Archivos de la etiqueta: Habeas Data

29Abr/21

SENTENCIA T-509 DE 2020 DE LA CORTE CONSTITUCIONAL, DE 9 DE DICIEMBRE DE 2020

Sentencia T-509/20

Referencia: Expediente T-7.845.433

Acción de tutela instaurada por Anggy Lizeth C. F.contra la Fiscalía General de la Nación.

Magistrado ponente: JOSÉ FERNANDO REYES CUARTAS

Bogotá D.C., nueve (9) de diciembre de dos mil veinte (2020).

La Sala Octava de Revisión de tutelas de la Corte Constitucional, integrada por los Magistrados Richard S. Ramírez Grisales (e.), Alberto Rojas Ríos y José Fernando Reyes Cuartas, quien la preside, en ejercicio de sus competencias constitucionales y legales, profiere la siguiente:

SENTENCIA

Dentro del proceso de revisión de los fallos proferidos el 13 de noviembre de 2019 por el Juzgado Quince Administrativo del Circuito de Bogotá y el 4 de febrero de 2020 por la Subsección “A”, Sección Segunda del Tribunal Administrativo de Cundinamarca, en primera y segunda instancia.

I. ANTECEDENTES

Anggy Lizeth C. F. instauró acción de tutela contra la Fiscalía General de la Nación, invocando la protección de sus derechos fundamentales a la honra, buen nombre, intimidad, petición y habeas data. Para sustentar la solicitud de amparo narró los siguientes hechos (1):

1.  Informó que es madre cabeza de familia, está desempleada, y que entre los años 2018 y 2019, se inscribió a diferentes convocatorias de empleo en el sector asegurador. Durante los procesos de selección, la sociedad Consultoría Seguridad Integral y Compañía Limitada (2) realizó estudios sobre sus circunstancias personales, académicas y profesionales.

2.  Los resultados quedaron plasmados en los análisis del 27 de diciembre de 2018 (3) y 3 de septiembre de 2019 (4), en los cuales Cosinte Ldta. afirmó lo siguiente:

“5. ANTECEDENTES: Consultadas las bases de datos de los organismos de seguridad del Estado, se confirmó (que) registra antecedentes. (…) || CONCLUSIÓN: luego de consultadas las bases de datos de los organismos de seguridad del Estado, se encontró que la evaluada REGISTRA DOS PROCESOS EN SU CONTRA. Teniendo en cuenta lo anterior, se considera que la candidata representa un nivel de riesgo MEDIO” (5).

3.  La accionante indicó que, mediante llamada telefónica, un empleado de Cosinte Ldta. le comunicó que había sido excluida del proceso de selección, sin expresarle las razones que fundamentaron tal decisión. Posteriormente, la actora solicitó información al respecto, a lo cual le respondieron que el motivo era que figuraba en “la base de datos de la Fiscalía General de la Nación” (6). 

4.  El 29 de agosto de 2019, la actora radicó una petición ante la Fiscalía solicitando eliminar su información de las bases de datos administradas por esa entidad.

5.  En oficio del 17 de septiembre de 2019 (7), la Fiscalía Local 308 Delegada ante los Jueces Penales de Bogotá le contestó que en su contra existía una indagación bajo radicado 110016000013201115051 por la presunta comisión del punible de lesiones personales, en hechos ocurridos el 29 de octubre de 2011. Sin embargo, dicha actuación fue archivada por desistimiento de la querella y, en consecuencia, se registró la orden de archivo en el “Sistema Misional de Información de la Fiscalía General de la Nación -SPOA-, figurando el caso en estado INACTIVO” (8).

No obstante, la entidad señaló que no era posible suprimir los datos que le conciernen, por cuanto la información contenida en el SPOA cumple un rol administrativo, establecido para rendir informes estadísticos, responder requerimientos de usuarios, y/o autoridades administrativas o judiciales. Aclaró que dichas anotaciones no representan antecedentes judiciales y que tal información no es de acceso público. Por último, instó a la peticionaria a “(poner) en conocimiento de la Fiscalía General de la Nación, el nombre de la empresa con la que adelantaba su proceso de selección, para establecer la forma en la que se encuentra accediendo a nuestra base de datos obteniendo información catalogada como reservada” (9).

6.  El 29 de octubre de 2019, la accionante instauró acción de tutela contra la Fiscalía, argumentado que la negativa de “actualizar, corregir o subsidiariamente, eliminar el estado INACTIVO (…) y cambiar el estado de la investigación a ARCHIVADO” vulnera sus derechos fundamentales al dificultarle encontrar empleo. En ese sentido, sostuvo que la expresión “inactivo” “resulta transgresora de las garantías de las personas, por cuanto permite que terceros infieran la existencia de asuntos pendientes o en trámite con la justicia y, por tanto debe ser reemplazada por ARCHIVADO o subsidiariamente eliminadas” (10). Así mismo, reprochó que la Fiscalía permita acceder a terceros a la información sobre antecedentes.

7.  La actora solicitó ordenar a la Fiscalía General de la Nación modificar “el sistema de consulta en línea de antecedentes y anotaciones judiciales, de manera que al ingresar la cédula del actor o el número de noticia criminal, aparezca la leyenda: PRECLUIDO o ARCHIVADO” (11), con el fin reflejar fielmente la situación jurídica de la persona objeto de consulta.

Adicionalmente, y como consecuencia de lo anterior, pidió “cancelar, corregir, actualizar o eliminar las anotaciones que se hayan impuesto en mi contra en las bases de datos que, normalmente utilizan los Frentes de Seguridad Empresarial, los funcionarios de la Fiscalía General de la Nación, SPOA, SIAN y el Sistema de Antecedentes y Anotaciones Judiciales, (y el) Sistema Operativo de la Policía” (12).

Trámite procesal

8.  Mediante auto del 30 de octubre de 2019 (13), el Juzgado Quince Administrativo del Circuito de Bogotá avocó el conocimiento de la acción y corrió traslado al ente acusador para que se pronunciara frente a los hechos y pretensiones (14).

