Declaración Ministerial relativa a la protección de la intimidad en las Redes Globales. Ottawa, 7 al 9 de octubre de 1998.
ORGANIZACIÓN PARA LA COOPERACIÓN Y DESARROLLO ECONÓMICO.
Directrices sobre protección de datos
INTRODUCCIÓN
La Declaración relativa a la Protección de la Intimidad en las Redes Globales fue adoptada por los Ministros en la Conferencia Ministerial de Ottawa celebrada los días 7 a 9 de octubre de 1998. En su 934 sesión, celebrada el 19 de octubre de 1998, el Consejo adoptó una Resolución en virtud de la cual se integra la presente Declaración en los instrumentos de la Organización.
Derechos de reproducción OCDE, 1998
Las solicitudes de autorización para reproducir o traducir en todo o en parte este material deben efectuarse a:
Director del Servicio de Publicaciones de la OCDE, 2 rue André-Pascal, 75775 París Cedex, 16 Francia.
DECLARACIÓN RELATIVA A LA PROTECCIÓN DE LA INTIMIDAD EN LAS REDES GLOBALES
Realizada por los Ministros de la OCDE en la Conferencia
«Un mundo sin fronteras: comprender el potencial del comercio electrónico global»
7-9 de octubre de 1998, Ottawa, Canadá
Los Gobiernos de los Países Miembros de la OCDE*:
* incluidas las Comunidades Europeas.
Considerando que el desarrollo y difusión de los ordenadores digitales y de las tecnologías de red a escala global ofrecen beneficios sociales y económicos al fomentar el intercambio de información, aumentar la posibilidad de elección del consumidor y estimular la expansión del mercado y la innovación de los productos;
Considerando que las tecnologías de redes globales facilitan la expansión del comercio electrónico y aceleran el crecimiento de las comunicaciones y transacciones electrónicas transfronterizas entre gobiernos, empresas y usuarios y consumidores;
Considerando que los datos personales deben ser recogidos y manejados con el debido respeto a la intimidad;
Considerando que los ordenadores digitales y las tecnologías de red pueden también ser empleadas para educar a los usuarios y consumidores acerca de cuestiones relacionadas con la intimidad en línea y para ayudarles a mantener su anonimato en las circunstancias adecuadas o poder elegir con respecto a los usos que se hagan de sus datos personales;
Considerando que, para aumentar la confianza en las redes globales, los usuarios y consumidores necesitan garantías en cuanto a la recogida y manejo leal de sus datos personales, incluidos los datos relativos a sus actividades y transacciones en línea;
Considerando que resulta necesario garantizar la protección eficaz y general de la intimidad por parte de las empresas que recopilan y manejan datos personales, con el fin de aumentar la confianza del usuario y del consumidor en las redes globales;
Considerando que unas normas y reglamentos transparentes que rijan la protección de la intimidad y de los datos personales y su efectiva puesta en práctica en las redes de información constituyen elementos esenciales para aumentar la confianza en las redes globales;
Considerando que los diferentes enfoques eficaces de protección de la intimidad desarrollados por los Estados Miembros, incluida la adopción y puesta en práctica de leyes o la autorregulación por parte de la industria, pueden trabajar juntos para conseguir una protección eficaz de la intimidad en las redes globales;
Considerando que la necesidad de cooperación global y la necesidad de que la industria y las empresas desempeñen un papel clave, en colaboración con los consumidores y los gobiernos, para conseguir una puesta en práctica eficaz de principios relacionados con la intimidad en las redes globales;
Considerando que los principios neutrales desde el punto de vista de la tecnología de las Directrices sobre Intimidad de la OCDE de 1980 continúan representando un consenso internacional y una orientación en cuanto a la recogida y manejo de datos personales en cualquier medio, y proporcionan la base para la protección de la intimidad en las redes globales;
REAFIRMAN los objetivos establecidos en:
La Recomendación relativa a las directrices que rigen la protección de la intimidad y los flujos transfronterizos de datos personales, adoptada por el Consejo de la OCDE el 23 de septiembre de 1980 (Directrices sobre Intimidad de la OCDE);
La Declaración relativa a los flujos de datos transfronterizos, adoptada por los Gobiernos de los países Miembros de la OCDE el 11 de abril de 1985; y
La Recomendación relativa a las directrices de política criptográfica, adoptada por el Consejo de la OCDE el 2 de marzo de 1997.
DECLARAN QUE:
Reafirman su compromiso relativo a la protección de la intimidad en las redes globales, con el fin de garantizar el respeto de derechos importantes, fomentar la confianza en las redes globales y evitar restricciones innecesarias a los flujos transfronterizos de datos personales;
Trabajarán juntos para tender puentes entre los diferentes enfoques adoptados por los países Miembros, con el fin de garantizar la protección de la intimidad en las redes globales basándose en las Directrices de la OCDE;
Tomarán las medidas necesarias, dentro del marco de sus respectivas reglamentaciones y prácticas, para garantizar que las Directrices sobre Intimidad de la OCDE sean llevadas a efecto de forma eficaz en relación con las redes globales y, en particular:
estimularán la adopción de políticas sobre la intimidad, ya sean puestas en práctica por medios jurídicos o bien de autorregulación, administrativos o tecnológicos;
estimularán la notificación en línea a los usuarios de las políticas sobre la intimidad;
garantizarán la existencia de mecanismos eficaces de ejecución, dirigidos tanto a hacer frente al incumplimiento de los principios y políticas relativos a la intimidad como a garantizar el acceso a una reparación
promoverán la educación y concienciación del usuario con respecto a las cuestiones relacionadas con la intimidad en línea y los medios disponibles para proteger la intimidad en las redes globales;
fomentarán el uso de tecnologías que aumenten la intimidad; y
fomentarán el uso de soluciones contractuales y el desarrollo de soluciones contractuales modelo para los flujos de datos transfronterizos en línea;
Acuerdan revisar los avances conseguidos en la promoción de los objetivos de la presente Declaración en un período de dos años, así como evaluar la necesidad de adoptar nuevas actuaciones para garantizar la protección de datos personales en las redes globales, con vistas a alcanzar estos objetivos.
