue la terminología acuñada por
Nissenbaum quien considera que se produce descontextualización de la
información o de los comportamientos cuando éstos son utilizados en un
contexto distinto de aquel para el cual se emitieron114.
En el caso de Facebook probablemente se acentúen estos riesgos debido a
algunas características inherentes a dicha red social tales como la dinámica de
simplificación que entraña, la diseminación de una gran cantidad de
información y finalmente el efecto globalizador que implica que sin estar en
Facebook, el sujeto puede ser objeto de Facebook, de tal forma que la persona
se convierte antes en objeto de una red (se cuelga una foto identificándola con
el nombre) que en sujeto de una red. Además se da la circunstancia de que
El GT29 (Grupo de Trabajo que reúne a las autoridades de protección de datos de los 27 estados miembros donde el
Supervisor Europeo de Protección de Datos y la Comisión -que actúa como secretario creado por el artículo 29 de la directiva
95/46/CE- cuentan con carácter consultivo e independiente para la protección de datos y el derecho a la intimidad) recomienda
que si un usuario no actualiza el servicio durante un periodo definido de tiempo, el perfil deberá desactivarse . Transcurrido
además otro periodo de tiempo el perfil deberá ser borrado.
113
Véase Http://idp.uoc.edu/ojs/index.php/idp/article/view/n9_dumortier/n9_dumortier_esp
114
Véase Http://www.nyu.edu/projects/nissenbaum/papers/washingtonlawreview.pdf
112
para poder ejercer los derechos de rectificación o cancelación es preciso estar
registrado en dicha red.
3.- LA IDENTIDAD EN LA RED
Bajo la expresión “identidad digital” o “identidad virtual” se han venido
agrupando de forma reciente las técnicas que permiten a las personas y a las
organizaciones identificarse y actuar en las redes, mediante mecanismos de
autenticación de mayor o menor robustez.
En una concepción muy simple se entendería esta identidad como el conjunto
de datos (a menudo denominados “atributos”) que nos diferencian
suficientemente del resto de personas o entidades, en un ámbito concreto,
como por ejemplo el nombre y apellido, el nombre de los padres, los códigos
de identificación que se nos asignan y otros, en el caso de las máquinas la
dirección IP o el nombre de dominio en internet y otras redes.
Ignacio Alamillo Domingo denomina a la identidad en la red como “identidad
electrónica”, distinguiéndolas según el uso habitual por las personas en las
siguientes clases:
a) Identidad electrónica “personal” aquella que nos identifica de forma
autónoma, sin conexión con organización alguna. Se trata de una
identidad legalmente regulada por el estado, válida dentro de su
territorio, especialmente basada en procesos robustos de identificación
física. En algunos países se acredita con el DNI electrónico.
b) Identidad electrónica “corporativa” aquella que nos vincula con una
organización pública o privada mediante una relación jurídica de
pertenencia o vinculación y frecuentemente se construye sobre el
documento de acreditación de la identidad física personal como sucede
con el fotocheck de un trabajador o funcionario, un carnet de
profesional colegiado u otros. Se trata de una identificación obligatoria
dentro de la corporación empresa, justificada por la relación laboral o
afín.
c) La identidad electrónica del “cliente” aquella que nos vincula con una
organización pública o privada con la que se establece una relación de
negocio con vocación de permanencia, como sucede con la identidad
financiera, programas de fidelización, entre otros. Se trata de una
identificación obligatoria en algunos casos debido a requisitos
regulatorios (como en el caso de la identificación financiera) y voluntaria
en el resto de casos con el objeto de ofrecer al cliente servicios más
personalizados, descuentos, regalos u otras compensaciones en caso de
un determinado volumen de consumo.
Señala asimismo Alamillo, que todas estas identidades que nos son
“suministradas” o atribuidas por “proveedores” o personas diferentes a
nosotros mismos, son electrónicas, porque se asignan, almacenan y gestionan
por medios electrónicos, en bases de datos de identidad que varían desde silos
de identidad completamente desconectados entre sí hasta complejas redes de
identidad interconectada en los dominios financieros o de lucha contra la
delincuencia.
Si bien esta clasificación es bastante certera, sobre todo en aquellos países que
emplean el DNI electrónico, creemos que para el entorno de las redes sociales
de comunicación no serían los más precisos, a pesar de que los medios
electrónicos juegan un papel preponderante. Además todas estas identidades
son denominadas “identidades de segunda o tercera parte” porque nos son
suministradas por organizaciones o personas diferentes a nosotros115.
115
Son identidades de segunda parte cuando sólo sirven para relacionarnos con la organización o personas diferentes a las
que nos la ha suministrado, como sucede con las identidades acreditadas mediante certificados reconocidos de firma
electrónica, regulados por ley.
Consideramos que la identidad virtual propiamente dicha es aquella que sin
estar necesariamente vinculada con alguna institución u organismo (como
sería la identidad electrónica corporativa o de cliente) y que además sin
necesidad de contar con el respaldo del estado (el caso de la identidad
electrónica personal) es creada en la red como un tipo de identidad parcial116,
convirtiéndose en un nuevo paradigma en la gestión de la identidad debido a
que se basa en una gestión realizada únicamente por el propio usuario de todo
el ciclo de vida de su identidad, con mayor control sobre la divulgación de sus
datos personales.
Podemos afirmar que una de las principales diferencias entre una identidad
electrónica y una virtual se centran principalmente en la existencia de cierta
clase de “autenticación” respaldada por determinados organismos o
instituciones que garantizan y corroboran la vinculación entre la persona física
de existencia real y la que se halla en la red.
Son precisamente estas identidades denominadas “de primera parte”117 que
prometen un nuevo modelo de privacidad bajo un verdadero control del
usuario. Una identidad en la cual y en muchos casos podría no existir la menor
116
El término identidad parcial hace alusión a un subtipo de identidad que sirva para identificar a un individuo en diferentes
contextos o roles. Por ejemplo parece coherente que un individuo concreto pueda ser titular de diversas identidades que
acrediten su rol como trabajador, cliente de una entidad bancaria, administado tributario que le permitan actuar en diferentes
contextos. Y de hecho parece también coherente que para obtener cada uno de esos diversos tipo de identificación no sea
necesario aportar el mismo grado de información ya que, en caso contrario, se estaría vulnerando el principio de
proporcionalidad.
117
Que a diferencia de las identidades electrónicas personales no están reguladas por el estado y mucho menos basadas en
sólidos procesos de identificación física.
coincidencia entre la persona física real e identificable y la identidad virtual
asumida.
Todos, en cierta forma, tenemos muchas identidades parciales, adecuadas a
los diferentes roles o actividades que realizamos durante nuestra vida, cuyo
uso está protegido de manera particularmente intensa por las leyes de
protección de los datos de carácter personal.
Sucede que en la red -a diferencia de lo que dice la intuición en el mundo físicovamos a disponer de forma natural (y debido a la presión legal de la privacidad
según el contexto) de diversas y variadas identidades, en algunos casos con
sus correspondientes mecanismos de autenticación y en otros no. Es decir, en
las redes sociales no es posible contar con una identidad única y mucho menos
garantizarla. Este panorama nos hace replantearnos la necesidad de abrir el
debate en torno a la conveniencia o capacidad legal de crear y asignar códigos
de identificación universal que garantizara la existencia de un entorno
tecnológico organizado y jurídico compartiendo la identidad y autenticación
de los usuarios entre varios sistemas basados además en normas de confianza
mutua y un código de ética.
4.- RESPONSABILIDAD DE LOS ACTORES IMPLICADOS EN LAS REDES SOCIALES
Y LA NORMATIVA APLICABLE
En el entorno de las redes sociales existen diversos agentes implicados; el
propio proveedor de servicios de redes sociales, los usuarios, los creadores de
aplicaciones que se integran como servicios adicionales en la plataforma.
Además también podríamos incluir a los anunciantes de estas redes sociales
en el proceso, en aquellos casos en los que la red social facilite información
sobre los usuarios de los mismos.
Por su importancia para este trabajo nos referiremos solo a los dos primeros:
a) Los proveedores de servicios de redes sociales son responsables cuando
tratan datos para su propia gestión, debiendo cumplir en su caso con las
obligaciones derivadas. Son ellos los que tratan los datos de los usuarios
para el registro y cancelación de la cuenta y proporcionan mediante el
diseño de su plataforma los medios que permiten el tratamiento de la
información y la interacción entre los usuarios. Además utilizan estos
datos para finalidades publicitarias, realizando tratamientos sobre los
mismos con el fin de ofrecer un target al anunciante.
En algunas redes sociales la plataforma permite que desarrolladores externos
creen aplicaciones (juegos, cuestionarios, etc.) que tratan datos de los
usuarios. Los proveedores de aplicaciones también pueden ser responsables
del tratamiento si acceden a la información de los usuarios.
b) Los propios usuarios, que pueden ser personas físicas o jurídicas,
también forman parte del proceso. Es aquí donde se encuentra la
particularidad de este tipo de servicios. Si bien, las personas suelen ser,
“afectados o interesados” en otras ocasiones estas toman las decisiones
sobre la información que tratan, pudiendo llegar a ser considerados
como responsables del tratamiento y asumiendo las obligaciones a los
que éstos están sujetos teniendo además que prestar un deber de
diligencia.
Tal como hemos señalado existen diversos actores involucrados y por tanto
con cierto grado de responsabilidad, sin embargo, debe tenerse presente que
la atribución de responsabilidades demanda una normativa previa que
establezca aquellas conductas susceptibles de tutela o de sanción y las
consecuentes responsabilidades para los actores dentro del ámbito que nos
ocupa, y es precisamente en éste donde nuestro país carece de regulación.
Nuestra legislación en materia de protección de datos personales tanto Ley
Nro. 29773 del año 2012 y su correspondiente reglamento el Decreto Supremo
Nro. 003-2013-JUS excluye de su ámbito de aplicación aquellos tratamientos
que realicen las personas “en el ejercicio de actividades exclusivamente
personales o domésticas”. Más aún, expresamente limita la protección de
datos al territorio peruano.
En este sentido, precisa en su artículo 3° inciso 1 que la ley se aplica a los datos
contenidos o destinados a ser contenidos en bancos de datos personales de
administración pública y de administración privada, cuyo tratamiento se
realice en el territorio nacional, siendo objeto de especial protección los datos
sensibles. Continúa la norma señalando que las disposiciones de la ley no son
de aplicación a los datos personales contenidos o destinados a ser contenidos
en los bancos de datos personales creados por personas naturales para fines
exclusivamente relacionados a su vida privada o familiar. El reglamento ratifica
ésta limitada protección al reiterar en su artículo 4° que sus disposiciones no
serán de aplicación al tratamiento de datos personales realizado por personas
naturales para fines exclusivamente domésticos, personales o relacionados
con su vida privada o familiar.
Sin embargo, nuestra norma no contempla la posibilidad de que en algunas
situaciones el tratamiento por parte de los usuarios de las redes sociales
podría exceder la actividad doméstica. El hecho en mención si ha sido
considerado por la comunidad europea a través del GT29 y considera las
siguientes situaciones:
- La primera de ellas, cuando la red social se utiliza como una plataforma
de colaboración para una asociación o una empresa “con fines
comerciales, políticos o sociales”
- Asimismo, otro de los indicativos de que se está excediendo del ámbito
doméstico, es cuando manifiestamente el usuario tenga más contactos
de los que bajo un criterio de racionalidad podría considerarse como
contactos reales. En estas situaciones que habrían que analizarse caso
por caso, puede llegar a ser considerado como un responsable del
tratamiento.
- Existe un tercer caso particularmente importante en que el usuario
puede considerarse responsable del tratamiento y es aquel en cual al
tratar datos de terceros se vulneren sus derechos. Es decir la exclusión
de la actividad doméstica se ve también limitada por la necesidad de
garantizar los derechos y especialmente lo referente a los datos
sensibles. En este sentido se estarían dando también nuevas situaciones
como “menores responsables”.
Si recogiéramos estos criterios en nuestra legislación la regla general sería que
salvo estas excepciones, que deberían aplicarse con prudencia, las actividades
que lleve a cabo un usuario, dentro de una red social y que no sean objeto del
ámbito de aplicación de la Ley de Protección de Datos podrían ser objeto de
otras leyes como aquellas de protección al derecho al honor, a la intimidad
personal e imagen o por disposiciones generales del derecho civil o penal
según sea el caso.
Sin embargo, en cuanto al segundo indicador señalado, tendríamos la tarea de
precisar de manera puntual cual sería el criterio de racionalidad y su
correspondiente sustento para poder determinar en qué momento se
considera que un sujeto tiene demasiados amigos.
En lo referente al tercer aspecto, tendríamos que determinar hasta qué punto
los usuarios de las redes sociales son considerados responsables del
tratamiento cuando publican información de terceras personas, esto, no sólo
a efecto de saber en qué momento empiezan a ser considerados
“responsables menores” y establecer la correspondiente sanción en relación a
este grado sino también para determinar que tan sensibles serían los datos
con los que estamos tratando o si tal vez las redes sociales han llegado a
“desnaturalizarlos”.
De acuerdo a nuestra ley de protección de datos personales los datos sensibles
están constituidos por datos biométricos, datos referidos al origen racial y
étnico, ingresos económicos, opiniones y convicciones políticas, religiosas,
filosóficas o morales. Afiliación sindical, e información relacionada a la salud o
la vida sexual. El reglamento de la ley recoge los mencionados anteriormente
con excepción de los datos biométricos y precisa información referida a la
salud catalogándola como física o mental u análoga; así mismo menciona como
datos sensibles hechos o circunstancias de la vida afectiva o personal y hábitos
personales que corresponden a la esfera más íntima de la persona.
En consecuencia, saldríamos de la esfera de la actividad doméstica con el
tratamiento de los datos sensibles de terceros, pero como señalamos nuestra
legislación presenta como datos sensibles muchos de aquellos que son
compartidos libremente en las redes sociales perdiendo su naturaleza de
“sensibles”. Por tanto, difícilmente se configuraría una exclusión de actividad
doméstica y una responsabilidad menor, dado que contradictoriamente gran
cantidad de lo que es considerado información sensible en nuestro país según
la ley, es una información solicitada por las mismas redes sociales y es una
información que el usuario brinda de manera voluntaria y en consecuencia con
un consentimiento implícito.
Debemos tener presente que muchas veces la actuación de los usuarios en el
ámbito de las redes sociales se encuentra abocada a provocar conflictos de
derechos al menos en lo que se refiere al derecho a la información, la libertad
de expresión y el derecho a la protección de datos.
Más aún, el conjunto de riegos que hemos mencionado precisa una mayor
atención cuando nos referimos a los menores llamados “nativos digitales” que
no habiendo alcanzado un grado de madurez suficiente, se han incorpora do
con fuerza a las redes sociales. En entornos virtuales los menores actúan con
amigos en tiempo real, crean, se unen a comunidades de su interés, (música,
deporte) se comunican mediante blogs o mensajes instantáneos, hacen
nuevos amigos, comparten imágenes, videos, música y experimentan su
propia identidad en nuevos espacios como las redes sociales. Este colectivo,
que ha nacido con la tecnología ya plenamente arraigada tiene otro concepto
de la intimidad118.
Se desprende que las redes sociales y en general la Web 2.0 constituye un
fenómeno con características peculiares dentro de Internet, que ya es en sí un
ámbito singular para el derecho119. Estas redes suponen un tipo de
comunicación muy peculiar. Si el estatus jurídico de una comunicación
depende fundamentalmente de su carácter público o privado, las
comunicaciones sociales se sitúan, cuando menos en una zona gris. Esta
incertidumbre enlaza con otra no menos trascendente. Desde un punto de
vista jurídico no está claro si los datos que los usuarios ponen en poder de las
redes sociales, son datos que pertenecen a una comunicación entre privados
que tienen lugar de manera continuada y por tanto está protegida por el
secreto de las comunicaciones o si en cambio deben ser considerados meros
datos almacenados, suministrados voluntariamente por los usuarios, es en
este supuesto donde el derecho de protección de datos resultaría aplicable.
Por si fuera poco nos encontramos además con un problema de
consentimiento que puede afectar tanto a la protección del derecho al secreto
de las comunicaciones, como a la protección de datos personales. La
118
El Memorando de Montevideo adoptado en julio del 2009 en la ciudad de México sobre la protección de datos personales y
la vida privada en las redes sociales en Internet, en particular de niños, niñas y adolescentes, recoge una serie de
recomendaciones dirigidas a distintos actores a fin de alcanzar una mayor protección de la privacidad de los menores de edad.
Véase http://memorandumdemontevideo.ifai.org.mx/index.php/features. Si bien nuestra legislación señala puntualmente la
intervención de los representantes legales para la protección de los datos personales de niños y adolescentes, no hace alusión
a las redes sociales que es precisamente el ámbito donde mayor protección requerirían y esto en base a la excepción del
ámbito de aplicación de la ley de datos personales señalada.
119
Las redes sociales han inaugurado un nuevo tipo de negocio basado en la minería de datos, que ha dado luz a nuevas
formas de cooperación entre el estado y el sector privado
protección del secreto de las comunicaciones y autodeterminación
informativa120 tienen en común el que son instrumentos para la protección de
la intimidad. En tanto el primero es un derecho de exclusión, el segundo es un
derecho de control sobre los datos.
En lo que atañe a las comunicaciones que es el supuesto que más interesa,
resulta fundamental la distinción entre comunicaciones abiertas y cerradas. La
participación en un foro abierto o la publicación de un artículo en una web no
quedan protegidos ni por el secreto de las comunicaciones ni por la protección
de datos en cuanto que aquí surge un interés constitucional prevalente como
sería la libertad de expresión o el derecho de autor. Sin embargo, el problema
de las redes sociales situadas en este contexto es que supone una suerte de
tertium genus entre comunicaciones pública y privada, donde el usuario puede
elegir además entre niveles de publicidad muy variados.
Aunque, por ejemplo, las agencias de datos europeos han manifestado que las
redes sociales deben respetar las normas de privacidad de los países en los que
operan, lo cierto es que esta declaración no pasa de ser un simple
desidaratum, entre otras cosas porque Facebook indica en sus condiciones que
la legislación aplicable en sus relaciones con sus usuarios serán las del estado
de California.
120
El Código Procesal Constitucional del Perú, Ley N° 28237 recoge en su Título cuarto la protección de este
derecho y el correspondiente procedimiento de tutela a través de la acción de Habeas Data.
El usuario de redes informáticas aunque presta su consentimiento,
dudosamente sabe para qué lo presta, y es también dudoso que conozca
realmente las implicaciones que para su intimidad supone la participación en
una red social y en general en la web 2.0. Pero aún hay más, todo este nivel de
incertidumbre se combinan con un grave problema de vigencia territorial de la
ley. Los sitios más usados como Facebook o Google están situados en los
Estados Unidos, lo que supone un marco jurídico que parte de principios
sustancialmente distintos a los europeos y a los países de habla hispana.
Además debe tenerse presente que las redes sociales on line al haber
cambiado la forma en que las personas se comunican, permanecen en
contacto, comparten opiniones o ideas; al haber creado otra forma a través de
la cual se puede encontrar trabajo o a una pareja, podrían paralelamente
producir la afectación de otros derechos además del derecho a la intimidad
personal, familiar y a la propia imagen, como podrían ser el derecho al honor
sin perjuicio de comprometer además el derecho la propiedad intelectual o
suscitar un conflicto entre el derecho a la privacidad y el derecho a la libertad
de información y expresión.
Nos encontramos entonces ante una serie de interrogantes legales respecto al
tratamiento de la información personal, por lo tanto resulta fundamental
determinar que repuestas ofrece el derecho ante estos fenómenos y
establecer hasta qué punto facilita herramientas efectivas para regular esta
nueva realidad ya que un individuo no puede definir que es la privacidad o la
protección de datos personales hasta que se encuentra con ella cara a cara.
Sin duda hablar de la sociedad de la información y de las redes sociales en
Internet es hablar en cierta medida de relaciones privadas internacionales, es
decir del Derecho Internacional Privado. Los posibles problemas de
vulneración de datos de carácter personal derivados de la utilización de redes
sociales en internet podrían ser resueltos a partir de las normas del Derecho
Internacional Privado relativa a la responsabilidad civil contractual o
extracontractual, sin embargo, de ser así, los problemas girarían en torno a la
determinación del órgano jurisdiccional competente para conocer del litigio
así como la ley aplicable para resolver el conflicto.
Tal vez una probable unificación de las normas estatales en esta área del
derecho en torno a la problemática planteada sobre la protección de datos en
las redes sociales podría evitar la relatividad de las soluciones y/o la utilización
de criterios subjetivos, flexibles y particulares y permitir la vinculación del
supuesto concreto con un país determinado.
Es de suma importancia que estas cuestiones sean abordadas por los
legisladores ya que tal como señala Ricard Martinez121 en internet, al menos
121
Martinez Martinez, Ricard. “El derecho fundamental a la protección de datos: perspectivas” en Internet, derecho y Política.
Las transformaciones del derecho y la Política en 15 artículos. Editorial UOC, Barcelona, 2009. Pp. 141-165
tal y como lo conocemos, ni existe el derecho al olvido, ni la posibilidad de
garantizar que la identidad digital de cada ciudadano sea veraz y sujeta
completamente a su propio control.
UNA SOLUCION APARENTE
El marco normativo en que se produce la recolección y gestión que de los datos
de los usuarios hacen redes sociales en internet y los servicios 2.0 se ha
desarrollado bajo la influencia de un discurso de autorregulación122.
Considerando que en un periodo de tiempo muy corto estos servicios han
pasado de no existir a tener la relevancia social que ostentan hoy el modelo de
autorregulación de las empresas web 2.0 es el propio de un sector que todavía
los distintos actores reguladores no han prestado plena atención. Nos
encontramos por tanto ante un sistema en el que son las empresas las que
ejercen un papel abrumadoramente dominante en la formación del sistema
de derechos y garantías y en el que con frecuencia la autorregulación se
confunde con desregulación y libertad contractual o empresarial. Son
esencialmente las empresas las que regulan el funcionamiento de sus
servicios.