Respuesta de la entidad accionada

9.  La Dirección Seccional Bogotá de la Fiscalía indicó que la accionante figura vinculada en las noticias criminales n.° 1100160000151212133 y 110016000013201115051, a cargo de la Fiscalía 106 Delegada ante los Jueces Penales del Circuito de Bogotá y la Fiscalía 308 Delegada ante los Jueces Penales Municipales de Bogotá. Por consiguiente, remitió las comunicaciones sobre la admisión de la acción de tutela a esos despachos. En ese sentido, manifestó carecer de legitimación en la causa (15). 

10.  La Fiscalía 308 Local Delegada ante los Jueces Penales Municipales y Promiscuos de Bogotá expresó que no ha vulnerado los derechos fundamentales invocados y carecer de competencia para acceder a las pretensiones de la accionante, por tanto, solicitó negar la acción. Para fundamentar lo anterior, adujo que el “SPOA” es el sistema de información de la Fiscalía General de la Nación para el Sistema Penal Oral Acusatorio, al cual pueden acceder, remota o localmente, los funcionarios de la entidad. Manifestó que la plataforma cumple una función administrativa sin constituir una base de datos pública. Además, aseveró que las anotaciones realizadas no configuran antecedentes penales.

En cuanto al reproche de la accionante sobre el acceso de la sociedad Cosinte al sistema de la Fiscalía, afirmó que “resulta inquietante para este despacho, la forma en la que dicha empresa accedió a la información del sistema misional de la Fiscalía General de la Nación” (16). En ese sentido, adujo que la sociedad que realizó el estudio de seguridad sobre las condiciones personales de la actora es la responsable de la vulneración de derechos al haber accedido a información sin autorización de su titular.

Sostuvo que no es posible reemplazar la descripción “inactivo” por “archivado” ni eliminarla, pues el sistema SPOA únicamente consagra las opciones “activo/inactivo”. Por lo cual, cualquier cambio implicaría realizar una modificación en la plataforma a nivel nacional. Destacó que la institución implementó un sistema de consulta pública que es acorde con la protección de datos personales, por cuanto exige contar con el número de radicación del proceso, y la información que arroja la consulta refiere únicamente el despacho fiscal a cargo y el estado de la actuación, sin suministrar el nombre o el documento de identidad de los involucrados.

Por último, allegó un oficio suscrito por la Coordinadora del Grupo de Administración y Soporte de los Sistemas SPOA y SIJUF (17), en el cual se informa que no es posible cambiar las opciones del SPOA, salvo una restructuración ordenada por el Fiscal General de la Nación. De otro lado, expresa que el estado “activo” se refiere a “noticias criminales que no han tenido decisión que le cambie al estado Inactivo (archivos, sentencias condenatorias, entre otras)” (18).

11.   La Fiscalía 45 Delegada ante los Jueces Penales del Circuito de Bogotá -en apoyo de la Fiscalía 106 Delegada Seccional- indicó que en el SPOA figuran dos registros relacionados con la accionante, ambos con estado inactivo por decisiones de archivo proferidas por los fiscales que instruyeron las indagaciones, por lo cual, no se puede predicar la existencia de antecedentes penales. Por otro lado, agregó que la eventual vulneración de derechos es atribuible a “las empresas a las que (la actora) se ha postulado, las que de manera ilegal han accedido a una información reservada” (19). Afirmó carecer de competencia para modificar el sistema informático del SPOA, y destacó que la Fiscalía cuenta con un sistema de consulta público acorde con la protección de datos personales.

Sentencias objeto de revisión

Primera instancia (20)

12.  En sentencia del 13 de noviembre de 2019, el Juzgado Quince Administrativo del Circuito de Bogotá negó el amparo. Manifestó que las anotaciones que la accionante presenta en el SPOA figuran con estado “inactivo”, en tanto las diligencias fueron archivadas, sin que constituyan antecedentes judiciales. Por consiguiente, la información corresponde a la realidad. Mencionó que esta circunstancia fue confirmada tras consultar el sistema de antecedentes penales y requerimientos judiciales a cargo de la policía judicial. Así mismo, resaltó que el SPOA no es una base de datos pública.

Relató que la accionante no acreditó que la sociedad Cosinte Ltda. la hubiese excluido de los procesos de selección laboral con base en los registros realizados en el sistema de información de la Fiscalía General de la Nación. Finalmente, instó a esta última a verificar “la forma como presuntamente la empresa en mención ha accedido, en caso de haber sido así, a la información personal de la demandante” (21).

Impugnación (22)

13.  La accionante impugnó el fallo. Después de reiterar los hechos y las pretensiones expuestas en el escrito de tutela, solicitó la vinculación de la sociedad Cosinte Ltda al trámite.

Actuaciones realizadas en sede de segunda instancia

14.   Mediante auto del 31 de enero de 2020, la Subsección “A” de la Sección Segunda del Tribunal Administrativo de Cundinamarca vinculó a la sociedad Cosinte Ltda, corriéndole traslado del escrito de tutela para que ejerciera el derecho de defensa y contradicción (23).

Respuesta de la vinculada

15.   A través del representante legal, la sociedad Cosinte adujo que no vulneró los derechos de la accionante y, en consecuencia, solicitó negar el amparo. Indicó que las empresas a las que presta sus servicios son las encargadas de decidir si contratan a los aspirantes. Aseveró que el análisis sobre las circunstancias de los candidatos se realiza a través de la información que estos aportan en la hoja de vida, mediante visita domiciliaria que se efectúa a los interesados, y de acuerdo al contenido de las bases de datos públicas, cuya consulta cuenta con autorización previa.

Refirió que la accionante autorizó el tratamiento de sus datos, y haber informado “en desarrollo de la visita domiciliaria la existencia de dichos antecedentes, que tuvo problemas con la fiscalía y que tiene procesos legales”. Como documento anexo, allegó dos estudios realizados a la actora como aspirante a los cargos de asistente contable y analista de cartera (24).

Sentencia de segunda instancia (25)

16.  En sentencia del 4 de febrero de 2020, la Subsección “A”, Sección Segunda del Tribunal Administrativo de Cundinamarca revocó el fallo y, en su lugar, protegió los derechos fundamentales al habeas data, debido proceso y buen nombre.