DECLARAN ADEMÁS QUE LA OCDE DEBE:
Apoyar a los estados Miembros para que intercambien información sobre métodos eficaces para proteger la intimidad en las redes globales, e informen acerca de sus esfuerzos y experiencia en cuanto al cumplimiento de los objetivos de esta Declaración.
Examinar cuestiones específicas suscitadas por la puesta en práctica de las Directrices sobre Intimidad de la OCDE en relación con las redes globales y, tras la recogida y distribución de ejemplos de experiencias relacionadas con la puesta en práctica de las Directrices, facilitar orientaciones prácticas a los estados Miembros acerca de la puesta en práctica de la Directrices en entornos en línea, teniendo en cuenta los diferentes enfoques de protección de la intimidad adoptados por los países Miembros e inspirándose en las experiencias de los estados Miembros y del sector privado.
Cooperar con la industria y las empresas en sus esfuerzos encaminados a proporcionar protección de la intimidad en las redes globales, así como con las correspondientes organizaciones regionales e internacionales.
Revisar periódicamente los principales avances y cuestiones en el campo de la protección de la intimidad relacionados con los objetivos de esta Declaración.
Tener en cuenta, entre otras cosas, en sus trabajos futuros, las cuestiones y actividades sugeridas que se debaten en el Informe de Antecedentes que acompaña a la presente Declaración.
INVITA:
A los países no miembros a tener en cuenta la presente Declaración;
A las correspondientes organizaciones internacionales a tomar en consideración la presente Declaración a la hora de elaborar o revisar los convenios internacionales, directrices, códigos de práctica, cláusulas contractuales modelo, tecnologías y plataformas interoperables para la protección de la intimidad en las redes globales.
A la industria y a las empresas a tener en cuenta los objetivos de la presente Declaración y a trabajar con los gobiernos para favorecerlos, poniendo en práctica programas para la protección de la intimidad en las redes globales.
Directrices relativas a la protección de la intimidad y los flujos transfronterizos de datos personales
Contenido
Prefacio, Recomendación del Consejo, Directrices, Memorándum explicativo
PREFACIO
El desarrollo del proceso automático de datos, que permite la transmisión de enormes cantidades de datos en segundos a través de las fronteras nacionales, e indudablemente a través de continentes, ha hecho necesario el tomar en consideración la protección de la intimidad en relación con los datos personales. Se han introducido, o están a punto de introducirse, leyes de protección de la intimidad en aproximadamente la mitad de los países Miembros de la OCDE (Austria, Canadá, Dinamarca, Francia, Alemania, Luxemburgo, Noruega, Suecia y los Estados Unidos han aprobado legislación; Bélgica, Islandia, Holanda, España y Suiza han elaborado proyectos de ley) para impedir las que se consideran violaciones de derechos humanos fundamentales, como son el almacenamiento ilegal de datos personales, el almacenamiento de datos personales inexactos o el abuso o revelación no autorizada de tales datos.
Por otra parte, existe el peligro de que las disparidades en las legislaciones nacionales puedan obstaculizar el libre flujo de datos personales a través de las fronteras; estos flujos han aumentado notablemente en años recientes y van a aumentar aún más con la introducción generalizada de nuevas tecnologías de ordenadores y comunicaciones. Las limitaciones a estos flujos pueden provocar graves trastornos en importantes sectores de la economía, como la banca y los seguros.
Por este motivo, los países Miembros de la OCDE han considerado necesario elaborar Directrices que puedan ayudar a armonizar la legislación nacional relativa a la intimidad y que, al tiempo que defienden tales derechos humanos, eviten interrupciones en los flujos internacionales de datos. Representan un consenso sobre principios básicos, que pueden incorporarse a la legislación nacional existente o servir de base a la legislación en aquellos países que todavía carecen de ella.
Las Directrices, en forma de Recomendación del Consejo de la OCDE, fueron elaboradas por un grupo de expertos gubernamentales, bajo la presidencia del Excmo. Sr. Magistrado M. D. Kirby, Presidente de la Comisión Australiana de Reforma Legislativa. La Recomendación fue adoptada y entró en vigor el 23 de septiembre de 1980.
Las Directrices van acompañadas de un Memorándum Explicativo, con la finalidad de proporcionar información acerca del debate y de los razonamientos que subyacen en su formulación.
RECOMENDACIÓN DEL CONSEJO RELATIVA A LAS DIRECTRICES QUE RIGEN LA PROTECCIÓN DE LA INTIMIDAD Y LOS FLUJOS TRANSFRONTERIZOS DE DATOS PERSONALES
(23 de septiembre de 1980)
EL CONSEJO,
Teniendo en cuenta los artículos 1(c), 3(a) y 5(b) del Convenio relativo a la Organización de Cooperación y Desarrollo Económicos de 14 de diciembre de 1960;
RECONOCIENDO:
que, aunque las leyes y políticas nacionales puedan diferir, los países miembros tienen un interés común en proteger la intimidad y las libertades individuales, y en compatibilizar valores fundamentales, aunque en pugna, como son la intimidad y el libre flujo de información;
que el proceso automático y los flujos transfronterizos de datos personales crean nuevas formas de relación entre los países y exigen la elaboración de normas y prácticas compatibles;
que los flujos transfronterizos de datos personales contribuyen al desarrollo económico y social;
que la legislación interna relativa a la protección de la intimidad y los flujos transfronterizos de datos personales puede obstaculizar los referidos flujos transfronterizos;
Determinado a fomentar el libre flujo de información entre los países Miembros y a evitar la creación de obstáculos injustificados al desarrollo de relaciones económicas y sociales entre los países Miembros;
RECOMIENDA
1. Que los países Miembros tengan en cuenta en su legislación interna los principios relativos a la protección de la intimidad y de las libertades individuales establecidos en las Directrices contenidas en el Anexo a la presente Recomendación, que forma parte integrante de las mismas.