Facebook constituye una suerte de pequeño ordenamiento jurídico con
distintos instrumentos normativos internos el documento más importante, al
122
Arroyo Jimenez y Nieto Martin (dirs.) Autorregulación y sanciones. Lex Nova. Valladolid. 2009
menos de cara al usuario es el de “Política de Privacidad”123, pero también hay
una Declaración de Derechos y Responsabilidades”124 que rige la relación de la
empresa con los usuarios y con todos aquellos que interactúan con Facebook
y que tiene su origen en “Los Principios del Facebook”125. Estos documentos
abordan temas comunes, lo que causa cierta sensación de dispersión.
Adicionalmente hay muchos otros documentos lo que hace que en definitiva
se convierta en un sistema de normas complejo y confuso digno casi de ser
sometido a un proceso de codificación.
Una de las funciones comunes de la política de privacidad de las redes sociales
en internet es la de desplazar el riesgo hacia el usuario. La política de
privacidad se encargará de dejar claro que son riesgos inherentes a “compartir
información” y no a las características técnicas o empresariales de su modelo
de negocio así como a una actuación externa de software e individuos
maliciosos y no del propio sitio. Sin embargo no necesariamente es verdad la
imposibilidad técnica de controlar el flujo de información. El caso más claro es
el de la publicación y etiquetado de fotografías en las que aparecen terceras
personas sin su consentimiento. Facebook no ofrece al usuario la opción de
impedir esta actividad. Es más ni siquiera ofrece la opción de que el etiquetado
de la fotografía (que enlaza inmediatamente al perfil de la persona que
aparece en ella) haya de llevar aparejado el consentimiento del “fotografiado”
como ocurre por ejemplo en las solicitudes de amistad. El resultado es un
123
124
125
Véase el sitio web donde se alojan los documentos oficiales del facebook (facebook site governance)
"Declaración", "Condiciones" o "DDR"
Véase https://www.facebook.com/principles.php
tedioso procedimiento de desetiquetado. Esto implicaría ignorar uno de sus
principios generales sobre el consentimiento previo y debemos recordar que
el consentimiento es la pieza angular a partir de la cual se construye el sistema
de protección de datos personales.
DESAFIOS QUE PLANTEAN LAS REDES SOCIALES.
Por sus implicancias en la privacidad, ya en octubre del año 2007, la European
Network and Information Security Agency (ENISA) publicó su documento
“Security issues and recommendations for on line social networks” en el que
se señalaban los principales desafíos en estas redes ofreciendo una serie de
recomendaciones. Por otro lado, El International Working Group on Data
Protection and Telecomunications (IWGDPT) en el que participa la Agencia
Española de protección de datos (AEPD) viene haciendo un seguimiento de
este tema desde que en marzo del 2008 aprobara en su cuadragésima tercera
reunión celebrada en Roma, el Rome Memorandum126. En opinión de este
grupo uno de los principales desafíos para la privacidad está en el hecho de
que son los propios usuarios los que publican grandes cantidades de
información y las legislaciones tradicionales están dirigidas a regular el
tratamiento de datos por parte de las administraciones y empresas. Esta
afirmación se verifica claramente en nuestra legislación sobre datos
personales la cual establece en el artículo 1° del Reglamento la regulación del
126
Véase Http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf?1208438491
adecuado tratamiento de datos tanto por las entidades públicas como por las
instituciones pertenecientes al sector privado y en este sentido a través de la
Resolución Directoral 001-12013-JUS/DGDP del 8 de mayo del 2013 aprobó los
formularios para la inscripción de bancos de datos personales de
administración privada por persona natural, de administración privada por
persona jurídica y de administración pública.
Otro tema en el que este grupo pone atención es en la actividad on line de las
denominados “nativos digitales” aquellos que han nacido y crecido en el
entorno de la tecnología como Internet o la telefonía móvil y que teniendo
otro concepto de privacidad, tal como señalamos anteriormente, se sienten
cómodos publicando detalle de sus vidas en Internet. Tal vez esta sea una de
las razones que nos permita replantearnos el hecho de que la intimidad se
precise más que como un derecho, como una libertad proyectada en la
facultad de una persona para disponer de un ámbito de inmunidad para sus
acciones privadas que permita sustraerlas de la injerencia del Estado y de
terceros.
Curiosamente la vida privada o la intimidad personal y el concepto tradicional
que éstas encierran parecen ser algo diametralmente opuesto a la finalidad
que tienen las redes sociales, donde compartir información no es sólo un
requisito fundamental sino su razón de existir.
Derecho de Acceso a la Información Pública y correos electrónicos de
los funcionarios públicos. Necesidad de regulación
Diego Adrián Moreno Carrasco
Abogado, Licenciado en Ciencias Jurídicas y Sociales, Facultad de
Derecho Universidad de Chile.
Correo electrónico: [email protected]
I.
Introducción
El año 2009, entra a regir en Chile la Ley N° 20.285 sobre Transparencia
y Acceso a la Información Pública, como consecuencia de la condena de la
Corte Interamericana de Derechos Humanos y que obligó al Estado, entre
muchas otras cosas, a generar una legislación en el tema que fuera acorde a
los tiempos actuales.
Han transcurrido cinco años de la entrada de vigencia de dicha ley, y
actualmente se han presentado problemas que han hecho difícil avanzar en la
profundización de una “cultura sobre la transparencia”. Uno de los más
controversiales, ha sido los casos de solicitudes de acceso a correos
electrónicos de determinadas autoridades (funcionarios públicos) por parte de
los ciudadanos, respecto de los cuales los últimos pronunciamientos del
Tribunal Constitucional han establecido que no procede su acceso, por tratarse
en esencia de comunicaciones privadas, que quedan excluidas del
conocimiento de terceros. El problema, se presenta acá desde una doble
perspectiva, primero porque no existe certeza desde el punto de vista legal,
doctrinario y judicial si es posible o legítimo acceder a la información contenida
en los correos electrónicos. Y luego, en el caso específico de los correos
electrónicos institucionales de los funcionarios públicos, no existe una
hipótesis legal expresa que lo contemple, aunque para la Ley de Transparencia
sea pública “toda otra información que obre en poder de los órganos de la
administración, sea cual sea su formato, soporte, fecha de creación, origen,
clasificación o procesamiento”127. A lo anterior se suma la existencia de una
serie de fallos contradictorios entre la Corte Suprema, el Tribunal
Constitucional, y el Consejo para la Transparencia sobre la posibilidad de
acceder (o no) a los contenidos de estos, lo que deja a las personas en una
situación de incertidumbre, y a los funcionarios públicos en una situación de
ignorancia respecto de la regla aplicable para la utilización de este medio128. El
problema se ve amplificado si consideramos que existe bastante
jurisprudencia administrativa del Consejo para la Transparencia, poca de la
Corte de Apelaciones y Corte Suprema, a lo que hay que agregar los últimos
pronunciamientos del Tribunal Constitucional sobre la materia. La discusión
anterior resulta de suma importancia, porque las consecuencias de negar a
127
Ley N° 20285, sobre Transparencia que modifica la composición y atribuciones del
Congreso Nacional, la aprobación de los tratados internacionales, la integración y
funciones del Tribunal Constitucional y otras materias que indica. Biblioteca del Congreso
Nacional de Chile, 26 de Agosto de 2006. Pág. 150. Disponible en http://www.bcn.cl
128
Por ejemplo, sentencias del Tribunal Constitucional Rol N° 2246, de 31 de enero de
2013; y Sentencia Rol N° 2153, de 11 de septiembre de 2012. Disponibles en
www.tribunalconstitucional.cl; [Verificado el 29 de abril de 2014].
todo evento el acceso a dichos correos resultan perjudiciales desde la óptica
de la transparencia y el acceso a la información pública.
Por lo anterior, el presente artículo hará un análisis somero respecto de
los conflictos más importantes que se han generado cuando se ha exigido la
aplicación del derecho de acceso a la información pública respecto de los
correos electrónicos institucionales de los funcionarios públicos, y a la
necesidad de que exista a lo menos una regulación específica de estos que
permita, bajo determinados supuestos, permitir el acceso a determinados
contenidos públicos, ello en pos del interés general que puede verse
eventualmente comprometido y que exige tanto de los órganos
administrativos como judiciales encargados de decidir, una adecuada
ponderación.
I.- Sobre el Derecho de Acceso a la Información Pública y los correos
electrónicos de los funcionarios públicos. Análisis preliminar.
En los últimos años, mediante reiterada jurisprudencia, el Tribunal
Constitucional ha acogido distintos requerimientos de inaplicabilidad respecto
del inciso 2 del artículo 5 de la Ley de Acceso a la Información Pública, referido
a su ámbito de aplicación, y que establece lo siguiente:
“En virtud del principio de transparencia de la función pública, los actos
y resoluciones de los órganos de la Administración del Estado, sus
fundamentos, los documentos que les sirvan de sustento o complemento
directo y esencial, y los procedimientos que se utilicen para su dictación, son
públicos, salvo las excepciones que establece esta ley y las previstas en otras
leyes
de
quórum
calificado.
Asimismo, es pública la información elaborada con presupuesto
público y toda otra información que obre en poder de los órganos de la
Administración, cualquiera sea su formato, soporte, fecha de creación,
origen, clasificación o procesamiento, a menos que esté sujeta a las
excepciones señaladas” (el destacado es nuestro).
A partir de estos últimos requerimientos y pronunciamientos del
Tribunal, el debate que se ha abierto y profundizado se ha centrado en que si,
en determinadas circunstancias, es posible acceder al contenido de los correos
electrónicos de los funcionarios públicos, ejerciendo el derecho de acceso a la
información, en un contexto de mayor transparencia y publicidad del quehacer
público, y en donde se ha generado un manto de incertidumbre respecto de
estos instrumentos, que hasta ese momento se entendían públicos en virtud
de la interpretación extensiva hecha en función del genérico inciso segundo de
dicho artículo por parte del Consejo para la Transparencia, quien era partidario
de permitir el acceso a estos.
A partir de la verificación de esta circunstancia, es necesario señalar que
para la legislación chilena, el derecho de acceso a la información pública no
está consagrado expresamente como derecho fundamental, lo que en
principio impide exigir al Estado la toma de medidas normativas, prácticas etc.,
que hagan efectivo el ejercicio de este129, cuestión que si ocurre con los
derechos fundamentales de protección a la vida privada y a la inviolabilidad de
129
SABA, Roberto. “El derecho de la persona de acceder a la información en poder del
gobierno”. Trabajo presentado en “la conferencia de acceso a la información en las
Américas”. Celebrada en Buenos Aires, en Diciembre de 2002. Pág. 151; en:
http://www.juridicas.unam.mx/publica/librev/rev/decoin/cont/3/art/art7.pdf;
[verificado el 06 de mayo de 2014].
las comunicaciones privadas, que se encuentran reconocidos y que son
considerados frecuentemente por el Tribunal para la resolución de estos
asuntos.
Cabe preguntarse, en función de lo anterior, en qué posición queda
entonces el derecho de acceso a la información pública en cuanto a su
exigibilidad, y que es lo que ocurre en el caso de los correos electrónicos de los
funcionarios públicos, soportes que pueden eventualmente contener
información de interés general, y cuya posible difusión, puede a su vez
vulnerar otra(s) garantía(s) fundamental(es), como la vida privada y/o la
inviolabilidad de la correspondencia.
II.- Correo electrónico como información pública
2.1 Definición correo electrónico
El correo electrónico puede ser definido como una forma de
comunicación, ya que por este medio se transmiten mensajes de un emisor a
uno o varios receptores, por medio de un soporte técnico. Algunas de sus
características principales son que esta es una comunicación digitalizada, que
se transmite por canal cerrado, ya que a él no pueden acceder terceros. Otras
de las características de este tipo de comunicación son la distancia, la
instantaneidad, la multidireccionalidad, multimedialidad y la ubicuidad130.
130
RODRIGUEZ SILVA, Rodrigo. El correo electrónico, en Revista Chilena de Derecho
Informático N° 3, Centro de Estudios de Derecho Informático, 2003 (CEDI), Universidad
de
Chile.
Disponible
en
http://www.derechoinformatico.uchile.cl/index.php/RCHDI/article/view/10668/11414
[verificado el 28 de abril de 2014].
En este sentido, el correo electrónico funciona como una relación entre
computadoras donde una es un terminal “usuario” y la otra es un “servidor”
de correo, es decir, una computadora que contiene información que puede ser
consultada por los usuarios. Esta es una computadora central que guarda el
nombre de usuario del email en un dominio determinado, en espera que se
conecte el usuario al que van dirigidos y se decida a abrirlos131.
2.2 Correo electrónico laboral y correo electrónico personal.
Intentando una primera aproximación en dirección a proponer criterios
que permitan diferenciar y determinar si es posible acceder, y en qué casos, a
la información contenida en los correos electrónicos, podemos analizar el
debate que también ha surgido respecto del eventual control por parte del
empleador sobre los correos electrónicos que les son otorgados a los
trabajadores. En efecto, actualmente la discusión sobre las atribuciones
fiscalizadoras del empleador es un tema respecto del cual no existen criterios
claros ni a nivel legislativo, ni jurisprudencial, ni doctrinario, respecto de cómo
conciliar esas facultades, comprendidas dentro del derecho que tiene el
empleador a organizar, dirigir y administrar su empresa, emanadas del
derecho de propiedad, versus el derecho a la intimidad y la inviolabilidad de
las comunicaciones que tienen los trabajadores132.
131
Por ejemplo, si el correo asignado al trabajador por la empresa es
“[email protected], lo que sigue después del arroba es el dominio, y cuando
alguien envía un mensaje desde esa dirección, este pasa por el servidor del remitente,
viaja por internet y llega al servidor destinatario, el cual guarda el mensaje hasta que el
destinatario lo abra, siendo ese momento entregado el mensaje.
132
Sobre el particular, la Dirección del Trabajo mediante Dictamen N° 260/19 de 2001,
se pronunció fijando el criterio de que el empleador puede regular “las condiciones, la
frecuencia y oportunidad de uso de los correos electrónicos”, pero que en ningún
supuesto puede acceder al contenido, toda vez que este se encuentra amparado por la
garantía constitucional de la inviolabilidad de la correspondencia. Luego, el dictamen N°
Por lo anterior es que cierta doctrina ha llegado a diferenciar lo que es
el uso del correo electrónico laboral del personal. El correo laboral sería aquel
otorgado por el empleador como herramienta de trabajo a fin de facilitar el
cumplimiento de las labores encomendadas, debiendo ser este utilizado para
estos fines, reconociéndose también la eventual facultad que tendría para el
control y buen uso de este, considerando también que es el empleador el que
asume los costos derivados de la implementación de esta herramienta, porque
utiliza el dominio de la empresa y porque se entiende que los mensajes
enviados por esta vía se hace en representación de esta.133
Por otro lado, lo que denominaremos correo electrónico personal,
serian aquellos casos de cuentas solicitadas directamente por la persona a un
proveedor de e-mail, sea con costo o no, y cuya dirección electrónica tenga un
dominio diferente al del empleador.
Este análisis resulta pertinente, porque el principio y la lógica existente
tras la asignación del mail laboral en el sector privado es el mismo aplicable a
los trabajadores del sector público, y a los correos electrónicos que se les
asignen, considerando eso sí, que el empleador en el último caso es el Estado,
y que como tal reviste ciertas particularidades que hacen necesario conciliar
lo anteriormente expuesto con el necesario escrutinio de la ciudadanía del
quehacer público estatal.
1147/34, de 2005, confirma el criterio y añade que el uso de los correos se puede regular
también “por acuerdo de las partes en el reglamento interno o en los respectivos
contratos de trabajo”. Dictámenes disponibles en www.dt.gob.cl; En cuanto a criterios
señalados por la doctrina, DE ROSSI, Larrea. Legalidad control del empleador sobre el
correo electrónico a sus trabajadores. Artículo publicado en revista de derecho y
tecnologías Alfa-Redi, Perú. Pp.2. Disponible en http://www.alfa-redi.org/node/8927
[Verificado el 06 de mayo de 2014].
133
DE ROSSI, Larrea. Ibíd. Pp. 8.
2.3 Control del correo electrónico.
Antes de seguir con el análisis y las distinciones de las categorías de los
correos, es innegable, pero necesario afirmar que desde el punto de vista
técnico todos los correos pueden ser objeto de control. En efecto, existe una
serie de programas y filtros que permiten monitorizar el e-mail, en este caso
asignado a los trabajadores. Por ejemplo muchas empresas poseen servidores
de correo corporativos, por medio de los cuales todo e-mail debe pasar por
estos antes de salir a internet. Entonces, existe la posibilidad técnica de
programar ese servidor casi para cualquier cosa, como por ejemplo filtrar los
correos, bloquear la salida o ingreso de ciertos mails, registrar los títulos,
documentos adjuntos, detectar keywords, destinatarios, o guardar copias de
los mails que se envíen fuera de la empresa, por ejemplo134. Incluso, si no
existe el servidor corporativo, se podría hacer este control a nivel del Router
del ISP, al que llegan todos los e-mails de los diferentes clientes antes de salir
a internet.
El problema que surge en una eventual hipótesis de pretender controlar
el contenido de los correos electrónicos, o acceder a estos, sea de forma
externa o interna además de ser casos expresamente contemplados en la ley,
es determinar hasta qué punto esta posible facultad fiscalizadora lesiona los
derechos fundamentales, referidos a la esfera privada, de los titulares de esas
cuentas.
III.- Correos electrónicos institucionales y derecho de acceso a la
información pública.
134
Ibíd. Pp. 10.
En la actualidad, y considerando en avance de los medios tecnológicos
para el almacenamiento de la información, muchas de las comunicaciones que
utilizan los funcionarios de la administración del Estado, o bien esta con los
particulares, implican la utilización de medios o soportes electrónicos. Uno de
los más utilizados es el correo electrónico, por lo que resulta evidente la
importancia que ha cobrado esta herramienta como canal de información, ya
sea entre distintas autoridades, o bien como almacenador de información
pública, o que pueda tener un potencial interés público, contenga o no
fundamentos previos para la adopción de una determinada decisión. Por cierto
que los correos electrónicos son herramientas de gestión administrativa y el
uso que se circunscriba a ese ámbito135. De esta manera, pueden constituirse
en fundamentos, pueden ser documentos que sirvan de sustento que
complementen directamente y sustancialmente, o también como elementos
de procedimiento para la dictación actos y resoluciones de la Administración
del Estado. De ahí su importancia, y por cierto, la determinación de si es
posible, en determinados casos, acceder a su contenido.
3.1 ¿Tienen los funcionarios públicos derecho a la privacidad en los
correos electrónicos institucionales?
Se puede justificar el ejercicio de facultades fiscalizadoras respecto de
los funcionarios públicos no solo desde el punto de vista de las facultades del
Estado como empleador, sino también por la calidad de funcionarios públicos
135
MEZA ZAMBRANO, Francisco. ¿Tienen derecho a la inviolabilidad de las
comunicaciones los servidores públicos? Publicidad de los correos electrónicos
institucionales y la necesidad de ponderación. Artículo publicado en Revista Derecho y
Humanidades, Universidad de Chile, 21, 2013. Santiago, Chile. Pp 371.
de quienes ahí trabajan y la especial relación jurídica que los rige. Esto último,
porque si bien los servidores públicos son titulares de los mismos derechos
fundamentales que el resto de los ciudadanos, están sometidos a ciertas
exigencias motivadas por los principios de ética pública y de buen gobierno,
en donde el rol de la ciudadanía es cada vez más preponderante136.
Lo anterior pareciera indicar que estas exigencias entran a limitar la
privacidad de los servidores públicos, tal como lo propone Owen Fiss, quien
evocando a Jeremy Bentham propone una suerte de “panopticon inverso”, que
explica la actual situación que la transparencia impregna al Estado, en donde
los servidores públicos (o guardias de la garita) se exponen a un control público
amplio, incluso en su vida social, familiar y privada, proponiendo que “tal
visibilidad no solo es casualidad de la modernidad o simplemente producto de
los excesos de los medios masivos de comunicación. Se trata de una
consecuencia de los imperativos de la democracia en sí misma”137.
Tal como afirma el profesor Zambrano, resulta entonces que esto no
solo plantea un problema jurídico de generar algún estatuto preciso para
quien sea considerado servidor público, sino que también existen aspectos
políticos y sociológicos que resolver, toda vez que “la democracia requiere que
los servidores del Estado rindan cuentas ante la sociedad, y una condición
esencial de esta responsabilidad se encuentra en que la sociedad esté
totalmente informada de las actividades de sus mandatarios”138.
136
Ibíd. Pp. 377.
FISS, Owen. ¿Tienen los servidores públicos derecho a la intimidad?, en ACKERMAN,
John. Más allá del acceso a la información. Transparencia, Rendición de Cuentas y Estado
de Derecho. Editorial Siglo XXI, México D.F. pp. 311-323.
138
Ibíd. Pp. 313.
137
3.2 Necesidad de Control
Tal como se puede justificar que el empleador tenga en determinadas
circunstancias, y no siendo un tema aún zanjado en la doctrina, facultades de
control y/o acceso a los medios que entrega a los funcionarios para que estos
desarrollan sus funciones, entre las que se encuentran las casillas de correo
electrónico institucional, en el entendido que se relaciona con el buen
funcionamiento o marcha de la empresa, y siempre que se encuentre
explicitado, así como también en qué casos y bajo qué mecanismos puede
ocurrir este control, el Estado en representación del interés público
comprometido, puede solicitar acceso al contenido o informaciones que se
encuentren en los correos electrónicos institucionales de los funcionarios que
en se desempeñan en sus dependencias, cuando exista un interés general o
superior comprometido. Lo anterior considerando no solo criterios laborales o
de fiscalización, sino también fundamentos políticos, sociológicos y legales,
propios del moderno Estado democrático de derecho.
Desde el punto de vista contrario, o bien negando la posibilidad de que,
a todo evento (argumento en extremo) se pueda acceder a los correos
electrónicos de los funcionarios públicos en virtud de la existencia de un
interés público en juego, se podría generar un problema mayor, ya que podrían
constituirse estos correos como un canal paralelo de información respecto del
cual no habría posibilidad de acceso, con las consecuencias negativas que esto
genera para el avance y promoción de la transparencia. Sobre este punto, es
innegable que todo lo que conlleve la ignorancia de la información pública
hace más difícil la lucha contra la corrupción y debilita los fundamentos el
Estado de Derecho, en la medida que los ciudadanos tienen menos elementos
para ejercer su rol fiscalizador respecto de las labores del gobierno.