En consecuencia, le ordenó a la sociedad Cosinte realizar un nuevo estudio de seguridad y confiabilidad, ofreciendo información veraz sobre la existencia de antecedentes penales de la accionante, y comunicar los resultados a las empresas que conocieron los análisis previos. De otro lado, le ordenó a la Fiscalía General de la Nación modificar las anotaciones de la actora, cambiando el estado “inactivo” “al que en derecho corresponda según lo sucedido al interior de la actuación (archivado, precluido, etc.)” (26). Adicionalmente, le ordenó adoptar las medidas necesarias para preservar el uso interno de la información registrada en el SPOA.

Como fundamento de lo anterior, mencionó que las anotaciones efectuadas en el SPOA no representan antecedentes penales y, en ese sentido, la sociedad Cosinte afirmó algo contrario a la realidad al sostener que la accionante contaba con antecedentes. Además, agregó que esa sociedad de alguna manera tuvo acceso a información reservada a la Fiscalía General de la Nación, de ahí que esa entidad deba adoptar las medidas necesarias para que los sistemas de búsqueda reflejen el estado real de las actuaciones -por ejemplo, diferenciando entre actuaciones activas o archivadas-, de manera que la información registrada no dé lugar a interpretaciones equívocas.

Pruebas que obran en el expediente

17.   Las pruebas relevantes para resolver el caso de la referencia que obran en el expediente, son las siguientes:

(i)      Copia del oficio 2019-014 del 13 de junio de 2019, suscrito por el Fiscal Local 308 adscrito a la Casa de Justicia de Ciudad Bolívar -Bogotá-, sobre las actuaciones penales relacionadas con la accionante (27).

(ii)   Constancia de antecedentes judiciales expedida por la Policía Nacional, según la cual la accionante “no tiene asuntos pendientes con las autoridades judiciales” (28).

(iii)  Respuesta de la Fiscalía Local 308 adscrita a la Casa de Justicia de Ciudad Bolívar -Bogotá- a la petición elevada por la actora, en el sentido de suprimir los datos que le conciernen, contenidos en el SPOA (29).

(iv)  Estudios de “confiabilidad y financieros” realizados por la Sociedad Cosinte sobre la accionante, con “fechas de entrega”: “2018-12-27” y “2019-09-03” (30). Así mismo, formatos diligenciados de autorización de tratamiento de datos personales (31).

Actuaciones en sede de revisión

18.   La Dirección de asuntos jurídicos de la Fiscalía General de la Nación solicitó la revisión del proceso (32). La Sala de Selección número tres de la Corte Constitucional (33) en auto del 28 de agosto de 2020 (34), escogió el presente asunto y fue repartido a este despacho.

19.  En proveído del 24 de septiembre de 2020, el magistrado sustanciador decretó pruebas tendientes a recaudar elementos de juicio para el estudio del caso objeto de revisión (35). Así, solicitó lo siguiente:

(i)  A la accionante le pidió informar acerca de las visitas domiciliarias realizadas por la sociedad Cosinte, su condición laboral actual, y expresar si tiene conocimiento de que la sociedad accionada haya cumplido el fallo de segunda instancia.

(ii)   A Cosinte Ltda. le solicitó indicar cuál es su objeto social y en qué consisten los servicios de análisis de confiabilidad, e informar si cumplió la sentencia proferida por el Tribunal Administrativo de Cundinamarca. De otro lado, explicar cuál es la metodología de recolección de datos de los aspirantes a empleos y cuáles son las fuentes objeto de consulta. Por último, allegar los soportes de los estudios efectuados a la accionante, y las constancias de las visitas domiciliarias que le fueron realizadas.

(iii)  A la Fiscalía General de la Nación le pidió hacer referencia a los protocolos de acceso, administración y seguridad de la información contenida en el SPOA. Indicar si existe algún tipo de investigación interna a causa de los hechos de la acción de tutela. Finalmente, manifestar si cumplió el fallo de segunda instancia.

(iv)  Por último, el despacho invitó a algunas instituciones de investigación y universidades para que participaran en el presente caso, a través de un concepto acerca de la presunta vulneración de derechos fundamentales y medidas a adoptar (36).

Respuestas allegadas a partir del decreto probatorio

20.  En respuesta del 13 de octubre de 2020 (37), la representante legal de la sociedad Cosinte Ltda. informó que su objeto social está enfocado a la prestación remunerada de consultorías en temas de seguridad, riesgos corporativos, y estudios de confiabilidad para la selección de personal, entre otros. Señaló que cumplió el fallo de segunda instancia realizando los nuevos estudios de confiabilidad, análisis que arrojó como resultado “nivel de riesgo bajo”. Así mismo, informó que fueron remitidos a las sociedades que conocieron la versión previa a la acción de tutela, esto es, Adecco Colombia S.A., y Seguros S.A. (38).

Reiteró que no es la encargada de decidir sobre la contratación de las personas a quienes les realiza el estudio de confiabilidad, pues este es tan solo un servicio que se presta a otras personas. Respecto a la metodología que implementa para la verificación y recolección de datos que conforman los estudios de confiabilidad o financieros, mencionó que consiste en la realización de las siguientes acciones:

i) visita domiciliaria en la dirección indicada por la persona;

ii) verificación de las referencias académicas, labores y personales expuestas en la hoja de vida, y

 iii) consulta de las anotaciones hechas en bases de datos públicas.

Al respecto, agregó que en la visita domiciliaria se solicita a la persona suscribir una autorización sobre tratamiento de datos personales y se confronta la información suministrada con el fin de determinar el grado de veracidad, y se analiza el entorno y las condiciones de vida del entrevistado.

Expresó que el 22 de diciembre de 2018 y el 30 de agosto de 2019, le realizó visitas domiciliarias a la accionante, escenario en el cual esta aludió a la existencia de procesos en la Fiscalía. Sobre esto indicó que “dentro de lo consultado por Cosinte Ltda., no se conoce que tipo de delitos, o noticias criminales ha cometido cada persona, hechos y demás”.