2. Que los países Miembros se esfuercen en retirar o eviten crear, en nombre de la protección de la intimidad, obstáculos injustificados a los flujos transfronterizos de datos personales;
3. Que los países Miembros pacten a la mayor brevedad posible procedimientos específicos de consulta y cooperación para la aplicación de las presentes Directrices.
Anexo a la Recomendación del Consejo de 23 de septiembre de 1980
DIRECTRICES QUE RIGEN LA PROTECCIÓN DE LA INTIMIDAD Y LOS FLUJOS TRANSFRONTERIZOS DE DATOS PERSONALES
PARTE UNO. GENERALIDADES
Definiciones
A los fines de las presentes Directrices:
«controlador de datos» significa una parte que, conforme a su derecho interno, es competente para decidir acerca del contenido y uso de los datos personales, sin tener en cuenta el hecho de que tales datos sean recogidos, almacenados, procesados o divulgados por dicha parte o por un agente en nombre suyo; «datos personales» significa cualquier información relativa a una persona identificada o identificable (sujeto de los datos); «Flujos transfronterizos de datos personales» significa movimientos de datos personales a través de fronteras nacionales.
Ámbito de aplicación de las presentes Directrices
2. Las presentes Directrices se aplican a los datos personales, tanto del sector público como del privado, que, como consecuencia de la forma en que son procesados, o como consecuencia de su naturaleza o del contexto en el que se utilizan, representan un riesgo para la intimidad y para las libertades individuales.
3. Las presentes Directrices no deben interpretarse en el sentido de impedir
la aplicación a diferentes categorías de datos personales, de diferentes medidas protectoras, dependiendo de su naturaleza y del contexto en que sean recogidos, almacenados, procesados o divulgados; la exclusión de la aplicación de las Directrices de aquellos datos personales que obviamente no contengan ningún riesgo para la intimidad y para las libertades individuales; o la aplicación de las Directrices únicamente al proceso automático de datos personales.
4. Las excepciones a los Principios contenidos en las Partes Dos y Tres de las presentes Directrices, incluidas aquellas relativas a la soberanía nacional, seguridad nacional y orden público («ordre public») deben ser:
tan pocas como sea posible, y
puestas en conocimiento del público.
5. En el caso particular de los países federales, la observancia de las presentes Directrices puede verse afectada por la división de poderes dentro de la Federación.
6. Las presentes Directrices deben considerarse como estándares mínimos, que pueden complementarse con medidas adicionales para la protección de la intimidad y de las libertades individuales.
PARTE DOS. PRINCIPIOS BÁSICOS DE APLICACIÓN NACIONAL
Principio de limitación de la recogida
7. Deben existir límites a la recogida de datos personales y cualquiera de dichos datos debe ser obtenido a través de medios legales y leales y, en caso aplicable, con el conocimiento o consentimiento del sujeto de los datos
Principio de calidad de los datos
8. Los datos personales deben ser pertinentes para los fines para los que vayan a ser utilizados y, en la medida necesaria para dichos fines, deben ser exactos, completos y actualizados.
Principio de especificación del fin
9. Los fines para los que se recogen los datos personales deben ser especificados no más tarde del momento en que sean recogidos, y su uso posterior limitado al cumplimiento de tales fines o de aquellos otros que no sean incompatibles con los mismos y que se especifiquen en cada ocasión en que se cambien.
Principio de limitación de uso
11. Los datos personales no deben ser revelados, puestos a disposición o utilizados de otra forma, para fines distintos de los especificados conforme al Apartado 9, excepto:
con el consentimiento del sujeto de los datos; o
con autorización legal.
Principio de salvaguardas de seguridad
12. Habrá una política general de apertura por lo que se refiere a los avances, prácticas y políticas relacionados con los datos personales. Tienen que existir medios fácilmente accesibles para establecer la existencia y la naturaleza de los datos personales, y de los fines principales para los que van a ser utilizados, así como la identidad y residencia habitual del controlador de los datos.
Principio de participación individual
13. Una persona debe tener derecho:
a obtener, de un controlador de los datos o de otra forma, la confirmación de si el controlador de los datos tiene o no datos relacionados con ella;
a que se le comuniquen los datos con ella relacionados dentro de un período de tiempo razonable; con un coste, en su caso, que no sea excesivo; de una manera razonable, y de una forma que le resulte fácilmente inteligible;
a que se le dé una motivación, en caso de que le sea denegada una solicitud al amparo de los subapartados a) y b), y a poder recurrir tal denegación; y
a recurrir contra datos con ella relacionados y, en caso de que el recurso tenga éxito, a que los datos sean borrados, rectificados, completados o enmendados.
Principio de responsabilidad
14. Un controlador de datos debe ser responsable de cumplir las medidas que den efecto a los principios arriba especificados.
PARTE TRES: PRINCIPIOS BÁSICOS DE APLICACIÓN INTERNACIONAL: LIBRE FLUJO Y LIMITACIONES LEGÍTIMAS
15. Los países Miembros deben tener en cuenta las implicaciones que tiene para otros países Miembros el procesado interno y la reexportación de datos personales.