Entonces, suponer la posibilidad de poder controlar y/o acceder al
contenido de los correos electrónicos de los funcionarios públicos, implicaría
resolver los siguientes aspectos:
a) Calificación de las comunicaciones contenidas en el correo
electrónico.
Para determinar el carácter público o no de los correos, es necesario
conocer su contenido en primer término. Esto supone entonces, realizar un
análisis, para luego determinar en función de ese análisis, que parte de la
información es pública y que parte no. Lo anterior, implica también determinar
y especificar cuáles criterios se usarán y en base a que supuestos se realizará
ese análisis.
En este sentido, una buena forma de superar esta primera dificultad es
definir, por ejemplo el carácter público que tendrán las comunicaciones
enviadas por los funcionarios públicos a través de sus casillas de correo
electrónico institucionales, que es algo que podría considerar la Ley de
Transparencia, como ocurre por ejemplo en el caso mexicano139.
139
El artículo tercero de la Ley Federal de Transparencia y Acceso a la Información
Pública Gubernamental, dispone que se considerará para efectos de esta como
documentos susceptibles de acceso a la información pública: “Los expedientes, reportes,
estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices,
circulares, contratos, convenios, instructivos, notas, memorandos, estadísticas o bien,
cualquier otro registro que documente el ejercicio de las facultades o la actividad de los
sujetos obligados y sus servidores públicos, sin importar su fuente o fecha de
elaboración. Los documentos podrán estar en cualquier medio, sea escrito, impreso,
sonoro,
visual,
electrónico,
informático
u
holográfico”.
Disponible
en
http://www.diputados.gob.mx/LeyesBiblio/pdf/244.pdf ; [Verificado el 06 de mayo de
2014].
Aclarado el carácter público del correo, lo que sigue es saber si este
correo puede ser de libre acceso a las personas. Y esta pregunta surge, en
primer término porque es evidente que estos medios de comunicación
contienen tanto información pública como privada. Y en segundo lugar,
porque ningún derecho es absoluto, en este caso el derecho de acceso a la
información pública y una de sus fronteras es la afectación del derecho de
otras personas, independiente de la calificación que se haga del correo, y de la
eventual reducción del ámbito de intimidad del funcionario público, que como
afirma Badeni, se hace “por razones de orden público, moral pública, y que son
propias de un sistema representativo y republicano de gobierno”140.
Luego, y aplicando el principio de divisibilidad contenido en la Ley de
Transparencia, procedería determinar que parte de ese correo es susceptible
de acceder y que parte no, o sea que parte de la información es privada y que
parte es pública, en el entendido de que estamos hablando de derechos cuyos
bienes jurídicos tutelados son distintos, o sea información pública e
información privada.
b) Quien realiza la calificación. Control.
Actualmente, el Consejo para la Transparencia, mediante requerimiento
por denegación de acceso a información pública, ha conocido de aquellos
casos en donde particulares han solicitado acceso al contenido de
determinados correos electrónicos de funcionarios públicos, utilizando como
fundamento legal que es información elaborada con presupuesto público, o
bien información que obra en poder de los órganos de la Administración,
140
BADENI, Gregorio. Tratado de Derechos Constitucionales, -2° Edición. T.I. Buenos
Aires, Argentina. Ediciones La Ley, 2006. Pp. 571-572.
cualquiera sea su formato, soporte, fecha de creación, origen, clasificación o
procesamiento, tal como lo dispone el inciso segundo del artículo 5 de la Ley
N° 20.285 de transparencia y acceso a la información pública.
El rol que cumple este órgano resulta entonces fundamental. En este
sentido, las críticas hechas por algunos autores de que el Consejo no puede
tener competencia para discernir y dividir los contenidos los correos
electrónicos, y exponer al conocimiento de terceros, por ser un órgano no
jurisdiccional, y realizar esta operación al margen del debido proceso141, no
tienen ningún asidero, puesto que muchas de las exigencias derivadas del
derecho de acceso a la información pública, o que involucran también la
protección de datos personales (como manifestación del derecho a la vida
privada y honra), son de naturaleza sui generis, y que para instrumentalizar
ciertas exigencias, junto con el conjunto de derechos que se le otorgan a los
interesados (por ejemplo el derecho de acceso, rectificación, cancelación u
oposición en la protección de datos personales), o los derechos que contempla
la ley de acceso a la información pública (como el derecho de acceso
propiamente tal), resultan incompatibles con su ejercicio directo en los
tribunales de justicia, ya que estos requieren para ponerse en movimiento de
la lesión o amenaza de un derecho fundamental, o bien de la existencia de un
daño para actuar en la vía civil y de una conducta tipificada como delito142.
Según el profesor Davara, la existencia de este tipo de entidades
141
MOHOR ABUAUAD, Salvador. Acción de Inaplicabilidad por Inconstitucionalidad,
Artículo 5° inciso 2°, Ley N° 20.285 sobre acceso a la información pública (rechazada).
Revista de Derecho Público, Vol. 78, I semestre 2013. Santiago, Facultad de Derecho
Universidad de Chile. Pp. 229.
142
ANGUITA RAMÍREZ, Pedro. La protección de datos personales y el derecho a la vida
privada. Régimen jurídico, jurisprudencia y derecho comparado. Editorial Jurídica de
Chile, Santiago, 2007. Pp. 58.
administrativas (supervigilantes del derecho de acceso, o de la protección de
datos
personales)
representa
y
exterioriza
institucionalmente
el
procedimiento por el que el afectado puede hacer valer sus derechos en
penúltima ocasión, al existir la alternativa de recurrir en última instancia a los
tribunales de justicia143.
Resulta entonces que este organismo, de rango autónomo legal, realiza
la verificación, para de esta forma evitar dejar esa decisión a la
discrecionalidad de las autoridades, aunque es necesario aclarar que el primer
filtro que decide si una información es pública o no, es el propio órgano o
servicio requerido.
Por otro lado, se encuentran los tribunales de Justicia, quienes
intervienen en caso de impugnación de las resoluciones del Consejo para la
Transparencia, actuando como una segunda instancia. En este sentido, cuando
se estima que hay casos de colisión de derechos fundamentales, no se puede
establecer de antemano cuales derechos deben primar sobre otros, para lo
cual se debe analizar cada cado concreto. Entonces en estos casos, es
necesario ponderar, para determinar cuál derecho debe prevalecer ante otro,
o bien si se puede encontrar un punto de equilibrio entre ambos144.
c)
El control del correo no solo puede afectar la intimidad, sino
también el secreto de las comunicaciones. Ponderación de derechos.
Para la legislación chilena, la garantía del artículo 19 N°5 de la
Constitución referida a la inviolabilidad de las comunicaciones privadas,
143
DAVARA RODRIGUEZ, Miguel Ángel. La protección de los datos en Europa. Principios,
derecho y procedimiento. Grupo Asnef Equifax y Universidad Pontificia Comillas ICAIICADE, Madrid, 1998. Pp. 122.
144
DE ROSSI, Larrea. Legalidad control del empleador sobre el correo electrónico a sus
trabajadores. Op. Cit. Pp 16.
alcanza también a los correos electrónicos145, ya que en su oportunidad se
estimó que la norma citada protege “la correspondencia o los mensajes
epistolares, telegráficos, telefónicos, radiales, por télex u otros medios que la
tecnología haga posible ahora en el futuro”146. En la misma línea, para
determinar la privacidad o no de determinado mensaje, se estimó por el
constituyente que “prevalece la intención que han querido darle los
intervinientes a la comunicación, más que el medio, poseyendo de esta forma
el derecho una eficacia erga omnes que garantiza la impenetrabilidad de las
comunicaciones por terceros, ya sean agentes públicos o privados, siendo esta
la interpretación de la doctrina mayoritaria”147. Como no es un derecho
absoluto (ninguno lo es, puede ser restringido por el Estado siempre que las
injerencias no sean abusivas o arbitrarias), el mismo artículo establece la
posibilidad de interceptación de estas comunicaciones “en los casos y formas
determinadas por la ley”, siendo esta una de las razones por las cuales el
Tribunal Constitucional ha rechazado la posibilidad de acceder a los correos
institucionales de los funcionarios públicos, por no regular la ley de
transparencia expresamente la forma y los procedimientos de acceso.
Además, como se señaló precedentemente, no existen en la legislación
chilena un derecho fundamental expresamente reconocido de acceso a la
información, lo que desde el punto de vista jurídico juega a favor
decisivamente en negar el acceso al contenido de determinados correos
electrónicos públicos, ya que lo que existe es una consagración del principio
de Transparencia, y, como es obvio, principio y derecho fundamental no se
145
VIVANCO, Angela. “Curso de Derecho Constitucional”. Op. Cit. pp. 365.
Ibíd.
147
Ibíd. Pp. 364.
146
encuentran en la misma posición jurídica respecto de su exigibilidad. En esta
dirección, los últimos fallos del Tribunal Constitucional que han denegado el
acceso al contenido de los correos electrónicos de los funcionarios públicos
reflejan lo anterior, y tal como afirma el profesor Vial, el artículo 8 de la
Constitución que incorporó el principio de transparencia introdujo “un
principio general del derecho público chileno y no un derecho constitucional. La
existencia de un deber de publicidad impuesto al Estado no implica
necesariamente ni por sí solo que exista un derecho ciudadano de acceso a la
información (…) El que se entienda a la publicidad como un principio y no como
un derecho individual posee efectos posee efectos en la forma en que se
resolverán los eventuales conflictos que el acceso a la información produce (…)
La consecuencia es que entre la publicidad y la protección de otros derechos
constitucionales, es previsible que los tribunales prefieran, sin mayor cuestión,
proteger aquellos a costa de la publicidad”.148
Ahora bien, a nivel legal si se encuentra consagrado en Chile el derecho
de acceso a la información pública en la Ley N° 20.285. En este plano, el
Consejo para la Transparencia, a través de su reiterada jurisprudencia ha
utilizado en estos casos el ejercicio de ponderación denominado “Test de
daño”, que el propio organismo ha definido como el “balance entre el interés
de retener la información y el interés de divulgarla para determinar si el
beneficio público resultante de conocer la información solicitada es mayor que
148
VIAL, Tomás. Fallo Claude V. Chile de la Corte Interamericana de Derechos Humanos
y el Derecho a la Información en la Constitución, en Trigesimos Sextas Jornadas de
Derecho Público (30 de noviembre y 1 de diciembre de 2006, Santiago, Chile). Disponible
en sitio electrónico www.derecho.uchile.cl/jornadasdp/archivos/tomas_vial_solar.pdf
[Verificado el 06 de mayo de 2014].
el daño que podría causar su revelación”149, modelo que estaría tomado del
derecho comparado pero que sería aplicable al caso chileno siendo uno de los
criterios para resolver la aplicación de excepciones al principio de publicidad.
Por otro lado, el criterio ocupado por los tribunales considera que
cuando un derecho afecte a otro, aparece entonces un límite, debiendo ser
este límite razonable, aplicándose en este caso el test de razonabilidad150.
Entonces, se puede considerar que en el caso de los correos electrónicos de
los funcionarios públicos puede existir un punto de equilibrio, entre lo que
sería el derecho de acceso a la información pública (a los correos electrónicos
de los funcionarios públicos), y el derecho a la protección de la vida privada e
inviolabilidad de las comunicaciones. Ese punto de equilibrio puede estar
dado, por ejemplo, por el principio de divisibilidad consagrado en la Ley de
Transparencia, así como también por las instrucciones que reciba el
funcionario en el caso de existir regulación, genérica o no, respecto del uso de
los correos electrónicos institucionales en las reparticiones públicas.
Conclusiones
Es necesario asumir la realidad de que en la actualidad la utilización de
los correos electrónicos institucionales entre funcionarios de los distintos
servicios públicos ha ido en aumento, y la posibilidad de poder acceder o no a
estos y a su contenido ya ha sido abordada en distintos países, con distintas
149
CONSEJO PARA LA TRANSPARENCIA, Considerando 8°, Decisión Caso A45-09.
Disponible en http://productos3.legalpublishing.cl/CPLT/modulos/pages/busqueda.asp
[Verificado el 06 de mayo de 2014].
150
Esto implica asumir que, desde el punto de vista jurídico, que exista un fin lícito.
Desde un punto de vista fáctico, esto implica que sea necesario (ser la alternativa menos
gravosa); adecuado (medida idónea para alcanzar el fin deseado); y proporcional (que
no elimine completamente al otro derecho, ni vacié su contenido); Op. Cit, PP. 16-17.
soluciones. En este sentido será asunto del legislador determinar si se puede
acceder o no a los correos electrónicos institucionales de los funcionarios
públicos, o a su contenido, los casos y la forma en que esto se hará procedente,
así como el órgano que determinará si procede o no el acceso. A su vez, el
fundamento para que proceda el eventual acceso a estos correos viene dado
por la legitimación de corte democrática impuesta por la sociedad de derecho
en donde la ciudadanía toma un rol preponderante en lo que respecta a los
mecanismos de rendición de cuentas de las autoridades, entendiendo que este
es el bien superior que se encuentra en juego.
Una buena regulación en esta materia implicaría entonces tomar las
siguientes medidas:
1.- Dotar de mayor autonomía al Consejo para la Transparencia para el
ejercicio de sus funciones y perfeccionar la institucionalidad existente, ya que
si bien es correcto que exista un control de legalidad de las decisiones del
Consejo, no es razonable que el acceso a la información pública se dilate por
la interposición secuencial de múltiples recursos, como ha ocurrido en la
práctica. El derecho de acceso a la información solo es eficaz si se entrega de
manera oportuna, de ahí radica parte importante de su valor151.
2.- Reconocer expresamente el derecho de acceso a la información
pública como derecho fundamental. En este sentido, cabe destacar que
recientemente el Senado aprobó por unanimidad el proyecto de ley que
incorpora el principio de transparencia y el derecho de acceso a la información
151
Esta idea es afirmada por el Consejero Ferreiro en noticia disponible en
http://www.derecho.uchile.cl/centro-de-estudios-en-derecho-informatico/quienessomos/88570/academicos [Verificado el 06 de mayo de 2014].
pública como derecho fundamental a la Constitución, lo cual apunta en la
dirección correcta152.
3.- Regular, ojalá con normativa centralizada, el buen uso de los correos
institucionales, para las distintas reparticiones públicas y definir expresamente
en la ley al correo electrónico como parte de la documentación que se
entiende incorporada en la ley de acceso, y en virtud de lo anterior, establecer
los casos y bajo que procedimientos procede el acceso y a que contenidos
específicos153.
Por otro lado, la interpretación que ha hecho el Consejo respecto del
artículo 5° de la Ley de Transparencia, de que constituye una cláusula abierta,
y de que no es necesario que el legislador precise todas las fechas, soportes,
tipo de documentos y actos que son públicos es insuficiente para abordar el
tema. En este sentido, y tal como señala el profesor Jijena, es necesario definir
hasta donde llega, o cual es el alcance jurídico de la referencia a “todo otro
tipo de información que obre en poder de la administración, o que sea
152
Actualmente, se encuentra en trámite dicha reforma. Disponible en sitio electrónico:
http://www.proacceso.cl/noticia/comisi_n_de_constituci_n_aprueba_incorporaci_n_de
_principio_de_transparencia_en_la_carta_fun [Verificado el 06 de mayo de 2014].
153
A modo de ejemplo, el Gobierno Regional Metropolitano de Santiago ha dictado las
siguientes normas para regular el uso de los correos por parte de los funcionarios que
se desempeñan en el : 1)El uso del correo electrónico debe guardar relación con el
ámbito de competencia del Gobierno Regional Metropolitano de Santiago y tener como
finalidad el ejercicio de las funciones propias e inherentes por las cuales el usuario ha
sido contratado (…); 2) Para efectos de uso personal, el usuario deberá tener cuentas
de correo electrónico distintas a la institucional (…); 3)La información intercambiada por
este medio deberá restringirse a propósitos institucionales y el Gobierno Regional
Metropolitano de Santiago estará facultado para aplicar todas las medidas necesarias
para garantizar la estabilidad del servicio y uso correcto sujeto a la ley vigente (…); en
GOBIERNO REGIONAL METROPOLITANO DE SANTIAGO. Normas de Uso de Correo
Electrónico.
Recurso
electrónico;
en
línea
pp.
3-5.
En
http://fndr.gorerm.cl/intranet/archivos/politicas/pol.uso.correo.pdf [verificado el 28 de
abril de 2014]; también en MEZA ZAMBRANO, Francisco. ¿Tienen derecho a la
inviolabilidad de las comunicaciones los servidores públicos? Publicidad de los correos
electrónicos institucionales y la necesidad de ponderación. Op. Cit. PP. 370
elaborada con fondos públicos, contempladas en los artículos 5 y 10 de la Ley
N° 20.285…”154, para de esta forma satisfacer el estándar fijado por la
Constitución (para el derecho a la inviolabilidad de las comunicaciones) que
permita, por ejemplo, acceder al contenido de un determinado correo
electrónico.
154
JIJENA LEIVA, Renato. Tratamiento de Datos Personales en el Estado y Acceso a la
Información Pública. Revista Chilena de Derecho y Tecnologías, Centro de Estudios en
Derecho Informático, Universidad de Chile. Vol. 2 N° 2, 2013. Pp. 66.
El reto de la regulación de las bases de datos no nativas de información
personal.
El caso Google extrapolado a la situación costarricense
"No hay cosa más fácil que decir debéis; no la hay más difícil que
sostener la inquisición penetrante de un por qué." J. Bentham
Msc Juan Alejandro Herrera López.Abogado y Especialista en Ingeniería de
Software
Palabras claves
Datos personales, Google, Tribunal de Justicia Europeo, bases de datos,
Agencia Española de Protección de Datos, Normativa costarricense de
protección de datos, PRODHAB.
Hipótesis
Se ha venido dando un desarrollo regulatorio jurídico importante sobre las
bases de datos diseñadas para administrar datos personales, pero existe un
alto grado de indefinición normativa y regulatoria en el tratamiento de lo que
se denominarán bases de datos no nativas en información privada (bdnn).
Antecedentes del caso
A principios del mes de mayo del 2014, el Tribunal de Justicia de la Unión
Europea (TJUE) resolvió una controversia de un ciudadano español, que sintió
violentada su intimidad por cuanto la empresa Google mantenía en los
resultados de búsqueda de su herramienta, información que consideraba le
ocasionaba un daño en su imagen; específicamente una publicación de un
remate de sus bienes del año 1998 ante incumplimientos de su parte a la
seguridad social; dicha información constaba en la versión web de un periódico
español.
En primera instancia, el ciudadano se dirigió a la Agencia Española de
Protección de Datos (AGPD), esto con el fin de obligar tanto al diario que había
publicado la información del remate como a la empresa del buscador, el borrar
su información.
Al hacer el requerimiento a la empresa, la respuesta de Google fue que su
herramienta simplemente mapeaban una página existente en la web, además
que no se podía catalogar su actividad como “tratamiento de datos
personales” y aunque su actividad se considerará como tratamiento de este
tipo de datos, no tenían responsabilidad alguna sobre la información publicada
por terceros.
En este punto, resulta relevante contextualizar que la relación de Google y sus
subsidiarias, no sólo con la AGPD sino con varias oficinas de protección de
datos europeas era de por sí tirante, pues se había cuestionado varios aspectos
del actuar de la empresa, entre ellas las políticas de privacidad de cara al
usuario, por ser consideradas de naturaleza indefinida por la oficinas
europeas155. Por otra parte, se cuestionaban el filtro de la información privada
que se hace en servicios como Gmail con el fin de ofrecer servicios de
publicidad y se alegaba además en contra del almacenamiento por tiempo
indefinido de datos personales de ciudadanos. Todo lo anterior aunado al calor
de una aparente ausencia de cumplimiento por parte de la corporación
norteamericana de la normativa europea.
Como producto de la demanda interpuesta por el ciudadano español, se dictó
recientemente la sentencia sobre el asunto C-131/12 del 13 de mayo del 2014,
que marca un hito sobre la clasificación y tratamiento de la información
acumulada por los buscadores en internet, pero se considera que realmente
tendrá un impacto en general sobre los controles y consideraciones jurídicas
de lo que en este trabajo se denominará base de datos no nativas (bdnn),
término que de seguido se procede a explicar.
¿Qué es una bdnn?
Para efectos del presente análisis, se entenderá una bdnn como aquella base
de datos que inicialmente no está diseñada para gestionar datos personales,
pero que por los mecanismos automatizados de recolección de datos y la
cantidad de información que gestiona, hay una certeza absoluta que
resguardará datos privados.
155
Al respecto se puede ver http://eleconomista.com.mx/tecnociencia/2013/02/18/union-europea-apuntapolitica-privacidad-google
Desde el punto de vista técnico, el análisis se enfocará sobre aquellas bases de
datos que utilizan mecanismos como el caching156, usado en herramientas
como los buscadores; los cuales hacen una duplicación de páginas web en sus
propios servidores, con el fin de agilizar y mejora los procesos de indexación y
búsqueda de datos.
En principio, todo el proceso de recolección, extracción, indexación, resguardo
y búsqueda es automatizado.
En especial la actividad de recolección de información, se lleva a cabo por
componentes de software denominados robots, tal como se señala en la figura
siguiente:
Figura 1. Tomada de http://www.posicionamiento.mx/blog/seo/comofuncionan-los-motores-de-busqueda
156
La palabra procede de la voz inglesa cache (/kæȓ/; «escondite secreto para guardar mercancías,
habitualmente de contrabando») y esta a su vez de la francesa cache, (/kaȓ/; «escondrijo o escondite»)
Tomado de wikipedia
En el diagrama anterior, se facilita la visualización del proceso de llenado
automatizado de las bdnn. Este proceso inicia con una exploración de la web
mediante componentes denominados arañas o robots. Posteriormente se da
la extracción de la información en distintos formatos conforme a la fuente de
la información, y se procede a indexar y almacenar la información en
servidores locales con el fin de facilitar su procesamiento posterior y
búsqueda.
Sólo para tener como dato referencial, del alcance de este proceso al año
2008, Google había indexado un trillón de páginas web, esto es
1,000,000,000,000157.
Al ser automatizado, el robot extrae toda la información publicada sin distingo
alguno, por lo cual se puede asegurar que en este tipo de proceso llevado a
gran escala, tal como es el caso de Google, es certero que tarde o temprano se
recolectará datos personales.