Como documento anexo, allegó el estudio de confiabilidad realizado a la accionante en cumplimiento de lo ordenado por la Sección A, Sección Segunda del Tribunal Administrativo de Cundinamarca, que se identifica con fecha de entrega del “2020-02-11” (39). Por último, solicitó declarar la improcedencia de la acción por falta de legitimación por pasiva, e inexistencia de vulneración de derechos fundamentales. 

21.   En comunicación del 14 de octubre del año en curso (40), la Fiscalía General de la Nación, a través de la Directora de asuntos jurídicos (e.), atendió lo solicitado por el Despacho. En primer lugar, expresó que mediante Resolución n.° 4004 de 2013 (41), la entidad estableció los protocolos para garantizar la seguridad de la información contenida en sus bases de datos, entre ellas, el SPOA. Mencionó que esta normativa tiene por objetivo “proteger los activos informáticos de la Fiscalía General de la Nación y garantizar un adecuado uso de la tecnología, ante amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información” (42).

Aseveró que el SPOA tiene como finalidad sistematizar el ejercicio de la acción penal y establecer valores estadísticos de la actividad investigativa de la entidad. Señaló que las variables “activo” e “inactivo” se utilizan para determinar si una noticia criminal se encuentra en etapa de investigación o judicialización, o si cesó el ejercicio de la acción penal. Agregó que no tiene la función de certificar la existencia de antecedentes judiciales al no ser una base de datos pública, pues su acceso se restringe a uso institucional. Por tanto, “la facultad de rectificación o corrección, como uno de los contenidos mínimos que integran el derecho al habeas data, debe exigirse dentro de las finalidades y características del -SPOA-”(43).

Destacó que los protocolos de manejo y administración de las bases de datos se sustentan en el diligenciamiento de los formatos: “solicitud de acceso a servicios TI”, y “acuerdo de confidencialidad de la información”.  Frente a los mecanismos de control o de seguridad para acceder al SPOA, adujo que la entidad “tiene mecanismos de protección mediante una plataforma de seguridad perimetral que protege los sistemas de información frente a posibles ataques externos. Adicionalmente, el sistema de información -SPOA- cuenta con mecanismos de autenticación para el ingreso” (44).

De otro lado, expresó que al consultar a la Dirección de control disciplinario, esa dependencia indicó que no existe actuación disciplinaria adelantada de oficio o por petición de la accionante respecto de los hechos relatados en la acción de tutela. Sin embargo, la entidad afirmó que ordenó el inicio de una indagación preliminar con miras a determinar si ocurrió una conducta disciplinable, así como al servidor responsable. Así mismo, mencionó que se adelantan 18 procesos disciplinarios relacionados con presuntas consultas irregulares en el SPOA, las cuales presentan el siguiente estado procesal: 9 en investigación, 8 en investigación preliminar, 1 en “prórroga”.

Manifestó que la información contenida en el SPOA solo se administra a autoridades judiciales en ejercicio de sus funciones, al titular del dato, sus causahabientes o terceros autorizados expresamente por el titular. Sobre esto último, adujo que no todo conocimiento de los datos contenidos en el SPOA implica que necesariamente su divulgación provenga de la entidad, pues puede ocurrir que el titular del dato haya autorizado a un tercero para acceder a la información que le concierne. En ese sentido, consideró oportuno establecer si la accionante autorizó a la sociedad Cosinte para consultar su información, conforme los términos de la Ley 1581 de 2012.

Indicó que las anotaciones relacionadas con la accionante se ajustan a la realidad, pues se encuentran “inactivas” por archivo y desistimiento de la querella. De ahí que la información contenida en los sistemas misionales de la entidad “sea actual, íntegra y veraz, que refleja las actuaciones penales adelantadas, incluso cuando el proceso ha concluido; y en ningún caso constituyen antecedentes penales”. Al respecto, recordó que la variable “inactivo“puede darse por diversas situaciones (archivo, preclusión, etc.), dentro de las cuales se encuentra la inactividad por terminación del proceso por sentencia condenatoria (…)”.

22.  Por otra parte, mencionó haber cumplido la orden de la sentencia de tutela de segunda instancia, en palabras de la entidad:

“En efecto, la Subdirección de Tecnologías de la información y las Comunicaciones, junto con la Dirección de Planeación y Desarrollo de la FGN, conforme las características y finalidades propias del -SPOA-, efectuaron las modificaciones correspondientes a la mencionada herramienta institucional, de modo tal que se ajustaran a la orden emitida en la sentencia del 4 de febrero de 2020, proferida por la el Tribunal Administrativo de Cundinamarca Sección Segunda –Subsección ‘A’-.

Actualmente, la búsqueda de las noticias criminales relacionadas con la accionante en el -SPOA-, arroja como resultado, la visualización del ESTADO en la categoría binaria ACTIVO/INACTIVO, junto con la precisión del MOTIVO o la Causal para categorizarlo en dicho estado” (45).

En ese sentido, expresó que, por ejemplo, en el caso de la accionante, la modificación efectuada en el sistema interno permite consultar lo siguiente:

n.° caso-noticia                                Estado                  Motivo

110016000013201115051            INACTIVO           Desistimiento de la querella por   inasistencia

                                                                                              injustificada del querellante

110016000015201212133            INACTIVO           Archivo por inexistencia del hecho art. 79 C.P.P

Así mismo, indicó que la página de consulta pública de los procesos del sistema penal acusatorio también se modificó con la implementación de la categoría binaria “activo/inactivo” y la precisión del motivo o causal que justifica el estado del caso. En conclusión, reiteró que los cambios efectuados en el SPOA permiten consagrar información veraz, sin dar lugar a interpretaciones erróneas, por lo cual, no se vulneran los derechos fundamentales de la accionada.

Intervenciones y conceptos académicos (46)

23.   La Universidad Externado de Colombia atendió la invitación de la Corte, remitiendo el concepto solicitado (47). Expresó que la sentencia de segunda instancia debe ser confirmada. Señaló que el asunto de la referencia suscita cuatro problemas jurídicos relacionados con las dimensiones objetiva y subjetiva del derecho al habeas data (48).