16. Los estados Miembros deben adoptar todas las medidas razonables y adecuadas para garantizar que los flujos transfronterizos de datos personales, incluido el tránsito a través de un país Miembro, sean ininterrumpidos y seguros.
17. Un país Miembro debe abstenerse de limitar los flujos transfronterizos de datos personales entre sí mismo y otro país Miembro, salvo cuando este último no observe todavía de forma sustancial las presentes Directrices, o cuando la reexportación de tales datos escaparía a la aplicación de su legislación interna sobre intimidad. Un país Miembro puede también imponer restricciones en relación con determinadas categorías de datos personales para las que su legislación interna sobre intimidad incluya normas específicas como consecuencia de la naturaleza de aquellos datos y para los que el otro país Miembro no prevea una protección equivalente.
18. Los países Miembros deben evitar elaborar leyes, políticas y prácticas en nombre de la protección de la intimidad y de las libertades individuales, que sean susceptibles de crear obstáculos a los flujos transfronterizos de datos personales superiores a los necesarios para dicha protección.
PARTE CUATRO: PUESTA EN PRÁCTICA A ESCALA NACIONAL
19. A la hora de poner en práctica a escala interna los principios establecidos en las Partes Dos y Tres, los países Miembros deben establecer procedimientos o instituciones jurídicas, administrativas o de otra clase para la protección de la intimidad y de las libertades individuales en relación con los datos personales. Los países Miembros deben, en particular, esforzarse por:
adoptar una legislación interna adecuada;
fomentar y respaldar la autorregulación, ya sea en forma de códigos de conducta o de otra forma;
proporcionar medios razonables para que las personas ejerciten sus derechos;
prever las sanciones y recursos necesarios en caso de incumplimiento, con medidas que pongan en práctica los principios establecidos en las Partes Dos y Tres; y
garantizar que no existe una discriminación desleal contra los sujetos de los datos.
PARTE CINCO: COOPERACIÓN INTERNACIONAL
20. Los países Miembros deben, en caso de que se les solicite, dar a conocer a otros países Miembros los detalles de la observancia de los principios establecidos en las presentes Directrices. Los países Miembros deben también garantizar que los procedimientos relativos a los flujos transfronterizos de datos personales y a la protección de la intimidad y de las libertades individuales sean sencillos y compatibles con los de otros países Miembros que respeten las presente Directrices.
21. Los países Miembros deben establecer procedimientos para facilitar:
1. el intercambio de información relacionada con las presentes Directrices; y la asistencia mutua en las materias de procedimiento e investigación de que se trate.
22. Los países Miembros deben trabajar en la elaboración de principios, internos e internacionales, que rijan el derecho aplicable en caso de flujos transfronterizos de datos personales
MEMORÁNDUM EXPLICATIVO
INTRODUCCIÓN
Una característica de los países miembros de la OCDE durante las pasadas décadas ha sido la elaboración de leyes para la protección de la intimidad. Estas leyes han tendido a asumir diferentes formas en los diferentes países, y en muchos países están todavía en proceso de elaboración. Las disparidades en la legislación pueden crear obstáculos al libre flujo de la información entre los países. Tales flujos han aumentado notablemente en los últimos años y están destinados a continuar creciendo como resultado de la introducción de nuevas tecnologías informáticas y de comunicación.
La OCDE, que se había mostrado activa en este campo desde hacía algunos años, decidió enfrentarse a los problemas derivados de la divergencia de las legislaciones nacionales y en 1978 encargó a un Grupo de Expertos la elaboración de unas Directrices en torno a normas básicas que rigiesen el flujo transfronterizo y la protección de datos personales y de la intimidad, con el fin de facilitar la armonización de la legislación nacional. El Grupo ha finalizado ahora su trabajo.
Las Directrices son de naturaleza amplia y reflejan el debate y la labor legislativa que se ha estado llevando a cabo durante varios años en los países Miembros. El Grupo de Expertos que elaboró las Directrices ha considerado esencial emitir un Memorándum Explicativo anexo. Su finalidad es la de explicar y elaborar las Directrices y los problemas básicos de protección de la intimidad y de las libertades individuales. Dirige la atención hacia temas clave que se han planteado en el debate de las Directrices y explica los motivos por los que se han elegido unas soluciones determinadas.
La primera parte del Memorándum proporciona información sobre antecedentes generales del área objeto de preocupación, tal y como se perciben en los países Miembros. Explica la necesidad de actuación internacional y resume el trabajo que se ha llevado a cabo hasta la fecha por parte de la OCDE y de algunas otras organizaciones internacionales. Concluye con una lista de los principales problemas con que se ha encontrado el Grupo de Expertos en su trabajo.
La Parte Dos tiene dos subapartados. El primero contiene comentarios acerca de determinadas características generales de las Directrices, la segunda comentarios detallados acerca de algunos apartados concretos.
El Memorándum es un documento informativo, elaborado para explicar y describir en general el trabajo del Grupo de Expertos. Está subordinado a las propias Directrices. No puede modificar el sentido de las Directrices, aunque se facilita como ayuda para su interpretación y aplicación.
ANTECEDENTES GENERALES
Los problemas
1. La década de los 70 puede describirse como un período de actividades intensificadas de investigación y legislación acerca de la protección de la intimidad relacionada con la recogida y uso de datos personales. Numerosos informes oficiales muestran que los problemas se toman en serio a nivel político y, al mismo tiempo, que la tarea de equilibrar intereses contrapuestos es delicada y que es improbable que pueda llevarse a cabo de manera definitiva. El interés público ha tendido a centrarse en los riesgos e implicaciones asociadas al proceso informatizado de datos personales, y algunos países han elegido aprobar leyes dirigidas exclusivamente a la informática y a actividades basadas en la informática. Otros países han preferido una aproximación más general a los temas de protección de la intimidad, sea cual sea la tecnología concreta del procesado de datos.