Esquemas de protección de datos personales
Ahora bien, el tema de protección de datos, en especial de datos en el cloud,
reserva un delicado equilibrio entre el derecho de la persona al resguardo de
su intimidad, en contrapeso con la libertad de acceso sobre la cual se ha
cimentado internet y las necesidades de mecanismos que faciliten el
desarrollo de comercio electrónico.
157
Blog Oficial de Google http://googleblog.blogspot.com/2008/07/we-knew-web-was-big.html
Este tema ha suscitado a su vez una relación tirante entre la Unión Europea
(UE) y los Estados Unidos de América, ya que parten de visiones distintas del
tema, siendo la primera más estricta y de carácter regulatorio-estatal, y la otra
más laxa y derivada de un esquema contractual de los norteamericanos.
En la búsqueda de un equilibrio entre intimidad y comercio, ambas partes
desarrollaron una serie de principios mínimos, siete en total158 que permiten
la suscripción de dicho acuerdo por parte de empresa norteamericanas para
ofrecer servicios de outsourcing y gestión de datos en la zona europea.Esto
por cuanto sin duda, la legislación europea en especial la directiva 95/46/CE159,
es el paradigma de la regulación en la protección de datos personales.
Esta serie de principios se denominan “puerto seguro” en materia de
protección de datos, y constituyen un esquema que asumen de forma
voluntaria empresas que residen o resguardan la información personal de
ciudadanos europeo en países que no son de la UE, ni que tampoco han sido
homologadas por las autoridades europeas con nivel de protección similar al
de Europa.
Se pueden ubicar entonces, que al menos desde las perspectiva europea
existen tres esquemas de protección a la intimidad; la que se da a partir de los
estados europeos miembros de la Unión, la que deriva de aquellos estados
cuya condición de protección a la información personal ha sido homologada
158
“siete principios básicos, referidos a la notificación (información a los afectados), opción (posibilidad de
oposición de los afectados), transferencia ulterior a terceras empresas, seguridad, integridad de los datos
(principios de finalidad y proporcionalidad), derecho de acceso y aplicación (procedimientos para la satisfacción
de los derechos de los afectados). Dichos principios son, como se indicó, complementados con las "preguntas
más frecuentes", básicamente referidas a tipos específicos de datos o tratamientos. “ Ver www.agpd.es
159
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos.
por Europa, y la que se da a nivel de empresas que voluntariamente se
someten al esquema de “puerto seguro”, que es un requisito sine que non para
ofrecer servicios de outsourcing en la gestión de información personal en la
UE.
Un mismo dato, ¿distintos grados de protección?
Resulta interesante que aun en la normativa que regula la materia en un país
europeo como España, esto es la Ley Orgánica de Protección de Datos de
Carácter Personal (LOPD) del año 1999 -similar a la legislación costarricense tal
como lo veremos más adelante- enmarca un concepto amplísimo de base de
datos o fichero160. Aun así, no es viable asegurar que el legislador tuviera en
mente el caso de la bdnn, sino más bien se enfocaba en la regulación de
aquellas bases de datos que desde su concepción y diseño están orientadas a
resguardar datos personales.
Lo anterior, resulta verificable por ejemplo, cuando en la LOPD se regula en su
numeral 5, y sin excepción alguna, la recogida de datos ante solicitud del
recolector; aspecto que como vimos en anteriormente, no sucede en proceso
de recolección automática de datos propio de las bdnn donde no existe una
solicitud de recolección de la información personal.
Ahora bien, en la práctica esta no previsión legal, ni reglamentaria, ocasiona
que un mismo dato personal tenga diferentes mecanismos y esquemas de
protección, por un lado el dirigido a la regulación de base de datos originarias
160
“b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.” Definición de la misma LOPD
para el manejo de datos personales, a las cuales les asiste todo un andamiaje
de autorizaciones o verificaciones previas, como lo es el registro ante la AGPD
de la base de datos y la solicitud de autorización para la transferencia
internacional de datos, además del ejercicio de controles posteriores para
resguardo de los derechos ARCO, es decir con un esquema de protección doble
de controles exante y expost al proceso de recolección.
Sin embargo del otro lado, se tiene un esquema sin protección previa, al menos
sin definición normativa en el caso de las bdnn, lo que las ubica en una zona
gris y sujeta a un control administrativo o judicial posterior de las bdnn, que se
vino a abrir y confirmar con la sentencia en análisis.
Para ser más claro, se tiene el siguiente ejemplo; bajo el supuesto que una
empresa desarrolle un sistema informatizado para gestionar las relaciones con
sus clientes (CRM)161, probablemente al ser un sistema que recopilará y
resguardará información personal se deban cumplir con todos los controles y
autorizaciones previos definidos en la normativa. Ahora bien, si por algún
motivo esta información se pone al alcance público en internet, los
proveedores de servicios de búsqueda van a indexar y resguarda esos mismos
datos sin cumplir con ningún control o verificación previa.
Se da entonces una situación regulatoria que sobre un mismo dato, se darán
distintos esquemas de protección, obviamente derivado de que en el primer
caso, hay una base de datos diseñada para el manejo de información personal
161
Siglas de Customer Relationship Management;Sistemas informáticos de apoyo a la gestión de las
relaciones con los clientes, a la venta y al marketing
CRM; mientras que en el segundo la gestión de información personal no es
nativa, aunque altamente probable.
Obligando a los robots a olvidar. Caso AGPD vs Google
Partiendo de una inexistencia de regulación expresa sobre el uso de las bdnn,
se generó la consulta por parte de la AGPD al Tribunal Europeo, en el seno de
la controversia señalada, solicitando la posición del TJUE sobre la aplicabilidad
del concepto de tratamiento de datos personales en ese tipo de base de datos,
como un aspecto prejudicial que debía hacer aclarado de forma inicial por el
juzgador.162
Ante esa pregunta, el Tribunal definió que los buscadores de internet, al hacer
un ejercicio automatizado, constante y sistemático, llega a ubicar al proveedor
de ese servicio de búsqueda como responsable de tratamiento de datos
personales, aunque además recopile información de otra naturaleza. 163
Es importante reseñar, que en la sentencia europea se dieron otros dos
aspectos subsidiarios interesantes, que fueron motivo de amplio análisis en su
162
En este sentido la AGPD realizó el siguiente cuestionamiento, tratado en la misma sentencia que: En relación
con la actividad [de Google Search], como proveedor de contenidos, consistente en localizar la información
publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y
finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha
información contenga datos personales de terceras personas, ¿Debe interpretarse una actividad como la
descrita comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la [Directiva
95/46]?
163
Al respecto señaló el Tribunal en la sentencia que “Por consiguiente, debe declararse que, al explorar
Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el
gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente
en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y
«facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones
están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46, deben
calificarse de «tratamiento» en el sentido de dicha disposición, sin que sea relevante que el gestor del motor
de búsqueda también realice las mismas operaciones con otros tipos de información y no distinga entre éstos
y los datos personales.”
contenido. El primero es la posibilidad de aplicar la directiva europea a una
empresa norteamericana, donde los datos que estaban cuestionándose
estaban fuera de territorio de la UE, resolviendo el Tribunal que era
competente al tener el buscador un servicio de publicidad en conjunto con los
resultados, y poseer la empresa Google un establecimiento de venta de
servicios publicitarios en un estado miembro.164El TJUE resolvió que el caso en
estudio resultaba aplicable la Directiva 95/46/CE por el sólo hecho de tener
oficinas ubicadas en territorio de un estado miembro, Google Spain en España,
independientemente que el tratamiento de los datos se diera fuera del espacio
europeo.
Otro aspecto que resulta interesante, y que podría contener un elemento
controversial de la sentencia, el cual se desarrollará más adelante, se da en la
no aceptación del Tribunal del alegato de defensa presentado por Google;
corporación que alegaba que su buscador simplemente reproduce un dato que
está publicado en otro sitio web, específicamente en un periódico español, y
que por lo tanto la persona afectada debería gestionar contra el editor
principal.
Sobre este punto, inicialmente la AGPD indicó que el periódico lo publicaba
por orden de una instancia administrativa, y que se publicaba para darle en su
momento la mayor publicidad al proceso de remate que se iba a llevó a cabo
en el año 1998, por lo que no existía una obligación del periódico de eliminar
164
Al respecto señaló el Tribunal en la sentencia, lo siguiente “Sobre este particular, es necesario recordar que,
como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación de datos
personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien,
toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de
publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales
controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial SENTENCIA DE 13.5.2014 —
ASUNTO C-131/12I – 20 del establecimiento del responsable del tratamiento en territorio de un Estado
miembro, en el caso de autos el territorio español”
la información. No obstante consideraba que en el caso de Google si existía tal
obligación por estar gestionando un dato personal.165
En esta arista del tema, se puede ubicar una contradicción en su tratamiento
en el caso concreto; puesto que mientras se omite la responsabilidad del
editor español original, indicando que existen razones de interés en la
publicidad del dato y resultar el mismo de carácter periodístico para obviar
cualquier responsabilidad del mismo; esta condición no se comunica o traslada
al proveedor del servicio de búsqueda, sin resultar claro en la sentencia las
razones por las cuales no se da esa extensión de las causales de no
responsabilidad en la publicación del dato.
A pesar de lo anterior, si resulta claro de la sentencia del TJE, que hasta los
robots están obligados a olvidar datos personales, aun y cuando la información
original este publicada en la web.
Un fallo controversial
Es inherente al derecho que existan zonas de choque entre conceptos y
valores, en especial el tema de protección de datos genera está fricción entre
los valores de protección a la intimidad y privacidad, en contraposición a la
165
La sentencia señala al respecto que” (…) cabe señalar que, habida cuenta de la facilidad con que la
información publicada en un sitio de Internet puede ser copiada en otros sitios y de que los responsables de
su publicación no están siempre sujetos al Derecho de la Unión, no podría llevarse a cabo una protección eficaz
y completa de los interesados si éstos debieran obtener con carácter previo o en paralelo la eliminación de la
información que les afecta de los editores de sitios de Internet. Además, el tratamiento por parte del editor de
una página web, que consiste en la publicación de información relativa a una persona física, puede, en su caso,
efectuarse «con fines exclusivamente periodísticos» y beneficiarse, de este modo, SENTENCIA DE 13.5.2014
— ASUNTO C131/12I – 26 en virtud del artículo 9 de la Directiva 95/46, de las excepciones a los requisitos
que ésta establece, mientras que ése no es el caso en el supuesto del tratamiento que lleva a cabo el gestor
de un motor de búsqueda. De este modo, no puede excluirse que el interesado pueda en determinadas
circunstancias ejercer los derechos recogidos en los artículos 12, letra b), y 14, párrafo primero, letra a), de
la Directiva 95/46 contra el gestor, pero no contra el editor de dicha página web.
libertad de expresión y publicidad inherente en las sociedades democráticas.
Esta colisión de valores crea territorios jurídicos grises, altamente
controversiales, siendo este fallo un ejemplo de esa controversia, como de
seguido se detallará.
El abogado general de la Unión Europea, señor Nilo Jaaskinen, en la emisión
de su pronunciamiento dentro del procedimiento judicial previo a la emisión
de la sentencia, señaló que el mero hecho que los buscadores lleguen a
contener información personal por un proceso de indexación de internet, no
ubica al proveedor de ese servicio en la condición de responsable del
tratamiento de datos personales y por ende no tiene la obligación de suprimir
los datos indexados, ni un tercero tiene derecho a requerirlo.166
A opinión del asesor legal del TJUE, si un buscador indexa un dato existente en
otra página web -denominada página web fuente- cumple con lo dispuesto en
la Directiva europea, y tiene un descargo de responsabilidad por el dato
publicado. 167
166
Indicó el asesor legal lo siguiente “Un proveedor de servicios de motor de búsqueda en Internet cuyo motor
de búsqueda localiza información publicada o incluida en Internet por terceros, la indexa automáticamente, la
almacena con carácter temporal y, por último, la pone a disposición de los usuarios de Internet, «trata» datos
personales, en el sentido del artículo 2, letra b), de la Directiva 95/46 cuando esta información contiene datos
personales./Sin embargo, no se puede considerar al proveedor de servicios «responsable del tratamiento» de
tales datos personales, en el sentido del artículo 2, letra d), de la Directiva 95/46, a excepción de los contenidos
del índice de su motor de búsqueda, siempre que el proveedor del servicio no indexe o archive datos personales
en contra de las instrucciones o las peticiones del editor de la página web.(…) Los derechos de cancelación y
bloqueo de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, establecido en el artículo
14, letra a), de la Directiva 95/46, no confieren al interesado el derecho a dirigirse a un proveedor de servicios
de motor de búsqueda para impedir que se indexe información que le afecta personalmente, publicada
legalmente en páginas web de terceros, invocando su deseo de que los usuarios de Internet no conozcan tal
información si considera que le es perjudicial o desea que se condene al olvido.” ver
http://curia.europa.eu/juris/document/document.jsf?docid=138782&mode=req&pageIndex=1&dir=&occ=fir
st&part=1&text=&doclang=ES&cid=465271
167
Agrega el asesor lo siguiente: En la medida en que el enlace es adecuado, en el sentido de que los datos
correspondientes al término de búsqueda aparecen realmente o han aparecido en las páginas web enlazadas,
a mi juicio el índice cumple los criterios de adecuación, relevancia, proporcionalidad, exactitud y completitud,
establecidos en el artículo 6, letras c) y d), de la Directiva. En lo que respecta a los aspectos temporales a los
que se refiere el artículo 6, letras d) y e), de la Directiva (los datos personales han de estar actualizados y no
deben almacenarse más tiempo del necesario), estas cuestiones también deben examinarse desde el punto
Sin embargo, el Tribunal no retomó la posición del señor Jaaskinen, y tal como
se señaló antes, categorizó al proveedor del servicio como responsable del
tratamiento de datos, abriendo la puerta para requerir responsabilidades en
esa condición.
Sin embargo, tal como se señalará de seguido que esas obligaciones parten de
una normativa que no tenía como punto de partida la regulación de la bdnn,
lo que probablemente generará una incertidumbre en otros aspectos de cómo
los proveedores de servicios de búsqueda cumplirán dichas responsabilidades.
El gris en el tratamiento de las bdnn
Tal como se señala en la hipótesis de trabajo, existe un gris en la materia, este
gris se da tanto en la ley, puesto que a pesar de la amplitud que ostenta el
concepto legal de protección de datos y el desarrollo del mismo por la
sentencia del TJUE, la ley en su esencia contempla aspectos que técnicamente
no son compatibles con bdnn alimentadas mediante robots o arañas. Por
ejemplo como sería aplicable el consentimiento del afectado establecido en el
artículo 6 de la LOPD, cuando se ésta en un sistema automatizado de
duplicación de la web.
Además de este gris normativo, se suma que al día de hoy pareciera no existir
una claridad de los operadores jurídicos sobre el tratamiento de registro y
autorizaciones a los que se deben someter las bdnn. A manera de ejemplo,
haciendo una consulta al sitio web de la Agencia Española de Protección de
de vista del tratamiento de que se trata, es decir, la provisión del servicio de localización de la información, y
no como una cuestión relacionada con el contenido de las páginas web fuente.
Datos168, sobre las bases de datos registradas por la empresa Google y sus
subsidiarias, se puede ubicar que no se tiene registrada la base de datos
(fichero) que maneja el buscador principal, pero si se encuentra registrada la
base de datos denominada “Google Street View”, la cual es un conjunto de
imágenes de las calles donde aparecen personas y vehículos con identificación
difuminadas, surge la inquietud entonces en cuanto a qué los proveedores de
servicios de búsqueda van a tener que registrar sus bases de datos .
La sentencia del TJUE tendrá probablemente un doble impacto de las bdnn;
por un lado consolida y aclara la aplicabilidad de las regulaciones de
tratamiento de datos personales en este tipo de ficheros y confirma su control
posterior, pero además encamina al cuestionamiento sobre las razones por las
cuales una bdnn vaya a tener controles previos distintos de las base de datos
que originariamente están diseñada para gestionar información personal.
El caso costarricense
En el caso de Costa Rica, se emitió en fecha 5 de setiembre del 2011, mediante
Ley No. 8968, la denominada “Protección de la persona frente al tratamiento
de sus datos personales”, es una ley con bastante fuerza en el regulación del
tema, con multas bastante fuertes, pero en la cual tampoco se hace una
referencia a la regulación específica de la bdnn.
168
La consulta se realizó con el término “Google”, en el sitio
http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-idesidphp.php el día 27 de
mayo del 2014
Un aspecto de esta ley, es que a diferencia de la normativa española, no regula
propiamente la transferencia internacional de datos, ni toma en cuenta en su
texto aspectos como el “puerto seguro” en protección de datos; todo esto se
podría generar un marco normativo bastante estricto y rígido en su
implementación.
En el caso costarricense, y siendo la PRODHAB169 un ente de control y
regulación novel, pareciera que debe tener un papel importante en valorar las
implicaciones del tema a nivel nacional, considerando que no resultaría
recomendable asumir una posición similar a la TJUE, sin tener antes claros las
implicaciones que tendría la misma sobre los mecanismos de control de las
bdnn.
Conclusiones
A partir del análisis realizado, es factible llegar a las siguientes conclusiones:
1. Se tienen suficientes argumentos para confirmar la hipótesis planteada.
Existe hasta ahora una indefinición en las normas legales y
reglamentarias tanto en España como en Costa Rica, en cuanto a la
regulación y control de las bdnn, motivado en parte por cuanto no se
tenía claridad de la aplicación del marco de tratamiento de datos
personales en este tipo de base de datos.
169
La Agencia de Protección de Datos de los Habitantes (PRODHAB) es una institución adscrita al Ministerio de
Justicia y Paz, con desconcentración máxima.
2. La sentencia del TJUE avala de forma indiscutible, el tratamiento de las
bdnn dentro del esquema regulatorio de la protección de datos
personales. Sin embargo se considera que la sentencia podría presentar
ciertas inquietudes, en el orden de la técnica jurídica, al ubicarse
aspectos que podrían señalarse como contradictorios en la misma. En
ese sentido se considera que la posición asumida por el Abogado
General de la UE contiene una mayor consistencia técnica, al relevar la
responsabilidad del proveedor de un buscador -o para efectos del
presente análisis de una bdnn- en el tanto simplemente reproduzca la
información existente en internet.
3. Si bien la sentencia no detalla las razones por las cuales, más allá del
caso que viene a solventar, resulta aplicable la normativa de protección
de datos a las bdnn, la razón de esta situación se da por cuanto los
robots y arañas no identifican el tipo de dato que extraen, por lo que al
tener toda una plataforma para incorporar datos, existe una certeza que
los proveedores de grandes bdnn, tal como los buscadores en internet,
almacenan información personal.
4. La posición de la sentencia del TJUE genera grandes interrogantes, sobre
todo en los controles exante sobre las bdnn, puesto que al consolidar la
naturaleza de tratamiento de datos personales en este tipo de base de
datos, no pareciera que exista razón alguna para que no estén sujeto a
los registros y autorizaciones que le son aplicables a las bases de datos
originarias para el tratamiento de datos personales.
5. En el caso de Costa Rica, resulta necesario obtener conclusiones
cuidadosas y sustentadas técnicamente de la sentencia europea, con el
fin de determinar si se seguirá el mismo camino que el señalado por el
TJE, y de ser así hacer los por parte de la PRODHAB proponer los ajustes
reglamentarios y procedimentos para regular las bdnn
Premisas de la libertad de expresión en internet y análisis crítico de los
lineamientos de la jurisprudencia europea. Del olvido de la cuestión al olvido
de la libertad de expresión en la sentencia del derecho al olvido
Ponencia presentada al XVIII Congreso Iberoamericano de Informática y
Derecho
1.- Legislación y jurisprudencia informática: Internet y fortalecimiento de la
democracia
Lorenzo Cotino Hueso*
Profesor titular de Derecho Constitucional. Universidad de Valencia.
Coordinador de la Red de especialistas en Derecho de las Nuevas Tecnologías
de la Información y Comunicación (TICs) www.derechotics.com Magistrado.
Palabras clave: jurisprudencia, libertad de expresión, internet, medios de
comunicación, redes sociales, Google, derecho al olvido, protección de datos,
responsabilidad de intermediarios.
Resumen
A diferencia de Norteamérica, los tribunales supranacionales europeos
hasta 2012 olvidaron prácticamente el fenómeno de internet desde la libertad
*
www.cotino.es (ahí puede accederse al texto completo de muchas publicaciones). Es coordinador de
la Red de especialistas en Derecho de las Nuevas Tecnologías de la Información y Comunicación,
www.derechotics.com . El presente estudio se realiza como investigador principal del Proyecto MINECO
"Régimen jurídico constitucional del Gobierno 2.0-Open government. Participación y transparencia
electrónicas y uso de las redes sociales por los poderes públicos” (DER2012-37844), así como Miembro del
Grupo de Investigación, Derecho en tecnologías de la información, la comunicación y cyber law (G-TICCY) de
la Universidad Católica de Colombia.
de expresión. Y cuando se ha prestado la atención en los tiempos más
recientes como respecto del derecho al olvido, se ha olvidado de la libertad de
expresión. Se pretende reafirmar que la libertad de expresión e información
no queda reservada a tradicionales medios de comunicación –si es que hoy
días los hay-. Se señalan los peligros que implica para las libertades
informativas esta negativa inercia jurisprudencial. Frente esta corriente, se
sostiene que, “por defecto”,
la libertad de expresión e información se
generaliza a toda difusión de ideas, opiniones e informaciones de interés
público que se lleve a cabo tanto por grandes prestadores de servicios o
intermediarios de internet cuanto por los los miles de millones de usuarios. La
clave reside esencialmente en la especial protección constitucional de los
contenidos de interés público y esta condición no viene determinada por el
sujeto que los produce o los difunde. De igual modo, se aboga por el
reconocimiento a los grandes prestadores e intermediarios de la garantía
institucional que tradicionalmente ha reforzado hasta la fecha a los medios de
comunicación. En segundo lugar, se recuerda que los tribunales europeos no
han afrontado la libertad de expresión e información en internet hasta fechas
recientes. En todo caso, se analizan las líneas jurisprudenciales tanto del TJUE
cuanto del TEDH. Se llama especialmente la atención sobre la decisión del
TEDH de 2013 en el caso Delfi vs. Estonia en materia de responsabilidad por
contenidos ilícitos en internet. Queda pendiente la sentencia definitiva de la
Gran Sala. También, se analiza la sentencia del caso Google vs. España sobre el
derecho al olvido de 2014 y sus posibles consecuencias. Se critica
especialmente que dicha sentencia “olvida” la libertad de expresión e
información en internet. Esta sentencia unida al caso Delfi pueden suponer un
giro hacia un internet más controlado, con importantes consecuencias para la
libertad de expresión. Para concluir, se sostiene que el legislador no puede
eludir más su responsabilidad y dejar totalmente en manos de los tribunales
estas cuestiones.