Mencionó que, para el momento de los fallos de los jueces de instancia, la información contenida en el SPOA era problemática, por cuanto “distintas interpretaciones sobre unos mismos hechos pueden alterar la relación de concordancia entre la ‘realidad’ de los hechos y la realidad que la información registrada revela”. Bajo ese entendido, adujo que la expresión “inactivo” no descarta la inminencia del cambio de estatus a “activo”, aunado a las consecuencias que implicaría la revelación de la información a terceros. Por lo cual, defendió la utilización de los términos técnicos del derecho penal, los cuales honrarían de forma más eficaz la realidad de los hechos y eliminarían las ambigüedades y posibles interpretaciones desfavorables para la persona concernida por el dato.

Puso en duda la legitimidad de la permanencia de la información que permite relacionar a una persona con el actuar de la Fiscalía cuando el ejercicio de la acción penal cesó, teniendo en cuenta que se trata de información personal negativa, y los principios constitucionales que rigen la administración de datos personales, específicamente, finalidad y necesidad. En relación con esto, sostuvo que es preciso analizar la normativa que rige la recolección y permanencia de la información que reposa en las bases de datos de la Fiscalía. Sin embargo, mencionó que no son fáciles de identificar (49).

De otro lado, expresó que el registro indefinido de información que permita vincular a una persona con un proceso penal que terminó de forma anómala, “puede dar lugar a conductas de corte discriminatorio, a la construcción de sesgos cognitivos, o de prejuicios respecto del carácter o de las condiciones personales de la persona así reseñada”. Por consiguiente, sostuvo que, al no advertirse la satisfacción del principio de finalidad, el mantenimiento de ese tipo de información en el SPOA es inconstitucional y vulnera el derecho al habeas data en su dimensión objetiva. Igualmente, indicó que, en caso de cumplirse ese postulado y el de necesidad, no se advierte la existencia de una disposición que concrete el principio de caducidad.

En cuanto a las órdenes a adoptar, sugirió las siguientes alternativas:

i) en caso de considerar que no se cumplen los principios de finalidad y necesidad, ordenar a la Fiscalía suprimir la información que posee de la accionante. Al respecto, adujo que la entidad podría mantener la información con fines estadísticos, pero salvaguardando el anonimato;

ii) en caso estimarse cumplidos esos principios, confirmar la decisión de segunda instancia, y estimar la posibilidad de incluir un término de caducidad de la información; y

iii) invitar al legislador a regular la materia.

Del traslado probatorio

24.   El 9 de noviembre del año en curso, durante el término de traslado probatorio, la sociedad Cosinte allegó un escrito en cual reiteró no haber accedido al sistema informático SPOA, señalando que fue la accionante quien, en desarrollo de la visita domiciliaria, informó la existencia de procedimientos que la vinculaban con el actuar de la Fiscalía General de la Nación. Así mismo, adujo que los estudios de confiabilidad que realiza se centran en verificar  la información aportada por en la hoja de vida del interesado y analizar sus condiciones de vida mediante la visita domiciliaria (50).

II. CONSIDERACIONES

Competencia

1.  La Sala Octava de Revisión de la Corte Constitucional es competente para revisar las decisiones proferidas dentro de la acción de tutela de la referencia, de conformidad con lo dispuesto en los artículos 86 y 241-9 de la Constitución Política y en concordancia con los artículos 31 a 36 del Decreto 2591 de 1991.

Problemas jurídicos

2.  Con base en los hechos descritos, le corresponde a la Sala Octava de Revisión determinar, en primer lugar, si la acción de tutela es procedente para verificar la presunta vulneración de derechos invocados por la accionante. En caso de superar el examen de procedibilidad, deberá resolver los siguientes problemas jurídicos:

¿La Fiscalía General de la Nación vulnera el derecho al habeas data de la accionante al registrar en el SPOA las anotaciones que le conciernen bajo las categorías “activo/inactivo”, sin hacer ninguna precisión sobre el estado procesal de la actuación?

Así mismo, a partir de lo expuesto por las partes y la información recaudada en sede de revisión, la Corte analizará si ¿es procedente solicitar la supresión de los registros de las actuaciones que hayan concluido por una de las formas anormales de terminación del proceso penal -archivo, preclusión, aplicación del principio de oportunidad-?

Por último ¿la sociedad Cosinte vulneró el derecho al buen nombre de la accionante al distribuir información imprecisa sobre ella, respecto a la existencia de antecedentes penales?

Con el fin de responder estas cuestiones, la Corte abordará los siguientes temas:

i) ámbito de protección del derecho fundamental al habeas data;

ii) el derecho fundamental al buen nombre;

iii) los antecedentes penales y anotaciones en los sistemas informáticos de la Fiscalía General de la Nación; y

iv) el caso concreto.

Ámbito de protección del derecho fundamental al habeas data. Reiteración jurisprudencial

3.  El derecho al habeas data está instituido en el artículo 15 de la Constitución, según el cual “(t)odas las personas tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. Conforme a la jurisprudencia de esta Corporación, ante el robustecimiento del poder informático -característico de la sociedad de información-, “el habeas data  surge como un cuerpo normativo singular orientado a proteger las libertades individuales” (51).

Por “poder informático” se entiende una especie de dominio social sobre el individuo (52), que consiste en “la posibilidad de acumular informaciones en cantidad ilimitada. De confrontarlas y agregarlas entre sí, de hacerle seguimiento en una memoria indefectible, de objetivizarlas y trasmitirlas como mercancía (…)” (53). En este contexto, el habeas data también ha sido denominado: “derecho a la autodeterminación informática” (54), en tanto instrumento que permite a la persona titular del dato tener control del uso que sobre el mismo se haga en los diferentes repositorios de información.

4.  En sentencia T-729 de 2002, la Corte indicó que el concepto “dato personal” presenta las siguientes cualidades:

i) se refiere a aspectos exclusivos y propios de una persona natural,

ii) permite identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos;

iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y

iv) su tratamiento -captación, administración y divulgación- está sometido a determinados principios.