2. Los remedios objeto de debate son principalmente salvaguardas para la persona que impidan una invasión de su intimidad en el sentido clásico, es decir, el abuso o revelación de datos personales íntimos, pero se han puesto de manifiesto otras necesidades de protección más o menos estrechamente relacionadas. La obligación de los responsables de los archivos de informar al público en general de las actividades relacionadas con el procesado de datos, y los derechos de los sujetos de los datos a añadir o modificar los datos que a ellos se refieren constituyen dos ejemplos al azar. En general, ha habido una tendencia a ampliar el concepto tradicional de intimidad («el derecho a que le dejen a uno en paz») y a identificar una síntesis más compleja de intereses que pueden quizás denominarse con mayor corrección intimidad y libertades individuales.
3. Por lo que se refiere a los problemas jurídicos derivados del procesado automático de datos (PAD), la protección de la intimidad y de las libertades individuales constituye quizás el aspecto más ampliamente debatido. Entre los motivos de esta preocupación generalizada se encuentran el uso ubicuo de ordenadores para el procesado de datos personales, las posibilidades ampliamente extendidas de almacenamiento, comparación, vinculación, selección y acceso a los datos personales, y la combinación de la informática con la tecnología de telecomunicaciones, que puede poner los datos personales de forma simultánea a disposición de miles de usuarios en lugares geográficamente distantes y que permite reunir fondos de datos y crear complejas redes de datos nacionales e internacionales. Determinados problemas exigen una atención particularmente urgente, por ejemplo, aquellos relativos a las redes de datos internacionales emergentes, así como la necesidad de equilibrar intereses en pugna, de intimidad por una parte y de libertad de información por otra, con el fin de permitir una explotación plena del potencial de las nuevas tecnologías de procesado de datos en la medida en que resulte deseable.
Actividades a escala nacional
4. Más de una tercera parte de los países Miembros de la OCDE han aprobado hasta la fecha diversas leyes que, entre otras cosas, pretenden proteger a los individuos contra el abuso de los datos que a ellos se refieren y darles derecho a acceder a los datos con el fin de comprobar su exactitud y conveniencia. En los estados federales, pueden encontrarse leyes de este tipo tanto a nivel nacional como estatal o provincial. Tales leyes se denominan de distinta forma en los diferentes países. De esta forma, resulta práctica habitual en la Europa continental el hablar de «leyes de datos» o de «leyes de protección de datos» (lois sur la protection des données), mientras que en los países anglófonos se conocen normalmente como «leyes de protección de la intimidad». La mayor parte de las leyes fueron aprobadas después de 1973, y el período actual puede describirse como de actividad legislativa continua e incluso intensificada. Los países que ya tienen leyes en vigor están dirigiéndose hacia nuevas áreas de protección o se están dedicando a revisar o complementar las leyes existentes. Algunos otros países están entrando en la materia, y tienen proyectos de ley pendientes o están estudiando los problemas con el fin de elaborar la legislación. Estos esfuerzos nacionales, y en no menor medida los amplios informes y documentos de investigación elaborados por comités públicos u organismos similares, ayudan a clarificar las problemas y las ventajas e implicaciones de las distintas soluciones. En el estadio actual, proporcionan una sólida base para la actuación internacional.
5. Los enfoques de protección de la intimidad y de las libertades individuales adoptados por los distintos países tienen muchas características comunes. Así, es posible identificar determinados intereses o valores básicos que se consideran, en general, componentes elementales del área de protección. Algunos principios nucleares de este tipo son: poner límites a la recogida de datos personales de acuerdo con los objetivos de quien los recoge y criterios similares, limitar el uso de datos para conformarse a fines abiertamente especificados, crear medios para que los individuos conozcan la existencia y contenido de los datos y puedan corregirlos, e identificación de las partes que sean responsables de hacer respetar el cumplimiento de las normas y decisiones pertinentes de protección de la intimidad. Hablando en términos generales, las leyes que protegen la intimidad y las libertades individuales en relación con los datos personales tratan de cubrir los sucesivos estadios del ciclo que comienza con la recogida inicial de datos y finaliza con su supresión o medidas similares, así como de garantizar en la mayor medida posible la concienciación, participación y control individuales.
6. Las diferencias entre enfoques nacionales que se manifiestan en la actualidad en leyes, proyectos o propuestas legislativas se refieren a aspectos como el ámbito de aplicación de la legislación, los diferentes elementos de protección en los que se hace hincapié, la puesta en práctica detallada de los principios generales arriba indicados, y la maquinaria que garantiza su cumplimiento. De esta forma, las opiniones varían con respecto a las exigencias de licencias y mecanismos de control en forma de organismos supervisores especiales («autoridades de inspección de datos»). Las categorías de datos sensibles se definen de diferentes formas, los medios de garantizar la apertura y la participación individual varían, por poner algún ejemplo. Indudablemente, las diferencias tradicionales existentes entre sistemas jurídicos constituyen un motivo de disparidad, tanto por lo que se refiere a los enfoques legislativos como a la formulación detallada del marco reglamentario de protección de los datos personales.
Aspectos internacionales de la intimidad y de los bancos de datos
7. Por una serie de motivos, los problemas derivados de la elaboración de salvaguardas del individuo en relación con el manejo de datos personales no pueden resolverse exclusivamente a escala nacional. El enorme aumento de los flujos de datos a través de fronteras nacionales y la creación de bancos de datos internacionales (recopilaciones de datos que tienen por finalidad la recuperación y otros usos) han destacado la necesidad de una actuación nacional concertada y, al mismo tiempo, proporcionan argumentos a favor de los libres flujos de información, que la mayor parte de las veces hay que equilibrar con las exigencias de protección de los datos y de limitaciones a su recogida, procesado y divulgación.