Contenido:
I. Premisas jurisprudenciales de las que partir ....................................... 246
1. La libertad de expresión e información protege la difusión de opiniones e
informaciones por cualquier sujeto a través de cualquier canal, modo o
medio .................................................................................................. 246
2. Apoyos jurisprudenciales a la tesis de la necesidad de extender la
protección especial de los medios de comunicación clásicos a los prestadores
de servicios ......................................................................................... 250
3. Una inercia jurisprudencial negativa: se reserva a los medios de
comunicación clásicos la protección constitucional más intensa......... 252
II. Lineamientos jurisprudenciales en Europa relativos la libertad de expresión
e información en internet ...................................................................... 257
1. El caso Ahmet Yıldırım c. Turquía de 2012, primera sentencia del TEDH que
aborda frontalmente la protección de la libertad de expresión en internet y
las garantías de legalidad .................................................................... 258
2. La preocupante STEDH en el caso Delfi vs Estonia de 2013 y la
responsabilización de los intermediarios por los contenidos que alojan260
3. Diversos criterios sobre la libertad de expresión e información por el TJUE
............................................................................................................ 266
4. El “olvido” de la libertad de expresión en razón del derecho al olvido. La
STJUE del caso Google vs AGPD de 2014 ............................................. 269
III. Para concluir. La necesidad de que el legislador democrático asuma su papel
para proteger las libertades informativas y otros derechos fundamentales en
internet .................................................................................................. 274
I. Premisas jurisprudenciales de las que partir
1. La libertad de expresión e información protege la difusión de opiniones e
informaciones por cualquier sujeto a través de cualquier canal, modo o medio
Salvando muy destacadas firmas, que por lo general hemos trabajado de
forma conjunta170, no son muchos los autores en la literatura científica
española que hayan mostrado interés por las libertades en la red171, a
170
Me permito recordar algunos de mis trabajos especialmente como coordinador, publicados en la
materia, entre otros, “Algunas claves para el análisis constitucional futuro de las libertades públicas ante las
nuevas tecnologías (con especial atención al fenómeno de los “blogs”)”, en AA.VV. Estudios jurídicos sobre la
sociedad de la información y nuevas tecnologías, Facultad de Derecho de Burgos, Burgos, 2005, pags. 51-76.
También, “Nuestros jueces y tribunales ante internet y la libertad de expresión: el estado de la cuestión”, en
COTINO HUESO, Lorenzo (Coord.), Libertad en internet…, cit. así como el estudio introductorio a la obra.
“Nuevas tecnologías, desafíos y posibilidades para la libertad de expresión”, publicación de la Ponencia en las
III Jornadas de Derecho constitucional “Constitución y libertad de expresión”, Fundación Giménez AbadCortes de Aragón- Uned, Barbastro (Huesca) 7-8 de noviembre de 2008, disponible en http://goo.gl/cBkEa
He coordinado obras monográficas como COTINO HUESO, Lorenzo (Coord.), Libertades, democracia y
gobierno electrónicos, Comares (Colección Sociedad de la Información, nº 9), Granada, 2006: Libertad en
internet. La red y las libertades de expresión e información, Tirant lo Blanch, Valencia, 2007; Libertades de
expresión e información en Internet y las redes sociales: ejercicio, amenazas y garantías, PUV (Publicaciones
de la Universidad de Valencia), Valencia, 2011,CORREDOIRA Y ALFONSO, Loreto y COTINO HUESO Lorenzo
(eds.) Libertad de expresión e información en Internet. Amenazas y protección de los derechos personales,
Centro de Estudios Políticos y Constitucionales, 2013.
171
En España, hay que destacar los trabajos iniciales de FERNÁNDEZ ESTÉBAN, María Luisa, Nuevas
Tecnologías, Internet y Derecho Fundamentales, Mc-Graw Hill, 1998, así como los numerosos trabajos de BOIX
PALOP, Andrés, “Pluralismo y libertad de expresión en la Red”, publicado en Revista española de Derecho
constitucional, nº 65, mayo-agosto 2002, págs. 133-180, accesible en http://www.uv.es/aboixp, así como en
BOIX PALOP Andrés y LÓPEZ GARCÍA, Guillermo, “Derecho y cuarto poder en la era digital”, en Revista de
Estudios Políticos (nueva época), Núm. 130, Madrid, octubre-diciembre (2005), págs. 73-108 y en “Soporte
digital, autoría e industria cultural”, Revista de Estudios Políticos (nueva época), Núm. 131, Madrid, eneromarzo (2006), págs. 53-86. Asimismo, una monografía de la cual son editores, La autoría en la era digital:
industria cultural y medios de comunicación, Valencia, Tirant Lo Blanch, 2006. Fue un clásico, VILLATE, Javier:
“La libertad de expresión en Internet: Retos y amenazas”, Versión 1.0, Borrador de trabajo sobre la libertad
de expresión en la Red y los sistemas de filtrado, por Javier Villate. Documento presentado en la
comparecencia de David Casacuberta, presidente de FrEE , ante la Comisión Especial del Senado sobre
Internet, 16 de junio de 1998, acceso en internet. Es sencillo y muy destacable FERNÁNDEZ RODRÍGUEZ, José
Julio, Lo público y lo privado en internet. Intimidad y libertad de expresión en la red, UNAM, Méjico, 2004.
diferencia de la siempre más rentable atención del fenómeno de la protección
de datos.
Frente a las negativas corrientes que luego se indican, como he sostenido
en otros lugares desde hace tiempo, las libertades informativas se reconocen
a toda persona (aunque no sea empresa de comunicación o periodista) que
emita información veraz o exprese opiniones, así como a la colectividad que
las recibe. No se trata de una afirmación nueva, puesto que lo cierto es que
antes de internet, ya se afirmaba que las libertades informativas eran de todos
los ciudadanos. En aquellos tiempos estas afirmaciones, si se me permite,
salían gratis. Así el TS de EEUU diría que “la libertad de la prensa es el derecho
de un solo panfleto... al igual que el de la más importante publicación
metropolitana”172. La sentencia Engels del TEDH, de 8 de junio de 1976 afirmó
También hay que mencionar especialmente los trabajos de, CORREDOIRA y ALFONSO, Loreto Los retos de la
información en internet. Las libertades de acceso y difusión. Seminario Complutense de Telecomunicaciones
e Información. Madrid, diciembre, 1998 y el libro colectivo, La libertad de información. Gobierno y arquitectura
de internet, Universidad Complutense, Madrid, 2001, y los trabajos de esta autora en obras que he
coordinado. Destacan desde el inicio los diversos estudios de GARCÍA MORALES, María Jesús, “Nuevas
tecnologías y libertad de expresión: regulación, autorregulación y filtros en internet”, en COTINO HUESO,
Lorenzo (Coord.), Libertades, democracia y gobierno electrónicos, Comares (Colección Sociedad de la
Información), Granada, 2005 y algunos trabajos en CASANOVAS, Pompeu Internet y pluralismo jurídico:
Formas emergentes de regulación, Comares, Granada, 2003. Más recientemente, “La prohibición de la censura
en la era digital”, en Teoría y Realidad Constitucional, nº 31, 2013, págs. 237-276. También inicialmente bajo
el enfoque penal, MORALES PRATS, Fermín y MORALES GARCÍA, Óscar, (coords.), Contenidos ilícitos y
responsabilidad de los prestadores de servicios de Internet, de la Revista Derecho y Proceso Penal, Aranzadi,
noviembre de 2002.
Prácticamente todos los autores citados han realizado estudios en el marco de las obras colectivas que
he tenido el gusto de coordinar sobre libertad de expresión en la red y se citan en este estudio, que incluyen,
además, otras veinte firmas destacadas en la materia. Asimismo, cabe destacar los estudios contenidos en la
Revista Catalana de Derecho Público (segunda etapa de la Revista "Autonomías"), monográfico sobre "la
incidencia de las TIC en el Derecho público”, núm. 35, 2007, en particular, VILLAVERDE MENÉNDEZ, Enrique,
“Ciberconstitucionalismo. Las TIC y los espacios virtuales de los derechos fundamentales”.
172
Así, el Tribunal Supremo de Estados Unidos, en el caso Branzburg v. Hayes de 29 de junio de 1972,
(“liberty of the press is the right of the lonely pamphleteer … as much as of the large metropolitan publisher.”)
que “Está claro que la libertad de expresión garantizada por el artículo 10 [del
CEDH que reconoce la libertad de expresión] es aplicable a todas las personas”
(Apartado 100). Como luego se insiste, el TJCE en 2008173 afirmó que la
importancia de la libertad de expresión impone interpretar ampliamente la
noción de “periodismo” hacia “toda persona que ejerza una actividad
periodística” (nº 58). Se señala que difundir información con ánimo de lucro
no excluye que se trate de fines periodísticos, “el soporte en el que se
transmiten los datos, clásico como el papel o las ondas de radio, o electrónico
como Internet, no es determinante para apreciar si se trata de una actividad
«con fines exclusivamente periodísticos” (nº 60)174, de manera que las
“actividades periodísticas” “No están reservadas a las empresas de medios de
comunicación y pueden ejercerse con ánimo de lucro.” (n. 61)
Según se adelantado, el TS de EEUU asentó con claridad la premisa de que
Internet es un canal de comunicación que queda protegido por la libertad de
expresión e información (ACLU vs Reno de 1997). Este mismo punto de partida
se ha reconocido sin valor jurídico normativo en diversas declaraciones
internacionales “Los Estados miembros no han de colocar restricciones a los
contenidos en Internet que vayan más allá de las aplicadas a otros medios de
difusión de contenidos.” (principio nº 1 de la “Declaración sobre la libertad de
comunicación en internet”, del Consejo de Europa de 28 de mayo de 2003175).
Más recientemente, destaca la Declaración conjunta sobre libertad de
expresión e internet de 2011 por altas instituciones internacionales de libertad
173
STJCE (Gran Sala) de 16 de diciembre de 2008, cuestión prejudicial asunto C 73/07.
174
En especial ver los apartados 56 a 61.
175
Aprobada por el Comité de Ministros en el marco de la 840ª Reunión.
de expresión, incluyendo la ONU, OSCE o la OEA176. Su punto de partida es
contundente:
“La libertad de expresión se aplica a Internet del mismo modo que a todos
los medios de comunicación. Las restricciones a la libertad de expresión en
Internet solo resultan aceptables cuando cumplen con los estándares
internacionales que disponen, entre otras cosas, que deberán estar previstas
por la ley y perseguir una finalidad legítima reconocida por el derecho
internacional y ser necesarias para alcanzar dicha finalidad”. (I, principio
general a).
La premisa de que todos los ciudadanos son titulares de las libertades
informativas también se ha afirmado por el Tribunal Constitucional español,
aunque aún no para internet177. No obstante, ha señalado que hay una
protección “más intensa” de estas libertades cuando se ejercen por empresas
y periodistas, por ser los agentes que cumplen una “función constitucional” a
través de un “vehículo institucionalizado” (STC 165/1987 y otras)178. Pero esta
intensidad, dijo luego, sólo es respecto del derecho a la cláusula de conciencia
y al secreto profesional. Las empresas de comunicación y periodistas “en modo
176
http://www.oas.org/es/cidh/expresion/showarticle.asp?artID=849&lID=2
177
La libertad de expresión de opiniones se reconoce a toda persona (arts. 16 y 20. 1. a) CE). También,
la libertad de información (art. 20. 1º d) CE) se reconoce “a cualquier otra persona que facilite la noticia veraz
de un hecho y a la colectividad en cuanto receptora de aquélla (por todas, SSTC 6/1981, 105/1983, 168/1986,
165/1987, 6/1988, 176/1995, 4/1996)”.
178
Afirmó que “la protección constitucional de la libertad de expresión [también para la libertad de
información] “«alcanza un máximo nivel cuando ... es ejercitada por los profesionales de la información a
través del vehículo institucionalizado de formación de la opinión pública que es la prensa, entendida en su
más amplia acepción» (STC 165/1987), donde se incluyen sus modalidades cinematográfica, radiofónica o
televisiva, cuya actividad hemos calificado también como «función constitucional»”. La cita corresponde a la
sentencia 176/1995, de 11 de diciembre, en ese caso respecto de la libertad de expresión, en la sentencia
154/1999, de 14 de septiembre la misma cita respecto de la libertad de información.
alguno” tienen un derecho fundamental reforzado, más allá de estas garantías
especiales (como el secreto del periodista) 179.
Es, pues, capital que el punto de partida sea el reconocimiento de las
libertades informativas a todo contenido veraz de interés público, aunque éste
sea transmitido en internet y pese a que no sea a través de periodistas o
habituales medios de comunicación social.
2. Apoyos jurisprudenciales a la tesis de la necesidad de extender la protección
especial de los medios de comunicación clásicos a los prestadores de servicios
No sólo se trata de reconocer en general a internet y sus usuarios el
ejercicio de estas libertades. Me atrevo a afirmar que la garantía institucional
reconocida clásicamente a los medios de comunicación social, y que refuerza
jurídicamente la posición de los medios, ya no sólo debe atribuirse a éstos, sino
que también debe reconocerse especialmente a determinados prestadores de
servicios de la sociedad de la información. Qué duda cabe que el buscador
Google, o el servidor de vídeos Youtube o la enciclopedia interactiva Wikipedia,
por citar algunos, son elementos esenciales para el acceso a la información en
la actualidad. Es cierto que estos grandes prestadores de servicios, de natural
tienen una posición materialmente reforzada por su enorme relevancia
económica y social en el mundo moderno, pero deben contar también con el
179
El Tribunal Constitucional rectificó y dijo que con dicha afirmación “en modo alguno se quiso decir
que los profesionales de la información tuvieran un derecho fundamental reforzado respecto a los demás
ciudadanos; sino que, al hallarse sometidos a mayores riesgos en el ejercicio de sus libertades de expresión e
información, precisaban —y gozaban de— una protección específica. Protección que enlaza directamente
con el reconocimiento a aquellos profesionales del derecho a la cláusula de conciencia y al secreto profesional
para asegurar el modo de ejercicio de su fundamental libertad de información (STC 6/1981)”. Sentencia
199/1999, de 8 de noviembre, reiterada en sentencia 225/2002, de 9 de diciembre de 2002.
reconocimiento reforzado de una garantía institucional o la dimensión objetiva
de los derechos fundamentales, lo cual en modo alguno implica la mayor
libertad que pueda venir conferida por la su actual falta de regulación alguna.
Lo mismo, y especialmente, cabe decir de las herramientas que facilitan la
interactuación y el debate entre los usuarios de internet, especialmente las
herramientas más empleadas de la llamada web 2.0. En este punto, las redes
sociales, así como habituales foros o espacios colaborativos son instrumentos
específicos e idóneos no sólo para el acceso a la información, sino para la
generación de información y contenidos y, en fin, para el ejercicio de las
libertades informativas. De este modo, debe reconocerse también a los
grandes prestadores de estos servicios la garantía institucional que en su caso
puede reforzar las garantías en cada caso concreto.
Cabe recordar en este sentido que en España desde la STC 12/1982 (FJ
3º) se atribuye una garantía institucional a la “opinión pública libre”, dado que
ésta es esencial para el sistema democrático. Se afirma desde entonces que
“La preservación de esta comunicación pública libre sin la cual no hay sociedad
libre ni, por tanto, soberanía popular, exige la garantía de ciertos derechos
fundamentales comunes a todos los ciudadanos, y […] también una especial
consideración a los medios que aseguran la comunicación social y, en razón de
ello, a quienes profesionalmente los sirven.” Aunque se relativiza desde los
años noventa, en razón de esta garantía o la dimensión objetiva de la libertad
de expresión e información se refuerza la prevalencia de la posición de los
medios de comunicación, lo cual se observa especialmente en el juicio y
ponderación del interés público en el ejercicio de las libertades informativas
(ver entre otras muchas las SSTC 104/1985, FJ 5º; 159/1986, FJ 6º; SSTC 171 y
172/1990 O STC 21/2000, o más recientemente la STC 9/2007, FJ 4º).
Obviamente, no se trata de un efecto automático que implique una
ponderación siempre favorable a los medios de comunicación, sino que la
situación se analiza en cada caso concreto.
Parafraseando la referida argumentación constitucional, creo que hoy día
es indiscutible que sin los prestadores de la sociedad de la información que
permiten el acceso a la información y la generación de contenidos y la
interactuación de los usuarios “no hay sociedad libre ni, por tanto, soberanía
popular”, por lo que merecen “una especial consideración a los medios que
aseguran la comunicación social”.
Aunque las ha ignorado por completo la sentencia definitiva, claramente
contraria a las mismas, las conclusiones de 26 de junio de 2013 del Abogado
General Jääskinen del caso Google vs AGPD fueron rotundas al afirmar que
“Poner contenidos a disposición del público en Internet equivale, como tal, a
la libertad de expresión […] La publicación en la web es un medio para que los
particulares participen en debates o difundan sus propios contenidos, o
contenidos cargados por otros, en Internet” (ap. 122). A mi juicio no hay que
desdeñar tales afirmaciones, si bien que cabe puntualizar que se ejercen las
libertades de expresión e información cuando se trata de contenidos de
interés o relevancia pública.
3. Una inercia jurisprudencial negativa: se reserva a los medios de
comunicación clásicos la protección constitucional más intensa
Desde sectores políticos y jurídicos como desde los medios de
comunicación clásicos se pretende reservar sólo para estos últimos una
libertad de expresión, información y de prensa reforzada y con garantías
específicas (privilegios) que no se extiendan en general a internet180. Se trata
de cierta inercia sociológica y jurídica en nuestros tribunales de reservar, más
o menos veladamente, las libertades informativas para los medios de
comunicación, digámoslo así, clásicos181. Así, en España el TS ratificó una
sanción de la AEPD por la difusión de información sobre Guardias Civiles
condenados por torturas en una web de la Asociación contra la tortura,
considerando tales contenidos estaban excluidos de la libre expresión e
información182. La Sala declaró, sin más explicación, que las concretas
conductas sancionadas nada tienen que ver ni con la libertad de expresión, ni
con el derecho a la información, en relación a la tortura y a la denuncia de tan
execrable práctica (FJ 9º). En concreto, afirma el Tribunal Supremo que “la
libertad de información "alcanza su máximo nivel cuando la libertad es
180
Así llamó la atención inicialmente en Estados Unidos, entre otros, SUNSTEIN, Cass R., República.com.
Internet, democracia y libertad, Paidós, Madrid, 2003. En inglés, Republic.com, Princeton University Press,
2001; BALKIN, Jack M., “Digital Speech and Democratic Culture: A Theory of Freedom of Expression for the
Information Society” . New York University Law Review, Volume 79, april 2004, n. 1, págs. 1-58, disponible en
http://ssrn.com/abstract=470842 o RIBSTEIN, Larry Edward, “Initial Reflections on the Law and Economics of
Blogging” (April 4, 2005). U Illinois Law & Economics Research Paper No. LE05-008.
http://ssrn.com/abstract=700961 También de este autor, en “Bloggers and Their First Amendment
Protection,” vol. 57, no. 3 Otoño 2003 issue of “The Neiman Reports,” The Neiman Foundation for Journalism
at Harvard University. http://www.nieman.harvard.edu/reports/03-3NRfall/95-96V57N3.pdf ; WU, Tim, Who
Controls the Internet, Oxford U. Press 2006, entre otros. En Reino Unido, LIPSCHULTZ, J. H., Free expression
in the age of the internet, Westview Press, Boulder-Oxford, 2000 o recientemente, PACKARD, A., Digital
Media Law, Willey-Blackwell, Oxford, 2010.
181
Este criterio, que se vislumbra en SSTC la 136/2004, de 13 de septiembre, FJ 5º recordando la
doctrina de del vehículo utilizado para difundir la información, en particular si éste es un medio de
comunicación social (SSTC 107/1988, de 8 de junio, y 15/1993, de 18 de enero; STC 54/2004, de 15 de abril,
FJ 3).
182
Se trata de STS de 26 de junio de dos mil ocho, recurso: 6818/2003. Asociación contra la tortura
contra las Resoluciones del Director de la Agencia de Protección de 4 de septiembre y 3 de octubre de 2000.
ejercitada por los profesionales de la información a través del vehículo
institucionalizado de formación de la opinión pública, que es la prensa” (FJ 6º).
Esta tendencia negativa encontró su máxima expresión en una muy
desafortunada resolución de la APD, que llegó a fundamentar una sanción en
que:
“Las páginas web del imputado no pueden ser consideradas medios de
comunicación social sin que quepa invocar el ejercicio y prevalencia del derecho
de libertad de información que derivaría en una prevalencia general que
aboliría de facto al protección de datos personales. Y que desvirtuaría el
equilibrio entre derechos sostenido sobre el derecho de la sociedad a ser
informada a través de los medios de comunicación y el de los ciudadanos a la
autodeterminación informativa y privacidad sostenido sobre el derecho de
protección de datos.”183.
En otras palabras: un ciudadano no puede atreverse a alegar la libertad
de expresión. Eso es cosa de medios de comunicación. Esta resolución fue
anulada por la Audiencia Nacional en 2012184 por lesión de la libertad de
expresión; no obstante, son varias las resoluciones con esta tendencia de la
AGPD185.
Detrás de esta corriente tendente a la no generalización de las libertades
plenamente a internet parece latir que los grandes prestadores de servicios
183
Resolución 211/2010, PS 439/2009, CITA denunciada por al U. Politécnica de Madrid por difusión
de enlaces y vídeos externos en crítica por competencia desleal de algunos profesores.
184
Así en la sentencia de 11 de abril de 2012 en el P.A. 03078/2010.