5.  Esta Corporación ha señalado que el derecho al habeas data es de naturaleza dúctil o proteica, por cuanto tiene doble naturaleza. Por una parte, goza del reconocimiento constitucional como derecho autónomo y, por la otra, ha sido considerado como una garantía de otros derechos (55). A partir de estas características se ha dicho que el ámbito de acción u operatividad de esta prerrogativa se enmarca en el contorno en el cual se desarrollan los procesos de administración de bases de datos personales (56).

6.  Es necesario destacar que el ámbito de protección del derecho en comento no se reduce a las posibilidades de “conocer, actualizar y rectificar”. A partir del mandado del artículo 15 superior y su desarrollo jurisprudencial, este Tribunal Constitucional también ha establecido una dimensión subjetiva del derecho al habeas data, la cual consiste en las alternativas de “autorizar, incluir, suprimir y certificar” (57).

7.  Así mismo, es posible diferenciar entre un régimen constitucional y legal de protección del derecho al habeas data. El primero está dado en los llamados “principios de la administración de datos personales”. El segundo, está conformado por la normatividad contenida en las Leyes 1266 de 2008 (58), 1581 de 2012 (59), y 1621 de 2013 (60). De cara a la importancia que representa para la decisión del caso de la referencia, se hará una cita in extenso de la sentencia T-729 de 2002, sobre los principios constitucionales de la administración de datos personales:

“Según el principio de libertad, los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial). En este sentido por ejemplo, se encuentra prohibida su enajenación o cesión por cualquier tipo contractual.

Según el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos.

Según el principio de veracidad, los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administración de datos falsos o erróneos.

Según el principio de integridad, estrechamente ligado al de veracidad, la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.

Según el principio de finalidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.

Según el principio de utilidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable.

Según el principio de circulación restringida, estrechamente ligado al de finalidad, la divulgación y circulación de la información está sometida a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgación indiscriminada de los datos personales.

Según el principio de incorporación, cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.

Según el principio de caducidad, la información desfavorable al titular debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración.

Según el principio de individualidad, las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos”.

8.  A manera de colofón, el habeas data, como derecho autónomo o instrumento para proteger otras prerrogativas, es una garantía que salvaguarda la libertad de la persona, entendida no como posibilidad de locomoción sin restricciones, sino como la extensión que se hace de ella en medios virtuales o físicos de acopio de datos personales, en los cuales se construida o proyectada a través de la diferente información que se ha recogido de sí. De ahí que también reciba el nombre del derecho a la “autodeterminación informática”.

Derecho fundamental al buen nombre (61). Reiteración jurisprudencial

9.  El artículo 15 de la Constitución dispone que “(t)odas las personas tienen derecho (…) a su buen nombre”. También se encuentra establecido en el artículo 11-2 de la Convención Americana de Derechos Humanos, al señalar que “(n)adie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra y reputación (…)”.

10.  El derecho al buen nombre ha sido entendido como “la reputación, o el concepto que de una persona tienen los demás y que se configura como derecho frente al detrimento que pueda sufrir como producto de expresiones ofensivas o injuriosas o informaciones falsas o tendenciosas” (62). En ese sentido, constituye “uno de los más valiosos elementos del patrimonio moral y social, y un factor intrínseco de la dignidad humana que a cada persona debe ser reconocida tanto por el Estado, como por la sociedad” (63).

La Corte ha sostenido que “se atenta contra este derecho, cuando sin justificación ni causa  cierta y real, es decir, sin fundamento, se propagan  entre el público -bien sea de forma directa o personal, o a través de los medios de comunicación de masas- informaciones falsas o erróneas que distorsionan el concepto público que se tiene del individuo y que por lo tanto, tienden a socavar el prestigio o la confianza de los que disfruta del entorno social en cuyo medio actúa, o cuando en cualquier forma se manipula la opinión general  para desdibujar su imagen” (64).

En sentencia T-050 de 2016, esta Corporación sostuvo que el buen nombre tiene una cercana relación con la dignidad humana, en la medida que, al referirse a la reputación, protege a la persona contra ataques que restrinjan su proyección en el ámbito público o colectivo (65).

11.  En definitiva, el ámbito de protección de este derecho protege a la persona contra ataques externos que tienen afectar o desmejorar su reputación, a través de información falsa o errónea que distorsionan el concepto o la confianza que de él alberga el entorno social o colectivo, en razón de su comportamiento.

Antecedentes penales y anotaciones en los sistemas informáticos de la Fiscalía General de la Nación

12.  El artículo 248 de la Constitución consagra que “(ú)nicamente las condenas proferidas en sentencias judiciales en forma definitiva tienen la calidad de antecedentes penales”. Bajo ese entendido, estos últimos son una especie de dato personal negativo al representar situaciones “no queridas, perjudiciales, socialmente reprobadas o simplemente desfavorables” (66). Sin embargo, los antecedentes penales constituyen información pública, al estar permitido conocer algunos aspectos propios del proceso penal, por ejemplo, las circunstancias en las que ocurrieron los hechos, las razones jurídicas sustantivas y procesales que fundamentan la responsabilidad penal, y el monto de la pena (67).

A tono con lo anterior, el artículo 166 de la Ley 906 de 2004 (68) ordena a los funcionarios judiciales informar a diferentes autoridades sobre la ejecutoria de una sentencia que imponga una pena o medida de seguridad, entre ellas, la Procuraduría General de la Nación, la Registraduría Nacional del Estado Civil, y “demás organismos que tengan funciones de policía judicial y archivos sistematizados”. Así mismo, prescribe dar cuenta de las sentencias absolutorias en firme a la Fiscalía General de la Nación “con el fin de realizar la actualización de los registros existentes en las bases de datos que se lleven, respecto de las personas vinculadas en los procesos penales”. En la actualidad, la Policía Nacional es la entidad encargada de administrar la base de datos personales sobre antecedentes judiciales (69).

13.  Así las cosas, las anotaciones o registros que realiza la Fiscalía en sus bases de datos no constituyen antecedentes penales pues, reitérese, no se derivan de sentencias condenatorias en firme. Entre los repositorios de información administrados por esa entidad se encuentran el SIJUF (70) y el SPOA. Este último es en una herramienta operativa del Sistema Penal Oral Acusatorio, al cual pueden acceder los funcionarios de la Fiscalía de forma local o remota, con el fin de indagar sobre aspectos relacionados con las diferentes indagaciones o investigaciones que adelante la institución, atendiendo las directrices establecidas en la materia.