8. Una preocupación básica a escala internacional es el consenso acerca de los principios fundamentales en los que debe basarse la protección del individuo. Tal consenso obviaría o disminuiría los motivos para regular la exportación de datos y facilitaría la resolución de problemas de conflicto de leyes. Además, constituiría un primer paso hacia la elaboración de acuerdos internaciones más detallados y obligatorios.
9. Existen otros motivos por los que la regulación del procesado de datos personales debe ser considerada en un contexto internacional: los principios afectados se refieren a valores que muchas naciones están deseosas de salvaguardar y ver generalmente aceptados; pueden ayudar a ahorrar costes en el tráfico internacional de datos; los países tienen un interés común en evitar la creación de lugares en los que pueda escaparse fácilmente a la aplicación de las normas nacionales relativas al procesado de datos; sin duda, en vista de la movilidad internacional de personas, mercancías y actividades comerciales y científicas, unas prácticas comúnmente aceptadas en relación con el proceso de datos pueden resultar ventajosas, incluso cuando no esté directamente implicado un tráfico transfronterizo de datos.
Actividades internacionales relevantes
10. Existen diversos acuerdos internacionales relativos a distintos aspectos de las telecomunicaciones que, al tiempo que facilitan las relaciones y la cooperación entre países, reconocen el derecho soberano de cada país a regular sus propias telecomunicaciones (El Convenio Internacional de Telecomunicaciones de 1973). La protección de los datos y programas informáticos ha sido investigada por, entre otros, la Organización Mundial de Propiedad Intelectual, que ha elaborado un borrador de disposiciones modelo para leyes nacionales sobre protección de software informático. Pueden encontrarse acuerdos especializados dirigidos a la cooperación informativa en una serie de áreas, como la de cumplimiento de la ley, servicios sanitarios, estadísticas y servicios judiciales (por ejemplo, por lo que se refiere a la recogida de pruebas).
11. Existen diversos acuerdos internacionales que abordan de una forma más general cuestiones que son actualmente objeto de debate, por ejemplo, la protección de la intimidad y la libre divulgación de la información. Entre ellos se encuentran el Convenio Europeo de Derechos Humanos de 4 de noviembre de 1950 y el Pacto Internacional de Derechos Civiles y Políticos (Naciones Unidas, 19 de diciembre de 1966).
12. No obstante, y en vista de lo inadecuado de los instrumentos nacionales existentes en relación con el procesado de datos y los derechos individuales, distintas organizaciones internacionales han llevado a cabo estudios detallados de los problemas, con el fin de encontrar soluciones más satisfactorias.
13. En 1973 y 1974, el Comité de Ministros del Consejo de Europa adoptó dos resoluciones relacionadas con la protección de la intimidad de los individuos frente a los bancos de datos electrónicos en los sectores privado y público, respectivamente. Ambas resoluciones recomiendan que los gobiernos de los estados Miembros del Consejo de Europa adopten medidas para poner en práctica una serie de principios básicos de protección relacionados con la obtención de datos, la calidad de los datos y los derechos de los individuos a ser informados acerca de los datos y de las actividades del procesado de datos.
14. Posteriormente, el Consejo de Europa, siguiendo instrucciones del Comité de Ministros, empezó a elaborar un Convenio internacional de protección de la intimidad en relación con el procesado de datos en el extranjero y el procesado de datos transfronterizo. También inició trabajos relativos a normas modelo para bancos de datos médicos y normas de conducta para los profesionales del procesado de datos. El Convenio fue adoptado por el Comité de Ministros de 17 de septiembre de 1980. Busca establecer principios básicos de protección de datos cuyo cumplimiento garanticen los países Miembros, reducir las limitaciones a los flujos de datos transfronterizos entre las Partes Contratantes sobre la base de la reciprocidad, conseguir la cooperación entre las autoridades nacionales de protección de datos y crear un Comité Consultivo para la aplicación y desarrollo permanente del convenio.
15. La Comunidad Europea ha llevado a cabo estudios acerca de los problemas de armonización de las legislaciones nacionales dentro de la Comunidad, en relación con los flujos de datos transfronterizos y las posibles distorsiones de la competencia, los problemas de seguridad y confidencialidad de los datos y la naturaleza de los flujos de datos transfronterizos. Un subcomité del Parlamento Europeo celebró una audiencia pública sobre protección de datos y derechos del individuo a principios de 1978. Sus trabajos han dado como resultado un informe para el Parlamento Europeo en la primavera de 1979. El informe, que fue adoptado por el Parlamento Europeo en mayo de 1979, contiene una resolución relativa a la protección de los derechos del individuo frente a la evolución técnica del proceso de datos.
Actividades de la OCDE
16. El programa de la OCDE sobre flujos de datos transfronterizos se deriva de los estudios de utilización de la informática en el sector público iniciados en 1969. Un Grupo de Expertos, el Data Bank Panel, analizó y estudió diferentes aspectos de la intimidad, por ejemplo, en relación con la información digital, la administración pública, los flujos de datos transfronterizos y las implicaciones políticas en general. Con el fin de obtener pruebas acerca de la naturaleza de los problemas, el Data Bank Panel organizó un Simposio en Viena en 1977, que proporcionó opiniones y experiencia desde una diversidad de intereses, incluidos gobiernos, industria, usuarios de redes internacionales de comunicación de datos, servicios de procesado y organizaciones intergubernamentales interesadas.