185
Así lo analizo en COTINO HUESO, Lorenzo, “Datos personales y libertades informativas. Medios de
comunicación social como fuentes accesibles al público (Art. 3 de la LOPD)” en TRONCOSO REIJADA, Antonio
(dir.) Comentario a la Ley Orgánica de Protección de Datos Personales, Thomsom-Civitas, Cizur Menor, 2010,
págs. 289-315 (acceso completo en internet).
tienen una finalidad económica que los aleja del “mercado de las ideas”,
quedándose sólo en mercado. Bien se considera que los individuos a través de
sus blogs, webs y especialmente en las redes sociales, no son periodistas
fiables que merezcan la intensa protección constitucional. Subyace,
obviamente, la realidad de la escasa fiabilidad de la información no profesional
que inunda internet, así como la frivolidad, banalidad e irresponsabilidad tan
habitual de los millones de usuarios de blogs y redes sociales cuando difunden
o redifunden información. También parece que tras esta corriente de reservar
las libertades a los medios de comunicación social late la realidad de que es
muy difícil sino imposible localizar al autor real de una información ilícita en la
red o, en su caso, perseguir efectivamente las misma.
El reflejo natural ante estas circunstancias parece ser el de mermar la
protección constitucional a los usuarios de internet a favor de los medios y
periodistas más clásicos. Sin embargo, a mi juicio ello es un error importante
de punto de partida, porque la extensión de la libertad de expresión e
información a quien genere ideas o información de interés público en internet
no empece que vaya acompañada de las exigencias de veracidad y diligencia
de la información, así como del análisis de si tal información efectivamente
tiene interés público y relevancia que le lleve a gozar de una especial
protección.
Aunque se han mencionado algunos supuestos, no siempre es fácil
percibir directamente los efectos de esta corriente, que no son pocos. La AGPD
por ejemplo, no se atreve a analizar supuestos relativos a la difusión de
información por medios de comunicación convencional, reenviándolos a los
tribunales civiles en razón de la aplicación de la Ley 1/1982. Sin embargo, en
casos similares de páginas web los analiza sin problema alguno imponiendo las
sanciones que correspondan. De igual modo, cuando efectúa una ponderación
del interés público de lo informado, tiende a considerarse que los blogs y webs
particulares informan de cuestiones de interés sectorial que no merecen la
intensa protección de las libertades186.
Esta negativa inercia es la que, también, hace casi impensable que una
autoridad administrativa pueda resolver cerrar un periódico o televisión sin
una resolución judicial; mientras que la legislación permite como regla general
el bloqueo o retirada de contenidos sin clara actividad judicial187. La AGPD
resuelve la comisión de infracciones e impone sanciones efectuando
ponderaciones relativas al artículo 20 CE en supuestos de difusión de datos
personales en internet. Es más, en la instrucción de procedimientos relativos
a una página web o los contenidos de una red social, la Agencia puede requerir
la cesación de la difusión de datos personales, o inmovilizar directamente, en
otras palabras, puede bloquear el acceso o cerrar una web (art. 49 LOPD). Se
hace impensable que esto pudiera hacerlo respecto de los medios clásicos.
También, esta corriente que concentra la protección de la libertad de
expresión en internet a favor de los medios clásicos, es la que lleva a que sólo
de un profesional de la información cuente con el derecho a no revelar las
fuentes. Así las cosas, quedaría excluida esta garantía por ejemplo a Wikileaks
o similares, esto es, a quien revele en internet secretos facilitados sin ser un
186
Así lo analizo en el trabajo citado en la nota anterior.
La cuestión es de extraordinaria complejidad, en tanto en cuanto no está constitucionalmente clara
la exigencia de resolución judicial más que en el caso del secuestro judicial. La Ley 34/2002 dispone en su
artículo 8 que sólo en los casos que la Constitución o las leyes dejen clara la necesidad de actividad judicial
para preservar la libertad de expresión e información, ésta será necesaria.
187
profesional de la información. En este caso, bien es cierto, es la propia
Constitución la que afirma la condición “profesional” del secreto.
Reservar de manera excluyente la protección más intensa de las
libertades a los medios de comunicación clásicos es un punto de partida que
amordaza la libertad de expresión e información en la red bajo la espada de
Damocles de severísimas sanciones administrativas o penales.
II. Lineamientos jurisprudenciales en Europa relativos la libertad de expresión
e información en internet
A diferencia de EEUU donde desde 1997 el TS empezó a fijar elementos
básicos en la materia, los grandes tribunales europeos han intentado rehuir las
cuestiones clave de libertades informativas en internet188. Así, a diferencia de
Norteamérica, los tribunales supranacionales europeos hasta 2012 olvidaron
prácticamente el fenómeno de internet desde la libertad de expresión. Y
cuando se ha prestado la atención en los tiempos más recientes como respecto
del derecho al olvido, se ha olvidado, si se me permite, de la libertad de
expresión. Bien es cierto que, a la fuerza de los años se van fijando algunas
premisas importantes sobre libertad de expresión en internet y la
responsabilidad y obligaciones que implican para los prestadores. Ello ha sido
así normalmente en procedimientos no centrados en la libertad de expresión,
sino sobre competencia desleal, protección de la propiedad industrial e
188
Como analicé en COTINO HUESO, Lorenzo, “Nuestros jueces y tribunales ante internet y la libertad
de expresión: el estado de la cuestión”, en COTINO HUESO, Lorenzo (Coord.), Libertad en internet…, cit., págs.
150 y ss. sólo se aborda incidentalmente el fenómeno de internet respecto de la libertad de expresión en el
caso Lindqvist del TJUE en 2003 (centrado en protección de datos) y la STEDH de 18 mayo 2004, caso Plon
(société) v Francia sobre el secuestro del libro del médico personal de Mitterrand.
intelectual o del derecho de protección de datos. Con estos mimbres debe
interpretarse la actual normativa y, al tiempo, muchas de estas premisas
condicionan la futura normativa que –hay que esperar- se produzca. Se
significan a continuación algunas líneas básicas que se deducen tanto de la
jurisprudencia del TJUE cuanto del TEDH.
1. El caso Ahmet Yıldırım c. Turquía de 2012, primera sentencia del TEDH que
aborda frontalmente la protección de la libertad de expresión en internet y las
garantías de legalidad
La STEDH de 18 de diciembre de 2012 en el asunto Ahmet Yıldırım c.
Turquía ha sido la primera de este alto tribunal que aborda centralmente la
libertad de expresión en internet189. A partir de ella se puede inferir, en
esencia, que no puede ordenarse a los prestadores que bloqueen contenidos
sin discriminar entre los que son lícitos y los ilícitos y para que se adopten
medidas de bloqueo es necesaria una regulación legal que dé previsibilidad,
certeza y garantías suficientes en la materia. El TEDH entiende que viola la
libertad de expresión la imposición –judicial- de medidas de bloqueo de acceso
a contenidos en Internet que no discriminaron contenidos del sitio de internet
implicado en un proceso penal y los de otros sitios del servicio Google sites con
contenidos al margen de dicho proceso. El TEDH aprovecha la ocasión para
189
El demandante tenía una web alojada en el servicio Google Sites para difundir trabajos académicos
y opiniones personales. Se trataba de contenidos totalmente ajenos a un proceso penal por contenidos
lesivos para la memoria de Atatürken otra página de ese servicio (Google Sites). A instancias de la autoridad
turca de telecomunicaciones un tribunal resolvió el bloqueo preventivo de la web, pero para poder hacerlo
efectivo se ordenó el bloqueo de los contenidos del servicio de Google Sites en su conjunto, como única vía
para bloquear la página web con el contenido supuestamente delictivo.
fijar algunos parámetros de la regulación del bloqueo de contenidos en
internet (aps. 64 y ss.):
“es necesario un marco legal para garantizar tanto un control estricto
sobre el alcance de las prohibiciones y con la garantía de la tutela judicial
efectiva para prevenir cualquier abuso de poder [...] la revisión judicial de la
medida sobre la base de una ponderación de los intereses contrapuestos ha de
estar diseñada para lograr un equilibrio entre estos intereses”. (ap. 64)
El TEDH admite el bloqueo judicial de contenidos, pero siempre que se
cuente con un marco legal concreto, previsible por los intermediarios y
afectados y diseñado para lograr un equilibrio de intereses y que regule el
control judicial de las medidas. Asimismo, es preciso que la legislación imponga
al juez que se adopte la medida menos restrictiva, de modo que bloquee el
mínimo de contenidos posibles y, en principio, sólo se bloquee la web
concreta190.
De esta sentencia cabe subrayar que el TEDH fija unos estándares de
previsibilidad, certidumbre, garantías y ponderación de todos los intereses que
190
El TEDH admite que medidas de bloqueo de acceso a contenidos en Internet puedan estar
justificadas, Sin embargo, en este caso el juez no verificó si cabía una medida menos restrictiva (ap. 64); se
tenía que haber elegido un método en el que sólo quedara inaccesible la web concreta del proceso penal (ap.
65), mientras que no hay muestra de que los jueces tuvieron en cuenta los intereses en juego a la hora de
bloquear Google Sites, puesto que la legislación que aplicaron no contiene esta obligación (ap. 66). La
aplicación de tal normativa no satisface el requisito de predictibilidad y no brinda el nivel de protección que
garantiza el Estado de Derecho de una sociedad democrática. Es más, una normativa que no regula con
garantías el posible bloqueo de internet está en “conflicto directo” con la exigencia del artículo 10. 1º CEDH
de que la protección de la libertad de expresión lo es “sin consideración de fronteras” (ap. 67). El bloqueo
general produjo efectos arbitrarios y, dada la carencia de garantías legales, el sistema de revisión judicial es
insuficiente para evitar abusos (ap. 68).
deberían, por ejemplo, proyectarse a la regulación de la responsabilidad por
contenidos en internet. Sin embargo, no se ha seguido este criterio en 2013.
En clara vulneración de esta jurisprudencia del TEDH precisamente para
Turquía, ha sido llamativo que marzo de 2014 el presidente turco Recep Tayyip
Erdogan ordenó a la Autoridad de Telecomunicaciones de Turquía bloquear
Twitter en su país y días después Youtube. Se argumentó que estos
prestadores no habían filtrado unos contenidos concretos que consideraba
ilegales. Así pues, se censuró el todo por la ilegalidad de una parte. Esta carrera
bloqueadora fue detenida primero por la justifica ordinaria que simplemente
la consideró “contraria a los fundamentos del Estado de Derecho”191. El
bloqueo fue luego considerado inconstitucional por el Tribunal Constitucional
turco192.
2. La preocupante STEDH en el caso Delfi vs Estonia de 2013 y la
responsabilización de los intermediarios por los contenidos que alojan
Es importante la STEDH en el caso Delfi vs Estonia de 10 de octubre de
2013, de la misma se pueden derivar no pocos criterios que pueden ser muy
importantes para internet. No obstante, cabe señalar que en febrero de 2014
esta sentencia ha sido remitida a la Gran Sala del TEDH que podría variar de
criterio.
Delfi es un medio digital de Estonia que permite comentarios de los
usuarios a sus noticias. Uno de estos comentarios, relativos a una noticia de
191
Así según diversas noticias periodísticas con referencia a un juzgado administrativo de Ankara tras
una denuncia de la Unión de Colegios de Abogados de Turquía.
192
En todo caso, la resolución del TC turco fue bastante confusa y no estableció con claridad el final del
bloqueo.
interés público, fue considerado lesivo del honor de un importante
empresario. La responsabilidad por dicho daño fue atribuida al medio digital.
Cabe tener en cuenta que lo habitual en internet, de la web 2.0 es que los
usuarios generen contenidos en las plataformas al uso, y que muchas veces
tales contenidos son ilícitos y no se suele poder identificar al autor. A partir de
esta sentencia se pueden derivar las siguientes líneas.
Hacer responsable de los contenidos ilícitos al intermediario de internet
que los ha transmitido es una restricción de la libertad de expresión del art. 10
CEDH, pero esta restricción puede ser admisible. Para ello, la restricción ha de
estar prevista por la ley, tener una finalidad legítima y ser necesaria en una
sociedad democrática.
El TEDH admite un marco legal no muy definido para la determinación de
quién responde por los contenidos de internet. Esto es así a diferencia de las
más severas exigencias de legalidad para bloquear contenidos vista en la
STEDH de 2012 Ahmet Yıldırım c. Turquía. La regulación básica de la
responsabilidad por contenidos en internet procede de una Directiva de la
Unión. A pesar de la gran incerteza que se produce en la materia en razón de
la difusa y dispersa regulación de la responsabilidad en internet por una
Directiva de la Unión Europea, el Derecho interno y su variada interpretación
judicial, el TEDH es bien permisivo y estima que se satisface el criterio de límite
previsto por la ley.
El TEDH, muy posiblemente para evitar conflictos con el Derecho de la
Unión Europea, considera que la cuestión de responsabilizar por contenidos en
internet es cuestión finalmente nacional la regulación legal interna y su
interpretación por los tribunales con un margen de apreciación importante
(aps. 71 y ss.). “El papel del Tribunal se limita a determinar si los efectos de
esta interpretación son compatibles con la Convención” (ap. 74). Del conjunto
normativo aplicable se concluye que “un editor de medios es responsable por
cualquier declaración difamatoria hechas en su publicación multimedia” (ap.
75).
El TEDH admite en razón del Derecho interno, se considere editor y
responsable de contenidos a un medio digital que permite comentarios de los
usuarios. Sin embargo, no generaliza soluciones para internet y para otros
países. El TEDH no se atreve a asentar una doctrina importante y necesaria en
Europa. Por ello, no se cuestiona si esta responsabilidad que aplica a un medio
digital como editor puede proyectarse a muchos intermediarios y grandes
prestadores de internet que permiten alojar datos y contenidos por usuarios,
contenidos y datos que muy habitualmente lesionan derechos de las personas.
Hay que recordar que esto es lo más habitual (ejemplo: Google, Youbube,
Facebook, Twitter, eBay, Tripadvisor, etc.).
Sobre estas bases el TEDH se centra especialmente en la ponderación
entre el derecho a la vida privada y la libertad de expresión sobre los siguientes
elementos: “contribución a un debate de interés general, que tan bien conoce
la interesado, el tema del informe, la conducta anterior del interesado, el
método de obtención de la información y su veracidad, el contenido, la forma
y las consecuencias de la publicación, y la severidad de la sanción impuesta”
(ap. 83).
Para el TEDH, se justifica la responsabilidad del intermediario por los
contenidos ilícitos que introducen sus usuarios en razón del riesgo razonable
de que éstos se produzcan. En razón del principio de precaución, si hay riesgo
de contenidos ilícitos, hay que poner medios y controles suficientes para
evitarlos para no ser responsable(ap. 86)193. La proyección de este
razonamiento, a mi juicio, permite responsabilizar a casi todos los prestadores
de servicios e intermediarios de internet al uso por los contenidos que alojan
y difunden, pues ciertamente ponen en riesgo cierto los derechos del artículo
18 CE, amén de derechos y bienes como la propiedad intelectual.
Haber tomado una serie de precauciones para evitar contenidos ilícitos,
que normalmente no adoptan los grandes prestadores de servicios e
intermediarios de internet, no es suficiente para eximir de responsabilidad. El
TEDH no consideró suficiente para eximir de responsabilidad que el medio
digital advirtiera que las opiniones no eran propias, que estaban prohibidos los
comentarios insultantes, ilícitos o dañinos. Tampoco fue suficiente que la web
hubiera implantado un filtro que detectara palabras malsonantes, ni que
contara con un sistema de denuncia de contenidos impropios con un solo clic
para que fueran revisados y retirados, ni que este sistema no fuera utilizado
por el demandante. De igual modo, no sirvió para exculpar el hecho de que en
ocasiones se retiraran contenidos de oficio por el medio digital (ap. 87). Todos
estos sistemas “no garantizaban una protección suficiente de los derechos de
terceras personas” sino que el medio “no hizo tanto uso como podría haber
hecho de la extensión del control a su disposición” sobre los contenidos que
introducían los usuarios (ap. 89). La empresa pudo haber puesto un sistema
193
Se estimó que dada la noticia de que se trataba el medio digital “podría haberse dado cuenta de que
podría causar reacciones negativas en contra de la compañía naviera y sus directivos y que, teniendo en cuenta
la reputación general de los comentarios en el portal de noticias Delfi, se produjo un riesgo superior a la media
que los comentarios negativos pueden ir más allá de los límites de la crítica aceptable y alcanzar el nivel de
insulto gratuito o la incitación al odio.” En consecuencia “se esperaba que la empresa ejerciese cierto grado de
precaución […] a fin de evitar ser considerada responsable de una infracción de la reputación de otras personas”
(ap. 86).
más robusto de identificación de los usuarios o un control inmediato de cada
comentario antes o después de su publicación (ap. 91). . Tampoco fue
suficiente que el medio digital retirara los contenidos ilegales inmediatamente
en cuanto se lo anunció la persona afectada. La web asumió que se pudieran
emitir comentarios y asumió su responsabilidad
Aunque no es ratio decidendi, es de interés tener en cuenta que para el
TEDH, el anonimato en internet queda bajo la libertad de expresión (ap. 92)194.
Pese a que es difícil controlar la información de internet para los
intermediarios, más lo es para los individuos. El TEDH reconoce la dificultad de
controlar tanta información que se genera en internet, y que esta dificultad es
“más onerosa para la persona potencialmente lesionada, pues menos
probablemente cuenta recursos para el control continuo de la Internet” (ap.
92). Todo lo anterior, además de circunstancias como la escasa importancia de
la indemnización de que se trataba, llevan al TEDH a considerar que no hubo
lesión de la libertad de expresión (ap. 94).
Como se ha dicho, esta sentencia está pendiente de la revisión por el
pleno. El TEDH no quiere desvincular su solución de las circunstancias
concretas del supuesto. En todo caso, esta sentencia puede considerarse de
modo muy negativo para la libertad de expresión e información en internet.
La sentencia deja en un enorme marco de indefinición a la web 2.0 y todos los
prestadores de servicios e intermediarios que son la columna vertebral del
internet que usan los ciudadanos. El TEDH elude dar pautas claras para una
indefinición que la Unión Europea no resuelve y en España y otros países
194
“La Corte es consciente, en este contexto, de la importancia de los deseos de los usuarios de Internet
a no revelar su identidad en el ejercicio de su libertad de expresión”.
genera un claro efecto amenazante para usuarios y prestadores de servicios o
intermediarios. Esta situación negativa para la libertad de expresión no es
exclusiva de España. Las soluciones legislativas y jurisprudenciales en los países
de la UE son de lo más variado195. Y la misma Comisión Europea196 reconoce
que “La Europa de Internet sigue siendo un mosaico de leyes, reglas, normas y
prácticas diferentes”197 y critica “los costes y riesgos que entraña la
195
Así, se llegó a condenar a prisión a tres directivos de Google Italia por un vídeo colgado por un
tercero en el que se mostraba a un chico autista siendo vejado por sus compañeros, pese a que se retiró al
momento de conocer el mismo. Así en aplicación de normas penales y de protección de datos (inicial sentencia
de 24 de febrero de 2010 Tribunal Ordinario de Milán, Secc. 4ª penal, Associazioni Vivi-Down vs. Google Italy
s.r.l. , luego revocada en 2012). También cabe mencionar diversas sentencias condenatorias a Google, por sus
sugerencias de búsqueda, como la sentencia de 12 de julio de 2012, la Corte de Casación francesa. En Gran
Bretaña en el caso Kaschke v. Gray & Anor, [2010] EWHC 690 (QB), 29 de marzo de 2010) se ha denegado la
exclusión de responsabilidad cuando hay algún género de moderación posterior de los contenidos por parte
del intermediario que los aloja, ya se tratara de remover otros comentarios ofensivos o incluso la corrección
tipográfica o gramatical. La sentencia del 23 de junio de 2009 del Tribunal Supremo alemán reconoció
prevalencia de la libertad de comunicación (excluyendo que se tratase del privilegio de la prensa) de un portal
de evaluación de maestros (Spickmich.de). Pero tal prevalencia se reconoció gracias a que, pese a que había
anonimato, se contaba con un sistema algo robusto de identificación de usuarios y la información no era
indexable para los buscadores. KLINK, Thomas, “La actual posición del TS alemán ante la libertad de expresión
en la red, el caso de “la chuleta” “spickmich.de”, en COTINO HUESO, Lorenzo (editor), Libertades de expresión
e información en Internet y las redes sociales... cit. págs. 88-98.
196
COMISIÓN EUROPEA, Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité
Económico y Social Europeo y al Comité de las Regiones: Un marco coherente para aumentar la confianza en
el mercado único digital del comercio electrónico y los servicios en línea, COM(2011) 942 final Bruselas,
11.1.2012, SEC(2011) 1640 y 1641 final. Al respecto, cabe seguir los completos estudios comparados a cargo
de la Comisión Europea que evidencian los problemas respecto de la responsabilidad por los contenidos en
internet. VERBIEST, Thibault; SPINDLER, Gerald; RICCIO, Giovanni; Maria VAN DER PERRE, Aurélie, Study on
the liability of internet intermediaries, (MONTERO, dir.), 12 de noviembre de 2007, Documento elaborado
para la Comisión Europea: Markt/2006/09/E, acceso completo en internet. Asimismo y más reciente, el
amplio y sólido documento de trabajo adjunto a la Comunicación COM(2011) 942 final sobre los
procedimientos de notificación y actuación sobre los contenidos ilícitos en línea organizada por
intermediarios COMMISSION STAFF WORKING DOCUMENT, Online services, including e-commerce, in the
Single Market.
197
Ibídem, pág. 2: “Esta situación obstaculiza el desarrollo de los servicios en línea y merma la confianza
de los usuarios reales o potenciales, tanto desde el punto de vista de la oferta como de la demanda. El
desconocimiento de los derechos que les asisten y de las normas aplicables, así como de las oportunidades
que ofrece la economía digital, aumenta sus dudas.”
fragmentación derivada de la coexistencia de 27 regímenes jurídicos
nacionales”198, “los proveedores intermediarios de Internet viven una
situación de incertidumbre jurídica debida a la fragmentación que se
observa en la UE […]. Esta fragmentación disuade a las empresas de iniciar
actividades en línea o dificulta su desarrollo.”199
3. Diversos criterios sobre la libertad de expresión e información por el TJUE
El TJUE por lo general no ha abordado de forma directa la libertad de
expresión en internet. Por lo general el tema viene de la mano de los conflictos
que genera la difusión de contenidos en la red con la propiedad industrial e
intelectual y la privacidad y la protección de datos. En todo caso, son ya
diversas las afirmaciones en su jurisprudencia que afecta a las libertades
informativas en la red.