Bajo ese contexto, el contenido del SPOA -llámese anotaciones o registros- se refiere a información sobre el desarrollo de las actuaciones penales, por ejemplo, el estado procesal y la identificación de las personas que en ella participan. Estos registros facilitan el funcionamiento administrativo que implica el ejercicio de la acción penal, esto es, la investigación y acusación de los hechos que revistan las características de un delito -art. 250 C. Pol-.

14.  En tanto repositorio de información personal, la administración del SPOA debe atender el régimen constitucional y legal de protección de datos personales -ver supra núm. 7-. Entre las reglamentaciones internas de la Fiscalía General de la Nación se encuentra la Resolución n.° 4004 de 2013 (71), la cual consagra el alcance de la política de seguridad, la regulación del acceso a los sistemas administrativos misionales y las consecuencias que puede acarrear su infracción (72).

15.  En conclusión, los antecedentes penales y los diferentes registros que adelanta la Fiscalía General de la Nación, en ejercicio de sus funciones, comparten la cualidad de ser datos personales. Sin embargo, ambos presentan diferencias respecto a su publicidad y administración.

Caso concreto

Cuestión preliminar: solicitud de nulidad

16.  En la solicitud de selección del proceso de la referencia, de forma subsidiaria, la Fiscalía pidió declarar la nulidad de lo actuado a partir del auto admisorio por indebida integración del contradictorio. Al efecto, adujo que las pretensiones de la accionante no se concretaron únicamente sobre esa entidad, sino que también se extendieron a los “Frentes de Seguridad Empresarial, (…) el Sistema de Antecedentes y Anotaciones Judiciales -Sistema operativo de la Policía Judicial, denominado SIOPER-”. Además, mencionó que el fallo de segunda instancia hizo alusión a bases de datos de los organismos de seguridad del Estado. Por consiguiente, era necesario vincular a la Policía Nacional y a la Dirección Nacional de Inteligencia.

La Sala considera que no es necesario declarar la nulidad solicitada teniendo en cuenta que, conforme el relato expuesto por la accionante y las pruebas allegadas al proceso, es posible identificar que la controversia gira en torno a las anotaciones realizadas en las bases de datos operadas por la Fiscalía General de la Nación -específicamente el SPOA- y ante una presunta divulgación irregular de los datos que le conciernen.

Bajo ese entendido, entre las pruebas allegadas en el escrito de tutela, obra una constancia de antecedentes judiciales proferido el SIOPER que señala que la accionante “no tiene asuntos pendientes con las autoridades judiciales” (73), lo cual demuestra que las bases de datos operadas por la Policía Nacional no contienen información que relacione a la accionante con la existencia de antecedentes penales. De ahí que no sea necesaria la vinculación de esa institución.

De otro lado, frente a la supuesta necesidad de vincular a la Dirección Nacional de Inteligencia, a juicio de la Sala, la controversia que suscita el caso objeto de revisión se concreta en la actuación de la Fiscalía y de la sociedad Cosinte frente al manejo de datos personales o información referida a la accionante, sin que se desprenda de los hechos y documentos allegados que los organismos de inteligencia del Estado hayan tenido alguna participación al respecto. Además, la accionante, en sus pretensiones, no hizo alusión a instituciones de esa naturaleza. Luego, no era procedente vincular a la Dirección Nacional de Inteligencia.  

En esos términos, al haberse vinculado como accionadas a la Fiscalía General de la Nación y la sociedad Cosinte Ltda, el contradictorio se integró adecuadamente, sin perder de vista que les fue garantizado el derecho al debido proceso. En consecuencia, no hay lugar a declarar la nulidad. Así las cosas, se continuará con el desarrollo de los problemas jurídicos atrás planteados.

Análisis de los requisitos de procedencia de la acción de tutela

Antes de abordar el fondo del asunto, la Sala analizará el cumplimiento de los presupuestos de procedibilidad de la acción de tutela. Para ello, de forma concreta se establecerá si se cumplen los requisitos de:

i) legitimación por activa y pasiva;

ii) inmediatez; y

iii) subsidiariedad.

(i) Legitimación por activa y por pasiva

17.  La legitimación por activa exige que quien promueva el mecanismo de tutela sea el titular de los derechos conculcados o un tercero que actúe en su representación debidamente acreditado para tal fin; mientras que la legitimación por pasiva hace alusión a la autoridad o el particular contra quien se dirige la acción. Sobre este último aspecto, el artículo 86 de la Constitución establece que la acción de tutela procede contra particulares en los siguientes casos:

i) cuando tengan a cargo la prestación de un servicio público;

ii) que su conducta afecte grave y directamente el interés colectivo; y

iii) frente a quienes el solicitante se halle en estado de subordinación o indefensión.

18.  La jurisprudencia constitucional diferenciado estos dos conceptos. La subordinación alude a la existencia de una relación jurídica de dependencia (74); mientras que la indefensión hace referencia a una relación de dependencia de una persona respecto de otra, derivada de situaciones de naturaleza fáctica en cuya virtud la persona afectada en su derecho carece de defensa, entendida como posibilidad de respuesta efectiva ante la violación o amenaza de que se trate (75).

19.  Teniendo en cuenta los anteriores parámetros, la legitimación por activa se cumple, pues Anggy Lizeth C. F.instauró la acción de tutela a nombre propio al considerar vulnerados sus derechos fundamentales. Por otro lado, este requisito por pasiva también se satisface al haberse vinculado al trámite a la Fiscalía General de la Nación, toda vez que, en criterio de la accionante, esa entidad vulneró su derecho al habeas data al administrar de forma inadecuada los datos que le conciernen contenidos en el SPOA.