17. Se elaboraron una serie de principios rectores dentro de un marco general de posible actuación internacional. Estos principios reconocían: a) la necesidad de flujos generalmente continuos e ininterrumpidos de información entre los países; b) los legítimos intereses de los países en impedir las transferencias de datos que fuesen peligrosas para su seguridad o contrarias a sus leyes relativas al orden público y a la decencia, o que violasen los derechos de sus ciudadanos; c) el valor económico de la información y la importancia de proteger el «comercio de datos» mediante normas aceptadas de competencia leal; d) la necesidad de salvaguardas de seguridad para minimizar las violaciones de datos sujetos a derechos de propiedad y el mal uso de la información personal; y e) la importancia de un compromiso entre países en torno a un conjunto de principios nucleares para la protección de la información personal.
18. A principios de 1978 se creó dentro de la OCDE un nuevo Grupo de Expertos ad hoc sobre Barreras Transfronterizas a los Datos y Protección de la Intimidad, al que se encargó la elaboración de directrices sobre normas básicas que rigiesen el flujo transfronterizo y la protección de los datos personales y de la intimidad, con el fin de facilitar una armonización de las legislaciones nacionales, sin que esto impidiese en una fecha posterior el establecimiento de un Convenio internacional. Este trabajo iba a ser llevado a cabo en estrecha colaboración con el Consejo de Europa y con la Comunidad Europea y estar terminado para el 1 de julio de 1979.
19. El Grupo de Expertos, bajo la presidencia del Excmo. Sr. Magistrado Kirby, de Australia, y con la asistencia del Dr. Peter Seipel (Asesor), elaboró diversos borradores y debatió diversos informes que contenían, por ejemplo, análisis comparativos de diferentes enfoques de la legislación en este campo. Se preocupó de forma especial por una serie de cuestiones clave, que a continuación se exponen.
La cuestión de los hechos específicos, sensibles
Se planteó la cuestión de si las Directrices debían ser de naturaleza general o si debían estar estructuradas de forma que abordasen diferentes tipos de datos o actividades (por ejemplo, información de créditos). Es probable, sin duda, que no resulte posible identificar una serie de datos que sean universalmente considerados como sensibles.
La cuestión del procesado automático de datos (PAD)
El argumento de que el PAD constituye el principal motivo de preocupación es dudoso y, sin duda, objeto de controversia.
La cuestión de las personas jurídicas
Algunas leyes nacionales, aunque en modo alguno todas, protegen los datos relacionados con las personas jurídicas de forma similar a los datos relacionados con las personas físicas.
La cuestión de los recursos y sanciones
Los enfoques de los mecanismos de control varían considerablemente: por ejemplo, los sistemas que implican supervisión y licencia por parte de autoridades especialmente constituidas pueden ser comparados con sistemas que implican el cumplimiento voluntario por parte de los responsables de archivos y el recurso a los remedios judiciales tradicionales a través de los Tribunales.
La cuestión de la maquinaria básica o de la puesta en práctica
La elección de los principios nucleares y de su adecuado nivel de detalle presenta dificultades. Por ejemplo, la medida en que deben contemplarse las cuestiones de seguridad de los datos (protección de datos contra interferencias no autorizadas, fuego y eventos similares) como parte del complejo de protección de la intimidad es discutible; las opiniones pueden diferir en cuanto a los límites de tiempo de retención,. o en cuanto a los requisitos para la supresión de datos, y lo mismo sucede con la exigencia de que los datos sean relevantes para fines específicos. En particular, resulta difícil trazar una línea divisoria clara entre el nivel de principios u objetivos básicos y un nivel más bajo de cuestiones de «maquinaria», que deben dejarse a la instrumentación interna.
La cuestión de la elección del derecho
Los problemas de elección de jurisdicción, elección de derecho aplicable y reconocimiento de resoluciones extranjeras han demostrado ser complejos en el contexto de los flujos de datos transfronterizos. Se planteó, no obstante, la cuestión de si y en qué medida debería intentarse en este momento dar soluciones de carácter no vinculante en las Directrices.
La cuestión de las excepciones
De igual forma, las opiniones varían con respecto a la cuestión de las excepciones. ¨Son en realidad necesarias? En caso afirmativo, ¨deben preverse categorías específicas de excepciones o deben formularse límites generales a las excepciones?
La cuestión de la inclinación
Finalmente, existe un conflicto intrínseco entre la protección y el libre flujo transfronterizo de datos personales. Puede ponerse el acento en una o en otro y los intereses de protección de la intimidad pueden ser difíciles de distinguir de otros intereses relacionados con el comercio, la cultura, la soberanía nacional, etc.
20. En el curso de sus trabajos, el Grupo de Expertos mantuvo estrechos contactos con los órganos correspondientes del Consejo de Europa. Se hicieron los mayores esfuerzos para evitar diferencias innecesarias entre los textos elaborados por ambas organizaciones; de esta forma, el conjunto de principios básicos de protección es similar en muchos aspectos. Por otra parte, existen algunas diferencias. Para empezar, las Directrices de la OCDE no son legalmente vinculantes, mientras que el Consejo de Europa ha elaborado un convenio que es legalmente vinculante entre aquellos países que lo ratifiquen. Esto significa, a su vez, que la cuestión de las excepciones ha sido resuelta con mayor detalle por el Consejo de Europa. Por lo que se refiere al ámbito de aplicación, el Convenio del Consejo de Europa trata principalmente del procesado automático de datos personales, mientras que las Directrices de la OCDE se aplican a los datos personales que implican riesgos para la intimidad y las libertades individuales, sean cuales sean los métodos y maquinaria utilizados para su manejo. Por lo que se refiere al nivel de detalle, los principios básicos de protección propuestos por las dos organizaciones no son idénticos y la terminología empleada difiere en algunos aspectos. El marco institucional para la cooperación permanente se trata con mayor detalle en el Convenio del Consejo de Europa que en las Directrices de la OCDE.