La ponderación entre la libertad de expresión y los derechos de la
personalidad como la protección de datos debe realizarse bajo el principio de
la proporcionalidad en sede estatal, responsabilidad básica del juez nacional.
En la STJCE de 6 de noviembre de 2003, caso Lindqvist, no se encuentran
muchas determinaciones sobre las libertades informativas en internet, pese a
que las partes incitaron a analizar la cuestión desde la perspectiva de la
libertad de expresión en internet. Por lo que aquí interesa, el STJUE recordó
que la ponderación entre la libertad de expresión y los derechos de la
personalidad como la protección de datos debe realizarse bajo el principio de
198
199
Ibídem, pág. 3.
Ibídem, pág. 14.
la proporcionalidad en sede estatal, responsabilidad básica del juez nacional
(aps. 85 y ss.).
La libertad de expresión la ejercen todos los que difunden contenidos en
internet, tengan o no ánimo de lucro. Como se ha adelantado, la STJCE (Gran
Sala) de 16 de diciembre de 2008, cuestión prejudicial asunto C 73/07200 afirma
que la libertad de expresión impone interpretar ampliamente la noción de
“periodismo” para dotar de mayor protección a la difusión de contenidos en
la red. Ya en esta línea se había adelantado el auto de 12 de septiembre de
2007 en el mismo caso (ap. 60).
El prestador de servicios de internet o intermediario goza de la exclusión
de responsabilidad “cuando no desempeñe un papel activo que pueda darle
conocimiento o control de los datos almacenados”. En la sentencia TJUE de 23
de marzo de 2010 (asuntos acumulados C-236/08 y c-238/08 Google France y
Louis Vuitton) se parte de que para gozar de la exclusión de responsabilidad
que confiere la Directiva 2000/31/CE de comercio electrónico201, la actividad
del prestador de servicios de la sociedad de la información tiene naturaleza
“meramente técnica, automática y pasiva”, lo que implica que el prestador de
servicios o intermediario “no tiene conocimiento ni control de la información
transmitida o almacenada” (ap. 113). En esta dirección, cabe mencionar
diversas sentencias condenatorias a Google, por sus sugerencias de búsqueda,
como la sentencia de 12 de julio de 2012, la Corte de Casación francesa202. En
200
Planteada por el Korkein hallinto-oikeus (Finlandia),
Tietosuojavaltuutettu y Satakunnan Markkinapörssi Oy, Satamedia Oy.
201
en
el
procedimiento
entre
Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a
determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio
electrónico en el mercado interior.
202
http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3464
Gran Bretaña por ejemplo se ha denegado la exclusión de responsabilidad
cuando hay algún género de moderación posterior de los contenidos por parte
del intermediario que los aloja, ya se tratara de remover otros comentarios
ofensivos o incluso la corrección tipográfica o gramatical203.
El titular de derechos de propiedad intelectual afectado puede solicitar
que se prohíba la retransmisión de sus obras al tratarse de una “comunicación
al público” en internet. En este ámbito, la sentencia del TJUE asunto C-607/11
(ITV Broadcasting Ltd. y otros / TVCatchup Ltd) de 7 de marzo de 2013.
No puede obligarse a los prestadores o intermediarios de internet que
establezcan controles o filtrados técnicos de contenidos en internet sin
distinguir entre contenidos lícitos o ilícitos. Las sentencias del TJUE de 24 de
noviembre de 2011, Asunto C-70/2010, Scarlet Extended vs SABAM y Asunto
C-360/10 SABAM vs Netlog de 16 de febrero de 2012 no permiten que
judicialmente se impongan controles y filtrados técnicos y preventivos a
prestadores de servicios y redes sociales para evitar la comisión de ilícitos de
propiedad intelectual y protección de datos. El TJUE considera que deben
prevalecer la libertad de expresión y la protección de los usuarios que serían
controlados y rastreados, así como la libertad de empresa frente a la
imposición de estos controles. Se afirma la vulneración de la libertad de
información, “dado que se corre el riesgo de que el citado sistema no distinga
suficientemente entre contenidos lícitos e ilícitos, por lo que su
establecimiento podría dar lugar al bloqueo de comunicaciones de contenido
lícito” (ap. 52).
203
Kaschke v. Gray & Anor, [2010] EWHC 690 (QB), 29 de marzo de 2010). Acceso en
http://www.bailii.org/ew/cases/EWHC/QB/2010/690.html
Sin perjuicio de lo anterior, en razón de sentencia del TJUE de 27 de marzo
de 2014204, sí que es posible que un juez solicite a un proveedor de acceso a
Internet que bloquee el acceso de sus clientes a un sitio web que vulnera los
derechos de autor. El TJUE señala que el juez nacional que ordene la medida
debe ponderar derechos y libertades e intereses en juego. Se afirma cuanto
menos que las medidas de bloqueo de acceso a los usuarios “no priven
inútilmente a los usuarios de Internet de la posibilidad de acceder de forma
lícita a la información disponible” (nº 63) y que "tanto los internautas como
también el proveedor de acceso a Internet deben poder hacer valer sus
derechos ante el juez" (nº 54). No obstante, no es necesario probar que los
usuarios del servicio acceden efectivamente a los contenidos ilegales.
4. El “olvido” de la libertad de expresión en razón del derecho al olvido. La
STJUE del caso Google vs AGPD de 2014
La STJUE (Gran Sala) de 13 de mayo de 2014 en el asunto C-131/12, en el
procedimiento entre Google Spain, S.L., Google Inc. vs. la Agencia Española de
Protección de Datos (AEPD) y Mario Costeja González205 ha sido una de las
sentencias más esperadas de este tribunal. Ha sido especialmente llamativo
204
Sentencia TJUE de 27 de marzo de 2014 asunto C 314/12 UPC Telekabel Wien GmbH / Constantin
Film Verleih GmbH y Wega Filmproduktionsgesellschaft mb.
205
Cuando un internauta introducía el nombre del Sr. Costeja González en el motor de búsqueda de
Google obtenía como resultado vínculos hacia dos páginas del periódico La Vanguardia, del 19 de enero y del
9 de marzo de 1998, respectivamente, en las que figuraba un anuncio de una subasta de inmuebles
relacionada con un embargo por deudas a la Seguridad Social, que mencionaba el nombre. La AGPD consideró
que Google debía desindexar la información relativa al Sr. Costeja. No cuestionó que la hemeroteca de la
Vanguardia siguiese facilitando estos contenidos en la web.
que casi mediara un año entre las conclusiones de junio de 2013 y la sentencia
definitiva, así como la radical diferencia entre unas y otra.
Pese a que no se ha seguido las mismas, fueron bien importantes las
proclamaciones de la libertad de expresión e información en internet en las
Abogado General Jääskinen de 25 de junio de 2013. En esencia, las
conclusiones iban en la línea de que el buscador Google es esencial para el
ejercicio del derecho fundamental de acceso a la información en el Europa y
que, por tanto, no puede desvirtuarse el papel de intermediario de Google
haciéndole censurar el contenido206. Asimismo, el derecho fundamental de
acceso a la información quedaría “comprometido” si la información fuera una
versión modulada o dulcificada («bowdlerizada»207 ) al gusto del usuario.
Sin embargo, la sentencia, al igual que la STJUE (Gran Sala) de 8 de abril
de 2014208 que declara que la Directiva 2006/24/CE de retención de datos de
las comunicaciones es contraria a la vida privada y protección de datos,
parecen asentar una dirección firme en la protección de estos derechos. No
206
“[E]l proveedor de servicios [en este caso el buscador Google] necesitaría ponerse en la posición del
editor de la página web fuente y comprobar si la difusión de los datos personales en la página web podría
considerarse legal y legítima a los efectos de la Directiva. Dicho de otro modo, el proveedor de servicios
necesitaría abandonar su función de intermediario entre usuario y editor y asumir la responsabilidad por el
contenido de la página web fuente y, cuando resultase necesario, censurar el contenido evitando o limitando
el acceso a éste.” (ap. 109) Y ello supondría una restricción de la libertad de expresión e información del
prestador o intermediario, del editor (creador del contenido conflictivo) y, sobre todo, del derecho de acceso
a la información de los usuarios de internet. Ver los apartados 120 y ss.
207
Nota original en las conclusiones: “Thomas Bowdler (1754–1825) publicó una versión aséptica de la
obra de William Shakespeare que intentaba ser más adecuada para las mujeres y los niños del s. XIX que la
original.”
208
Asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd (C-293/12), Kärntner
Landesregierung, Michael Seitlinger, Christof Tschohl y otros (C-594/12) / Minister for Communications,
Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda
Síochána, Irlanda y el Attorney General.
obstante, la sentencia que ahora se expone, lo hace quizá en excesiva medida
a costa de las libertades informativas en internet.
Los elementos básicos de una sentencia poco centrada en la libertad de
información
1º: Google realiza un "tratamiento de datos personales" en el sentido de
la Directiva cuando indexa contenido y ofrece resultados: “el gestor de un
motor de búsqueda «recoge» tales datos que «extrae», «registra» y
«organiza» posteriormente en el marco de sus programas de indexación,
«conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso»
a sus usuarios en forma de listas de resultados de sus búsquedas.” (ap. 28).
Google es responsable de este tratamiento, pese a que no controle la
información de origen de las páginas web que indexa (ap. 34). Debe
entenderse a partir de estas afirmaciones, que otros prestadores de servicios
de internet también serán responsables de tratamientos de datos en tanto en
cuanto su servicio permita acceder a información estructurada de una
persona, de modo que se pueda “establecer un perfil más o menos detallado”.
Así pues, cabe tener en cuenta otros servicios búsqueda o estructuración de
contenidos en internet, como, entre otros muchos, los propios de las redes
sociales, quedarán sujetos a las consecuencias de esta sentencia.
2º: A Google le es de aplicación la normativa de la Unión Europea y por
tanto está sometido a la legislación sobre protección de datos española (aps.
50 y ss.). Así se entiende en razón del criterio interpretativo favorable a aplicar
las garantías del Derecho de la Unión Europea (aps. 54 y 58). Se considera en
concreto que la publicidad está “indisociablemente ligada” al servicio de
búsqueda de Google y que una oficina de publicidad en un Estado miembro es
criterio suficiente para aplicar el Derecho europeo (aps. 55, 56). No queda
claro qué sucede en el caso de que el prestador de servicios de que se trate no
tenga oficina comercial en el Estado miembro. No obstante, en razón del
principio de eficacia de las garantías de la norma europea, muy posiblemente
se considere también la sujeción al Derecho europeo cuando los servicios
vayan destinados al continente, por ejemplo.
3º Ni el interés económico de Google ni el general interés de los usuarios
a acceder información de otros justifica suficientemente la grave afección a la
privacidad y protección de datos que implica el buscador de Google. Así, “estos
derechos prevalecen, en principio, no sólo sobre el interés económico del
gestor del motor de búsqueda, sino también sobre el interés de dicho público
en encontrar la mencionada información en una búsqueda que verse sobre el
nombre de esa persona” (ap. 97, ídem en 81 o 99). Sólo “en supuestos
específicos, de la naturaleza de la información de que se trate y del carácter
sensible para la vida privada de la persona afectada y del interés del público
en disponer de esta información, que puede variar, en particular, en función
del papel que esta persona desempeñe en la vida pública” (ap. 81). Será
Google primero y las autoridades de protección de datos o los tribunales
después quienes deberán llevar a cabo la ponderación concreta de si procede
la desindexación solicitada.
4º Los ciudadanos pueden dirigirse a Google, allí donde ésta compañía
tenga establecimiento –aunque sólo sea para contratar publicidad- para
solicitar la retirada de determinados resultados. Se puede solicitar –y ordenarla desindexación sin que sea necesario haber acudido previamente a solicitar
la retirada de contenidos en la web de origen. Es más, la información puede
ser legítima en la web de origen pero no en Google, puesto que la difusión por
Google “puede constituir una injerencia mayor en el derecho fundamental al
respeto de la vida privada del interesado que la publicación por el editor de
esta página web.” (ap. 87).
5º El tiempo puede hacer que deban desindexarse informaciones:
“incluso un tratamiento inicialmente lícito de datos exactos puede devenir,
con el tiempo, incompatible con dicha Directiva cuando estos datos ya no sean
necesarios en relación con los fines para los que se recogieron o trataron” (ap.
93). En este sentido el TJUE recuerda que “cada tratamiento de datos
personales debe ser legítimo, en virtud del artículo 7, durante todo el período
en el que se efectúa.” (ap. 95).
A mi juicio, la sentencia adolece de una perspectiva general de la libertad
de información. La clave de la sentencia es que las libertades informativas no
se aprecian en perspectiva general o institucional a la hora de ponderarlas con
la privacidad y la protección de datos. No se percibe la magnitud de la afección
a las libertades informativas que se produce al imponer obligaciones a un
prestador de servicios de internet que es esencial para el acceso a la
información en el mundo. Asimismo, el interés de los usuarios de internet en
disponer de información no es considerado un contenido de la libertad
información, de manera que el acceso a la información queda desvalorizado
en la ponderación con los derechos de vida privada y protección de datos. Ello
es importante también cuando se trate de ponderar con otros derechos e
intereses en juego. De igual modo, el TJUE tampoco parece tener en cuenta el
efecto que produce que el acceso efectivo a la información en internet,
instrumentado esencialmente a través de Google –y otros buscadores- quede
condicionado a los criterios privados, ya sean los criterios de los afectados por
la información que solicitan la retirada masiva de contenidos, ya sea de Google
a la hora de estimar o no las solicitudes de retirada.
III. Para concluir. La necesidad de que el legislador democrático asuma su papel
para proteger las libertades informativas y otros derechos fundamentales en
internet
No es escasa la normativa española o europea vinculada a las nuevas
tecnologías, como la relativa a comercio electrónico, telecomunicaciones,
prestadores de servicios de la sociedad de la información, protección de datos,
propiedad intelectual, delitos informáticos, etc. Sin embargo, el conjunto
normativo hace auténticas aguas a la hora de fijar no pocos elementos
esenciales del ejercicio de la libertad de expresión e información por los
grandes y pequeños prestadores de servicios en internet, así como cientos de
millones de usuarios de internet en todo el mundo. Sólo se trata de la actividad
cotidiana de unos cuatrocientos millones de europeos y unos treinta y cinco
millones de personas en España209, además de todo el entramado empresarial
y social que implican los prestadores de servicios e intermediarios europeos o
extranjeros.
La jurisprudencia y los altos tribunales español o supranacionales son
esenciales para perfilar muchos problemas que genera internet para las
libertades informativas. No en vano, dado el escaso activismo asumido por los
209
Datos sobre acceso a internet de forma sencilla en www.internetworldstats.com
tribunales durante décadas, se hace precisa la actuación legislativa respecto
de muchos aspectos. Esta responsabilidad no se puede dejar a los jueces que
no pueden dejar de ser un “legislador” negativo, al tiempo de no contar con la
legitimidad democrática del propio legislador.
Y esta asunción de responsabilidad no se puede dejar sine die. No
obstante, me atrevo a compartir cierta desesperanza respecto de la
adecuación del Derecho a las nuevas, y no tan nuevas, tecnologías que con
gran acierto Rodríguez ha verbalizado:
“En la medida en que cada vez mayor número de ciudadanos acudirán a
internet para confiarle más y más facetas de su existencia, estos problemas no
harán sino incrementarse y resultar más patentes.
Por otra parte, todo parece indicar que en una buena porción de
importantes cuestiones el ciberespacio y el Derecho seguirán sus respectivas
órbitas tranquilamente, desconocidos el uno para el otro. Puede que de modo
eventual esas “órbitas” se alineen en algún punto, pero esto no será lo
frecuente. […] La rápida evolución de internet contrasta con la lentísima
evolución de la creación del derecho, y nada hace pensar que ambos rasgos
vayan a cambiar.”210
210
RODRÍGUEZ GARCÍA, Luis Fernando, “Políticas de la Federal Communications Commission en materia
de neutralidad de la red”, en COTINO HUESO, L. (editor), Libertades de expresión e información en Internet…
cit. págs. 99-113.
ALZHEIMER DIGITAL
La influencia del Derecho al Olvido en Internet, Derecho Internacional y la
Libertad de Prensa
Introducción
A la fecha de hoy, el caso del abogado español Mario Costeja sigue siendo una
de las noticias más buscadas en Google©211, una de las empresas más
poderosas en la nueva sociedad del Siglo XXI. Su activa participación y reclamo
ha descendido del trono del Olimpo Digital a este mismo titán de Internet a
quien el abogado se atrevió a demandar, alegando un derecho que está bien
sustentado, constituido y que merecía una respuesta pronta: Su Derecho al
Olvido en Internet.
Mario Costeja alza su puño de victoria y señala a viva voz que lo que él
ha reclamado por largo tiempo es un derecho que debe respetarse y que prima
sobre cualquier otro derecho que puedan reclamar las empresas, y creemos
que quizás en un futuro, las Constituciones de los países. Ese derecho del que
las empresas desean valerse es su Libertad de Expresión, hermana de sangre
de la Libertad de Prensa.
El reclamo de Costeja se hizo escuchar gracias al Tribunal de Justicia de
la Unión Europea (TJUE) quien reconociera por primera vez en la historia el
denominado Derecho al Olvido en Internet, que no es otra cosa que el derecho
a eliminar de la red toda información personal, antigua o reciente, que
211
Copyright © 2014.
perjudique a un individuo. Esta acción ha generado no solo un precedente
internacional, sino la posibilidad de que los ciudadanos del nuevo mundo (real
y virtual) reclamemos ante las compañías creadoras de buscadores en Internet
la eliminación de todo enlace que conduzca a páginas web donde aparezca
información personal y perniciosa, situando la defensa de los derechos tales
como la privacidad, el honor y la integridad como Derechos Humanos
primordiales en el ambiente de la web. Es este mismo Tribunal de Justicia el
que afirmó la responsabilidad de Google© en el caso de Mario Costeja,
alegando que esta es una empresa cuyo objetivo comercial es almacenar,
indexar y procesar la información para futuras búsquedas en Internet, por lo
que es responsable del contenido que aparezca en su buscador212.
Pero, ¿qué perjuicios o ventajas podría generar este nuevo precepto
jurídico? ¿En qué momento cruzamos la barrera de lo correcto y lo incorrecto?
¿Cómo saber si estamos aplicando correctamente este derecho? De estas
preguntas convergen diversas opiniones, tanto de activistas a favor y en contra
de este derecho, así como de los ciudadanos del nuevo mundo, y con ello
nacen más interrogaciones que en conjunto podrían convertirse en el talón de
Aquiles para el gran avance de este nuevo reconocimiento legal: ¿Esto afecta
en todos sus aspectos a la denominada Libertad de Prensa?, ¿quiénes más son
responsables?, ¿la eliminación de información de un criminal estaría
justificada para el ejercicio de este derecho?, ¿realmente está protegido el
usuario y el ciudadano con este derecho?, ¿realmente se puede eliminar
información de Internet?, ¿cómo ejerceremos la Justicia de ahora en adelante?
212
SANTIVÁÑEZ ANTUNEZ, David Alonso. “Alzheimer Digital – Primera Parte”. Publicado el 13 de Junio de
2014. En: http://davidsantivanez.wordpress.com/2014/06/13/alzheimer-digital-primera-parte/
Activistas a favor del Derecho al Olvido en Internet resaltan que no hay
nada más importante que la privacidad y la integridad de una persona, la
misma que no se puede ver amenazada por todo aquel que tenga acceso a la
red; sin embargo, para aquellos activistas en contra del Derecho al Olvido en
Internet, representados por la Asociación de Archivistas Francesa, este no solo
sería un atentado contra documentación importante para la construcción de
base de datos de nuestra sociedad con miras al futuro, sino además podría
perjudicar procesos legales contra una determinada persona, si es que la
información es de vital importancia213. He aquí el dilema: ¿qué es de vital
importancia?
Primera Parte: Despidiéndome de la Información
Es importante entender que las personas que se sujeten a este nuevo derecho
no están reclamando la eliminación de la información de Internet, sino el
derecho a solicitar que sus nombres y otra información personal
«desaparezca», o mejor dicho, se «desvincule» de los resultados que muestran
los buscadores de Internet una vez que haya transcurrido un tiempo
prudencial y dicha información deje de ser considerada como necesaria o
verídica, pasando a ser simplemente información «molesta»214.
Como señalara Mario Costeja en su declaración al diario «El País», si
bien está a favor del Derecho al Olvido y la libertad de expresión, está en
213
Léase: PARDO, Daniel. “¿Tenemos derecho a ser olvidado de Internet?” Artículo publicado en BBC MUNDO
–
LONDRES
el15
de
Junio
de
2013.
En:
http://www.bbc.co.uk/mundo/noticias/2013/07/130702_tecnologia_archivistas_derecho_olvido_dp.shtml
214
SANTIVÁÑEZ ANTUNEZ, David Alonso. Óp. Cit.
contra que este «factor de ventaja» pueda ser utilizado por personas
inescrupulosas, ya sea en casos criminales o de corrupción. «Si un político
mete la mano en la caja, lo pillan, lo sentencian y él quiere quitar sus datos,
yo estoy en contra», aclaró215.
Y es que la afirmación de Costeja, como el principal artífice de este
precedente mundial y como abogado que es, está completamente sustentada,
pues la eliminación constante de información (o de los hipervínculos que nos
dirijan a ella) pudiera ser perjudicial para la resolución de un caso o para
efectos de recabar capítulos importantes de la historia de un país o de una
persona determinada. En su ideología se puede entender que el Derecho al
Olvido en Internet, en casos criminales por ejemplo, está en defensa de la
víctima y no del victimario.
Diremos entonces que se puede eliminar de Internet
toda aquella información que vincule a una persona
como víctima de un caso de violación o secuestro,
alegando la «necesidad de olvidar» aquel oscuro
encuentro con su pasado y evitar todo tipo de
relación con este; sin embargo, no es lo mismo el
ejercicio de este derecho por parte del victimario, del
criminal, o del violador en este caso, en donde debe
de primar el «Derecho de la Sociedad» por saber
215
ELCOMERCIO.PE – Portal digital del Diario El Comercio. “Mario Costeja: El español que golpeó al
todopoderoso
Google©”.
Artículo
publicado
el
14
de
Mayo
de
2014.
En:
http://elcomercio.pe/tecnologia/google/mario-costeja-espanol-que-golpeo-al-todopoderoso-google-noticia1729387
quién es el responsable de determinados actos
criminales y que atentan contra los intereses y la
convivencia de una nación.
Pero eliminar la información interconectada de Internet, si bien no es un
proceso simple, tampoco es una medida que deba tomarse como absoluta
para todos los casos. Colocándonos en el supuesto de que una persona haya
participado en actos vandálicos en su juventud o haya pertenecido a una
organización terrorista, alega que ha cumplido su condena penal y se ha
reformado con satisfacción, y pide se cumpla su Derecho al Olvido de toda
aquella información que se vincule en Internet para empezar de «cero» con su
nueva vida. Imaginemos que su petitorio está sustentado legalmente y
procede aquella demanda. Supongamos que la Corte determina y confirma
que realmente esta persona se ha reformado y proceden a pedir la eliminación
de toda aquella información que pueda rastrearse a través de los buscadores
de Internet. Esta persona podría iniciar su vida de cero, y aquí nacen dos
vertientes, la primera que afirma que realmente se ha reformado; y la
segunda, en donde es una persona «sin antecedentes penales», «libre de
culpa», «libre de pasado», y libre de poder caer como «reincidente» en un
determinado hecho de ser juzgado jurídicamente. Su pena no sería igual, y no
existiría información que pueda vincularlo a hechos de su pasado. Sin
embargo, existe una solución.
Ante este problema, los activistas en contra del Derecho al Olvido en
Internet se pronuncias afirmando que, si bien es posible recurrir a este
derecho y aprueban su efecto para determinados casos en donde se afecte la
integridad, el honor y la dignidad de una persona, debe de conservarse
siempre un archivo de los hecho y de la información, no solo para futuras
recolección de información de hechos que pueden servir para la
reconstrucción de alguna parte de la historia de la Sociedad; sino también,
para ayudar a la resolución de ciertos casos legales que podrían verse
afectados con este Derecho216.
«La ley parte de un buen punto, que es proteger a la
gente cuya información personal está publicada en
Internet», le dice a BBC Mundo Jean-Philippe Legois,
presidente
de
la
Asociación
de
Archivistas
Francesa217.
Debe quedar en claro que, si bien el termino Derecho al Olvido en Internet es
de corriente europea, la exigencia de su cumplimiento no guarda una barrera
territorial, dejando en claro que cualquier persona puede solicitar a cualquier
empresa generadora de buscadores de Internet el cumplimiento de este
petitorio. Por otro lado, este derecho viene trazando una nueva exigencia en
patrones de Derechos Universales, dando la posibilidad que en algún futuro
este tipo de procedimientos legales puedan ser expuestos ante cualquier Corte
de Derechos Humanos, pues son Derecho Humanos reconocidos los que se ven
afectados con publicaciones no deseadas a través de la Internet, y como
Derecho Humano no tiene un privilegio territorial ni excluyente. Lo que busca
216
217
Léase: PARDO, Daniel. Óp. Cit.
Ibíd.
el Derecho al Olvido en Internet es la protección de derechos tales como la
privacidad, la intimidad, el honor y la protección de datos personales, los
mismo que hacen que esta afirmación sea tan real como el petitorio de la
población física y digital.
Para los Latinoamericanos, la respuesta en el Derecho al Olvido e
Internet estaría concebida en el contenido de nuestros Habeas Data y en la
normativa de Protección de Datos Personales. Esto nos daría el sustento
jurídico suficiente para que podamos reclamar nuestro Derecho al Olvido en
Internet, haciéndolo exigible ante cualquier ente constitucional o empresa,
solicitando una rectificación de información o eliminación de la misma. Del
mismo modo, y ante una mayor fuerza legal, podremos hacer exigible nuestro
Derecho al Olvido en Internet amparándonos en el Punto 2° de las Directrices
para la regulación de los archivos de datos personales informatizados218,
establecidos por las Organización de las Naciones Unidas (ONU), así como lo
expuesto en la Resolución A/C.3/68/L.45/Rev.1 sobre el Derecho a la
Privacidad en la Era Digital dada por la misma Organización, y el Artículo 12°
de la Declaración Universal de Derechos Humanos219.
Pero aun a pesar de los avances tecnológicos y legislativos que podamos
presentar como naciones, el ejercicio de la justicia por parte de Jueces y
Fiscales dominarán el partido al reconocimiento justo y de beneficio social.
Recordemos que en muchos países los jueces competentes no existen, o son
218
2°. Principio de exactitud: Las personas responsables de la compilación de archivos, o aquellas
responsables de mantenerlos, tienen la obligación de llevar a cabo comprobaciones periódicas acerca de la
exactitud y pertinencia de los datos registrados y garantizar que los mismos se mantengan de la forma más
completa posible, con el fin de evitar errores de omisión, así como de actualizarlos periódicamente o cuando
se use la información contenida en un archivo, mientras están siendo procesados.
219
Artículo 12: Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de
la ley contra tales injerencias o ataques.
escasos o no están preocupados realmente en un tema tan importante como
este, mucho menos en temas que vinculen el Derecho y las Tecnologías. Sin
embargo, el cambio generacional configura en su fruto la victoria, haciendo
posible y visible las instituciones de actualizados artífices de la justicia; porque
sin jueces competentes, la regulación jurídico-informática corre un grave
peligro, así como la aplicación de Sistemas de Seguridad Informática para el
desarrollo de las naciones.
Y a estas alturas nos preguntaremos: ¿Qué problemas traería una mala
ejecución de este derecho?
En respuesta, podría generarse petitorios de personas como terroristas,
narcotraficantes, delincuentes de alto rango o participes en el delito de trata
de blancas, que exijan al Estado y a los tribunales la eliminación de su
información delictiva en Internet, luego de haber cumplido su condena y en
busca de una reinserción social, invitando a estos organismo a que exijan a
empresas como Google© o Bing©220 (el buscador de Microsoft®) la rápida
desvinculación de su información una vez cumplida su deuda con la sociedad.
Si bien nada niega que pueden haber enderezado el camino y buscar un mejor
futuro, acto que no se le puede prohibir a ningún ser humano, tampoco existe
la certeza que no serán objeto de reincidencia luego de un historial en blanco.
Y más peligro genera eliminar el historial de actos delictivos inclinados a la
corrupción de malos funcionarios públicos, pues estos solo guarían a la
ignorancia a futuros votantes en la elección de sus representantes gracias a la
ausencia de pruebas que demuestren que han sido malos funcionarios o que
tengan algún impedimento para postular a un cargo público o político.
220
Copyright © 2014 Microsoft
El Derecho al Olvido en Internet es una muy buena oportunidad de darle
un historial libre de anécdotas maliciosas y perjudiciales a personas que han
visto sus vidas amenazas por problemas de diversa índole, como problemas
económicos en el caso de Mario Costejo, o problemas de Ciberacoso como es
el caso de Ruth Jeffery, una estudiante universitaria inglesa que en el 2011 vio
amenaza su integridad, su honor y su dignidad durante tres años y medio a
manos de un acosador desconocido, el mismo que le generó la idea de
suicidarse cuando se postearon imágenes de ella en sitios web para adultos,
distribuyéndose entre sus familiares y amigos; o el caso del boxeador peruano
André Castañeda, que en el año 2013 fue víctima de la Suplantación de
Identidad por parte de una mafia que promueve la prostitución masculina a
través de Internet, información que se obtuvo de una conocida red social que
era utilizada por el deportista. Así como ellos tres existen muchos otros casos
en Internet y donde el Derecho al Olvido en Internet se emplearía de manera
justificada para la eliminación de esa información, haciendo que los
buscadores de Internet no permitan el acceso de esta con el solo teclear en
una computadora; pero el dilema va mucho más allá y es un tema que aún se
tiene que estudiar. ¿Solo es necesario impedir que los buscadores nos
conecten con estos vínculos hacia la información requerida, o también será
necesario eliminar la información de la página central de donde proviene la
noticia? Y nuevamente resurge inadvertido, ¿se verá afectada la denominada
Libertad de Prensa?
Segunda Parte: Libertad de Prensa influenciada
Los cambios que produce el Derecho al Olvido en Internet se ven manifestados
en la Libertad de Expresión de las personas y de los medios de comunicación,
prensa escrita y digital; sin embargo, como juristas entendemos que la Libertad
de Expresión de una persona acaba cuando afecta la integridad de la otra, sea
cual sea el medio que se ejerza para emitir el mensaje.
Entonces, ¿cómo puede esto afectar la Libertad de Prensa?
En el nuevo siglo, y con la participación activa de blogueros y la
comunicación activa producto del community management221, los efectos de
la prensa se han multiplicado y no han quedado solo en el enfoque del soporte
papel y de unas cuantas personas. Ahora todos ejercemos labores de prensa
tanto investigativa como crónica, sin la necesidad de tener en pertenencia un
título que avale la profesión, y es la web y los blog personales nuestros lienzos
que pintan el campo informativo. No obstante, la libertad de expresión y
opinión sigue siendo el aspecto más criticado en torno al Derecho al Olvido en
Internet, así lo ha dejado en claro la Organización Artículo 19 días después de
la decisión emitida por el TJUE.
Durante la más reciente edición de la Reunión Preparatoria de América
Latina y el Caribe para el Foro de Gobernanza de Internet (LACIGF 7), Frank La
Rue ofreció una conferencia sobre Derechos Humanos en Internet. En la ronda
de preguntas, surgió el tema del Derecho al Olvido y, de manera interesante,
el relator especial para la Libertad de Opinión y Expresión de la ONU222 ligó el
tema al Derecho a la Verdad223, el mismo derecho que está vinculado con el
221
Un Community Manager o Social Media Manager es la persona encargada de gestionar, construir y
moderar comunidades en torno a una marca en Internet.
222
Organización de las Naciones Unidas.
223
ROSAS, Israel. “Algunos conflictos del Derecho al Olvido”. Artículo publicado en FayerWare.com el 26 de
Julio
de
2014.
En:
http://www.fayerwayer.com/2014/07/algunos-conflictos-del-derecho-al-
Derecho de Acceso a la Información y que en muchos caso ha sido catalogado
como el primer paso para tener acceso a la justicia. Es decir, a opinión de otros
especialistas, el Derecho al Olvido no solo afectaría la Libertad de Expresión u
Opinión, sino también el Acceso a la Información.
La prensa pasa a ser un arma fundamental ante los vacíos que presenta
el Derecho al Olvido en Internet. A pesar de que muchos medios tradicionales
se han fecundado nuevamente en el ambiente de la red, la costumbre del
archivista aún no se ha perdido, y aun cuando la noticia se encuentre nadando
en el capullo de las redes, existe un back up listo si en algún momento se
empleara la noticia que fue requerida para desvincular ya sea para la
resolución de un caso o para citar en una nueva nota.
Por otro lado, las afecciones que podría tener el ambiente de la prensa
se dan en dos focos. Primero, el control de la noticia, que no es otra cosa que
controlar al milímetro las palabras empleadas al momento de la elaboración
de la nota, para no afectar susceptibilidades y esta noticia no se vea atacada
por un pedido de Derecho al Olvido. Segundo, el control sobre la noticia, que
no es otra cosa que el manejo inconsciente ante la amenaza de la libertad de
expresión y sobre que publicar y que no. Hablamos en este caso de una
coacción indirecta sobre la noticia y el foco perfecto por parte de políticos
corruptos y delincuentes para ejercer abusivamente el Derecho al Olvido ante
un Juez y exigir la eliminación de dicha noticia a las empresas de buscadores
de Internet, con lo que su decisión, acompañada de los formularos que brindan
dichas empresas, tendrían un sustento mayor.
olvido/?utm_source=twitterfeed&utm_medium=twitter&utm_campaign=Feed%3A+fayerwayer+(FayerWay
er)
Es en este proceso en donde el Juez jugará un papel más que importante
dentro del partido. Si realmente la noticia afecta a la persona, puede
desvincularse. Caso contrario, si afecta a la sociedad, este debe de seguir en
Internet bajo el supuesto de Acceso a la Información.
Pero otro de los factores que podría verse afectado es la viralización de
la noticia. El fácil acceso, el compartir múltiple y la rápida expansión podrían
encontrar sus días lúgubres a causa de un derecho que lo único que busca es
proteger la integridad de la persona. Nuevamente el Juez deberá determinar
qué es lo correcto y lo incorrecto; porque si dejamos que Google© o Bing©
sigan controlando qué debe desvincularse y que no de sus buscadores, la
coacción monetaria puede llegar a ser una opción y podríamos empezar a
hablar incluso sobre un control absoluto sobre la propagación de la noticia y
ya no sobre la Libertad de Expresión.
Tercera Parte: El peligro aun es latente
Las últimas investigaciones sobre el Derecho al Olvido en Internet producto de
la hazaña de Costeja ha dibujado palabras nuevas en un vacío profundo e
indetectable en el ejercicio de desvincular información.
De acuerdo a dichas investigaciones, la fórmula aplicada por Google©
hasta el momento ha sido eliminar vínculos solo de las versiones europeas de
su web, como Google.de en Alemania o Google.co.uk en el Reino Unido,
manteniendo los resultados en Google.com224. Es decir, si realizáramos la
búsqueda en el dominio comercial de Google© o en otras de dominio
territorial como google.br o google.pe, dominios no pertenecientes a la región
europea, la información de Costeja debería aún de aparecer. Entonces,
¿realmente estamos hablando de un Derecho al Olvido o solo de una
desvinculación territorial?
Y con ello se trae otro ejercicio que conllevaría a deseo de
desvinculación continua de todos los buscadores de Internet y de sus dominios
territoriales y comerciales. ¿Caeríamos en el ejercicio del abuso de eliminación
de información? Como bien hemos dejado en claro en el punto anterior y
durante el desarrollo de este texto, el petitorio abusivo del cumplimiento de
este derecho seguirá vigente mientras exista el deseo de eliminar información
no deseada. Ahora dependerá analizar los petitorios para saber cuál es el que
procede para el ejercicio de desvincular información y cuál debe de ser negado
rotundamente, siempre primando el parámetro proteccionista social.
Punto Final: El nuevo paradigma de la Justicia y el Derecho como responsable
del correcto ejercicio del Derecho al Olvido en Internet
Evitar el tráfico de datos en Internet no es un trabajo imposible, pero sí
complicado. El precedente que se deja con el caso de Mario Costejo contra
Google© es la responsabilidad de las empresas gestoras de buscadores en
224
Léase: ABBOUD, Leila y FIORETTI, Julia. “Europa debate el "derecho al olvido" en internet”. Artículo
publicado en Yahoo! Noticias el 25 de Julio de 2014. En: https://es.noticias.yahoo.com/europa-debatederecho-olvido-internet-174225831--finance.html
Internet de impedir la vinculación con todo tipo de información, generando
filtros y haciendo un sistema más perfecto, permitiendo que el respeto a los
principales Derechos Fundamentales de las persona en Internet sean cada vez
más respetados con el paso de los días225.
Parte de este grupo son también las empresas dedicadas al Social Media
como Facebook©226, Instagram©227, Google+©228 entre otros, que configuran
nuestra información personal y la hacen de fácil acceso para cualquier usuario.
Por otro lado, aun siendo este un trabajo difícil y meticuloso, tanto como
ciudadanos y como juristas, debemos empezar a enfocar este derecho a través
de uso responsable y cuya ventaja nos permita un bien común como sociedad
y no para un delincuente, así como valernos de la ayuda de los medios de
comunicación para datos importantes que nos podrían ayudar a resolver
muchas controversias en el aspecto jurídico. Si no empezamos a tomar mayor
conciencia nos enfrentaremos a problemas mucho peores de los que ya están
presentes, y de los que esperan el momento exacto para tocar nuestra puerta.
Internet es un ambiente libre. Citando a un conocido amigo mío
dedicado al ambiente de la informática, el peligro que podríamos generar los
abogados al buscar impartir justicia en todo aspecto sin medir consecuencia
es la de enrejar un bosque lleno de vitalidad, armonía y sin fin. Sin embargo,
somos nosotros lo que no podemos permitir la delincuencia en las redes y
demostrar que nuestra misión no es enclaustrar la forestación digital, sino
buscar sanciones para aquellos que, sabiendo que existe libertad y una vida en
225
SANTIVÁÑEZ ANTUNEZ, David Alonso. “Alzheimer Digital – Primera Parte”. Publicado el 13 de Junio de
2014. En: http://davidsantivanez.wordpress.com/2014/06/13/alzheimer-digital-primera-parte/
226
Copyright © 2014.
227
Copyright © 2014.
228
Copyright © 2014.
las redes, pretendan ocasionar daños irreparables contra la misma red o las
personas que en ella conviven. Ya los expertos en Seguridad Informática
ejercen un trabajo digno y completo. Es momento que nosotros ejecutemos
nuestra labor y les demos una mano, sancionando legalmente a aquellos
contra quienes los primeros combaten.
Bibliografía
20minutos.es: “Microsoft imita a Google y permite el derecho al olvido en
Bing”.
Artículo
publicado
el
17
de
Julio
de
2014.
En:
http://www.20minutos.es/noticia/2195389/0/microsoft-imitagoogle/permite-derecho/olvido-bing/
20minutos.es: “Google comienza a aplicar el 'derecho al olvido' después de
la decisión de la Unión Europea”. Artículo publicado el 26 de Junio de
2014. En: http://www.20minutos.es/noticia/2178376/0/derecho-alolvido/google/decision-union-europea/
ABBOUD, Leila y FIORETTI, Julia. “Europa debate el "derecho al olvido" en
internet”. Artículo publicado en Yahoo! Noticias el 25 de Julio de 2014.
En:
https://es.noticias.yahoo.com/europa-debate-derecho-olvido-
internet-174225831--finance.html
ABC.es: “Pero, ¿qué es el «derecho al olvido» en internet?”. Publicado el 14
de
Mayo
de
2014.
En:
http://www.abc.es/tecnologia/redes/20140514/abci-derecho-olvidogoogle-sentencia-201405141455.html
CHANNEL4.COM: “My Social Network Stalker”. Guía de episodio a
transmitirse a través de Channel4, canal
de Internet. En:
http://www.channel4.com/programmes/my-social-networkstalker/episode-guide
DERECHO AL OLVIDO EN INTERNET. “The Right to Privacy”. Publicado en
Marzo de 2013. En: http://www.derechoalolvido.eu/
DW (Español). “¡Olvídalo Google! Martin Gak sobre fallo del Tribunal Europeo
"derecho al olvido" | Journal”. Publicado el 13 de Mayo de 2014. En:
https://www.youtube.com/watch?v=bpPaONlHHgc
ELCOMERCIO.PE – Portal digital del Diario El Comercio. “Mario Costeja: El
español que golpeó al todopoderoso Google©”. Artículo publicado el
14
de
Mayo
de
2014.
En:
http://elcomercio.pe/tecnologia/google/mario-costeja-espanol-quegolpeo-al-todopoderoso-google-noticia-1729387
ELCOMERCIO.PE – Portal digital del Diario El Comercio. “¿Por qué EE.UU se
enfurece por el derecho al olvido en Google©?” Artículo publicado el
26
de
Mayo
de
2014.
En:
http://elcomercio.pe/tecnologia/actualidad/que-eeuu-se-enfurecederecho-al-olvido-google-noticia-1732036
ELCOMERCIO.PE – Portal digital del Diario El Comercio. “Google© empezó a
aplicar el "derecho al olvido" en Europa”. Artículo publicado el 26 de
Junio de 2014. En: http://elcomercio.pe/tecnologia/google/googleempezo-aplicar-derecho-al-olvido-europa-noticia-1738788
FERNÁNDEZ, Javier G. “Las empresas explotan el 'derecho al olvido'”. Artículo
publicado en expansión.com, el 21 de Julio de 2014. En:
http://www.expansion.com/2014/07/21/empresas/tecnologia/140597
2046.html
PARDO, Daniel. “¿Tenemos derecho a ser olvidado de Internet?” Artículo
publicado en BBC MUNDO – LONDRES el15 de Junio de 2013. En:
http://www.bbc.co.uk/mundo/noticias/2013/07/130702_tecnologia_a
rchivistas_derecho_olvido_dp.shtml
ROSAS, Israel. “Algunos conflictos del Derecho al Olvido”. Artículo publicado
en
FayerWare.com
el
26
de
Julio
de
2014.
En:
http://www.fayerwayer.com/2014/07/algunos-conflictos-del-derechoalolvido/?utm_source=twitterfeed&utm_medium=twitter&utm_campai
gn=Feed%3A+fayerwayer+(FayerWayer)
RPP.COM.PE – Portal digital de RPP Noticias. “¿Qué es el ´derecho al olvido´
en
Internet?”.
Publicado
el
16
de
Mayo
de
2014.
En:
http://www.rpp.com.pe/2014-05-16--que-es-el-derecho-al-olvido-eninternet-noticia_692641.html
SANTIVÁÑEZ ANTUNEZ, David Alonso. “Alzheimer Digital – Primera Parte”.
Artículo
publicado
el
13
de
Junio
de
2014.
En:
http://davidsantivanez.wordpress.com/2014/06/13/alzheimer-digitalprimera-parte/
SANTIVÁÑEZ ANTUNEZ, David Alonso. “Alzheimer Digital – Segunda Parte: El
Caso Peruano”. Artículo publicado el 13 de Junio de 2014. En:
http://davidsantivanez.wordpress.com/2014/06/13/alzheimer-digitalsegunda-parte-el-caso-peruano/
SevillaActualidad.com: “La Unión de Consumidores atenderá las demandas
sobre el derecho al olvido en Internet”. Publicado el 24 de Julio de
2014. En: http://www.sevillaactualidad.com/mas-actualidad/27247-elgabinete-juridico-de-la-union-de-consumidores-atendera-lasdemandas-sobre-el-derecho-al-olvido-en-internet
VERA, Francisco. “¿Es necesario un derecho al olvido en Internet?”. Artículo
publicado en ONGDERECHOSDIGITALES – Derechos Humanos,
Tecnologías e Interés Público, el 18 de Julio de 2013. En:
https://www.derechosdigitales.org/5884/es-necesario-un-derecho-alolvido-en-internet/
ELTIEMPO.COM: “Google ya empezó a aplicar fallo sobre 'derecho al olvido'
en
Europa”.
Publicado
el
01
de
Julio
de
2014.
En:
http://www.eltiempo.com/tecnosfera/novedades-tecnologia/derechoal-olvido-ya-empezo-a-regir-en-europa/14177258