21. El Grupo de Expertos también mantuvo colaboración con la Comisión de las Comunidades Europeas, como lo exigía su mandato.
LAS DIRECTRICES
OBJETO Y ÁMBITO DE APLICACIÓN
Generalidades
22. El preámbulo de la Recomendación expresa las preocupaciones básicas que requieren una actuación. La Recomendación afirma el compromiso de los países Miembros para proteger la intimidad y las libertades individuales y respetar los flujos transfronterizos de datos personales.
23. Las Directrices establecidas en el Anexo a la Recomendación constan de cinco partes. La Parte Uno contiene una serie de definiciones y especifica el ámbito de aplicación de las Directrices, indicando que representan estándares mínimos. La Parte Dos contiene ocho principios básicos (Apartados 7 a 14) relacionados con la protección de la intimidad y las libertades individuales a escala nacional. La Parte Tres aborda los principios de aplicación internacional, es decir, aquellos principios que se refieren principalmente a relaciones entre países Miembros.
24. La Parte Cuatro trata, en términos generales, los medios de puesta en práctica de los principios básicos establecidos en las partes precedentes y especifica que estos principios deben ser aplicados de forma no discriminatoria. La Parte Cinco se ocupa de cuestiones de asistencia mutua entre países Miembros, principalmente a través del intercambio de información y la evitación de procedimientos nacionales de protección de datos personales que sean incompatibles. Concluye con una referencia a las cuestiones relacionadas con el derecho aplicable que pueden plantearse cuando los flujos de datos personales afecten a varios países Miembros.
Objetivos
25. El núcleo de las Directrices está constituido por los principios establecidos en la Parte Dos del Anexo. Se recomienda a los países Miembros que se adhieran a estos principios con el fin de:
conseguir la aceptación por parte de los países Miembros de determinados estándares mínimos de protección de la intimidad y de las libertades individuales en relación con los datos personales;
reducir al mínimo las diferencias entre las normas y prácticas internas aplicables en los países Miembros;
garantizar que, a la hora de proteger los datos personales, se tomen en consideración los intereses de otros países Miembros y la necesidad de evitar interferencias indebidas en los flujos de datos personales entre países Miembros; y
eliminar, en la medida de lo posible, los motivos que puedan inducir a los países Miembros a limitar los flujos transfronterizos de datos personales como consecuencia de los posibles riesgos asociados a dichos flujos.
Como se indica en el Preámbulo, hay dos valores básicos esenciales en juego: la protección de la intimidad y de las libertades individuales y el fomento de los libres flujos de datos personales. Las Directrices tratan de encontrar un equilibrio entre ambos valores; al tiempo que aceptan determinadas limitaciones a los libres flujos transfronterizos de datos personales, tratan de reducir la necesidad de dichas limitaciones y, en consecuencia, de reforzar la noción de libres flujos de información entre países.
26. Finalmente, las Partes Cuatro y Cinco de las Directrices contienen principios que tratan de garantizar:
medidas nacionales eficaces para la protección de la intimidad y de las libertades individuales;
evitación de prácticas que supongan una discriminación injusta entre individuos; y
las bases para una cooperación internacional permanente y unos procedimientos compatibles en cualquier regulación de los flujos transfronterizos de datos personales.
Nivel de detalle
27. El nivel de detalle de las Directrices varía en función de dos factores principales, a saber: a) la amplitud del consenso alcanzado en relación con las soluciones propuestas, y b) el conocimiento y experiencia disponibles que apunten a soluciones a adoptar en este momento. Por ejemplo, el Principio de Participación Individual (Apartado 13) aborda específicamente diversos aspectos de la protección del interés individual, de ahí que la disposición relativa a problemas de elección de derecho aplicable y cuestiones relacionadas (Apartado 22) meramente indique un punto de partida para el desarrollo gradual de medidas comunes detalladas y de acuerdos internacionales. En su conjunto, las Directrices constituyen un marco general para actuaciones concertadas de los países Miembros: los objetivos plasmados en las Directrices pueden perseguirse de diferentes formas, dependiendo de los instrumentos y estrategias legales que prefieran los países Miembros para su puesta en práctica. Para concluir, existe la necesidad de una revisión permanente de las Directrices, tanto por parte de los países Miembros como de la OCDE. A medida que se vaya adquiriendo experiencia, puede resultar conveniente desarrollar y ajustar las Directrices en consecuencia.
Países no miembros
28. La Recomendación va dirigida a los países Miembros y esto se refleja en diversas disposiciones que se limitan expresamente a las relaciones entre países Miembros (ver Apartados 15, 17 y 20 de las Directrices). El reconocimiento generalizado de las Directrices resulta, sin embargo, deseable, por lo que nada de lo en ellas dispuesto debe interpretarse como un impedimento a la aplicación de las disposiciones pertinentes por parte de los países Miembros a los países no miembros. A la vista del aumento de los flujos transfronterizos de datos y de la necesidad de garantizar soluciones concertadas, se harán esfuerzos para atraer la atención de los países no miembros y de las correspondientes organizaciones internacionales hacia las Directrices.
La perspectiva regulatoria más amplia
29. Se ha señalado antes que la protección de la intimidad y de las libertades individuales constituye uno de los muchos aspectos legales superpuestos que afectan al procesado de datos. Las Directrices constituyen un instrumento nuevo, que se añade a otros instrumentos internacionales relacionados que regulan cuestiones tales como los derechos humanos, las telecomunicaciones, el comercio internacional, los derechos de autor y diversos servicios de información. Si surge la necesidad, los principios establecidos en las Directrices pueden desarrollarse con mayor amplitud, dentro del marco de las actividades a que se dedica la OCDE en el campo de las políticas de la información, informática y comunicaciones.