Además, en segunda instancia fue vinculada la sociedad Cosinte, institución de carácter privado que tiene por objeto social realizar estudios de confiabilidad y/o de seguridad para la selección de personal (76), entre otros. A juicio de la Sala, esta labor pone en situación de indefensión a las personas examinadas, en razón a que la compañía tiene la facultad de estructurar el análisis, es decir, determinar los aspectos que deberán ser informados por el participante (p. ej., nivel educativo, experiencia profesional, situación socioeconómica), cuya valoración concluirá en la asignación de un nivel de riesgo (bajo, medio, alto), lo cual, en la práctica, incide en la posibilidad de contratación del evaluado ante la empresa que solicitó el estudio.

Además, de acuerdo con los informes y pruebas que obran en el expediente, los conceptos de confiabilidad o seguridad no son conocidos por los examinados, por consiguiente, estos no cuentan con la oportunidad de solicitar la corrección de información equivocada o imprecisa que podría concluir en la exclusión del proceso de selección laboral. En ese orden, la Corte encuentra que existe una relación de indefensión entre la accionante y la sociedad Cosinte, que habilita la procedencia de la acción de tutela frente a particulares. Así las cosas, a juicio de la Sala, la mentada sociedad comercial tiene legitimación por pasiva dentro del presente trámite. 

(ii)   Inmediatez

20.  La jurisprudencia constitucional ha indicado que, en virtud del requisito de inmediatez, la interposición de la acción de tutela debe hacerse dentro de un plazo razonable y oportuno (77), contado a partir del momento en que ocurre la situación violatoria o amenazante de los derechos fundamentales, pues hacerlo después de haber transcurrido un tiempo considerable desnaturalizaría la esencia y finalidad del mecanismo de amparo, además de generar inseguridad jurídica.

El requisito de inmediatez se supera en este asunto, ya que entre el momento en el que la Fiscalía General de la Nación respondió la petición de la actora -17 de septiembre de 2019- y la radicación de la acción de tutela -29 de octubre de 2019-, trascurrieron menos de 3 meses, término que se considera razonable. 

(iii)      Subsidiariedad

21.  Conforme al artículo 86 de la Constitución, la acción de tutela procede ante la vulneración o amenaza de derechos fundamentales “por la acción o la omisión” de cualquier autoridad pública o de particulares en ciertos casos. Esa disposición establece que solo procederá cuando el afectado no cuente con otro medio de defensa judicial, salvo que se utilice como mecanismo transitorio para evitar un perjuicio irremediable.

22.  Quiere decir lo anterior que en virtud del requisito de subsidiariedad, para que proceda la acción de tutela es necesario que se hayan agotado todos los medios de defensa judiciales consagrados en el ordenamiento para la protección de los intereses fundamentales en disputa, salvo que estos no resulten idóneos o eficaces (78) para la salvaguarda de los derechos, caso en el cual el amparo a conceder será definitivo. De otro lado, puede invocarse como mecanismo transitorio cuando se pretenda evitar la ocurrencia de un perjuicio irremediable (79), escenario en el que la protección será transitoria hasta tanto el juez natural adopte la decisión de fondo que corresponda.  

23.  En relación con la protección al habeas data, la Corte ha señalado que la acción de tutela es el mecanismo judicial procedente para solicitar la supresión de información contenida en bases de datos, siempre y cuando, el interesado lo haya solicitado previamente ante el sujeto responsable de su administración (80), conforme lo dispuesto en el artículo 15 de la Ley 1581 de 2012 (81).

Al respecto, recuérdese que el 29 de agosto de 2019, la accionante radicó una petición ante la Fiscalía solicitando la supresión de sus datos de las bases manejadas por esa institución. La entidad le respondió que no era posible debido a las funciones que desempeña el SPOA, relacionadas con la elaboración de informes estadísticos, atender requerimientos de usuarios y/o autoridades administrativas o judiciales (82) -ver hechos 4 y 5-. Por consiguiente, en este caso la acción de tutela procede para solicitar el amparo del derecho al habeas data. Por último, valga precisar que la Sala se pronunciará más adelante acerca del diseño de la plataforma del SPOA, y la permanencia de los datos allí contenidos.  

Breve presentación del asunto.

24.  Anggy Lizeth C. F. promovió acción de tutela contra la Fiscalía General de la Nación al considerar que vulneró sus derechos fundamentales al no actualizar o suprimir las anotaciones que sobre ella reposan en el SPOA, lo cual podría estar afectando sus posibilidades de encontrar empleo. Al trámite constitucional fue vinculada la sociedad Cosinte como institución presuntamente responsable de divulgar información imprecisa de la actora, mediante la realización de estudios sobre sus circunstancias socio-económicas y judiciales.

El juez de primera instancia no concedió el amparo de los derechos al considerar que el SPOA no era una base de datos pública, y al no haberse probado la relación entre la exclusión de oportunidades laborales y los registros adelantados por la Fiscalía. En cambio, la segunda instancia protegió los derechos, por consiguiente, ordenó a la Fiscalía complementar la información registrada sobre la situación procesal de la accionante, y a la sociedad Cosinte Ltda. realizar nuevos estudios en los cuales aludiera a la inexistencia de antecedentes penales.

Análisis de fondo de la vulneración de los derechos al habeas data y buen nombre de la señora Anggy Lizeth Centrales Fino

25.  De manera preliminar, la Sala considera necesario precisar que el análisis se centrará sobre la presunta vulneración de los derechos al habeas data y al buen nombre de la accionante, toda vez que de la narración de los hechos es posible advertir que estas garantías pudieron verse comprometidas ante las actuaciones que la accionante reprochó a la Fiscalía General de la Nación -negativa de actualizar o suprimir los datos- y de la sociedad Cosinte -divulgar información inexacta sobre la existencia de antecedentes-.

26.  Bajo ese entendido, no se hará un pronunciamiento en torno a los derechos fundamentales de petición, a la honra y a la intimidad. El primero, por cuanto de las pruebas documentales que obran en el proceso, se avizora que la Fiscalía respondió la petición radicada por la actora el 29 de agosto de 2019, pronunciamiento que atendió el fondo de las cuestiones. Al respecto, es necesario recordar que la garantía del derecho de petición no consiste en ofrecer una respuesta afirmativa o acceder a lo solicitado, basta con que la respuesta atienda las características establecidas por la jurisprudencia constitucional (83).

27.  Frente a los derechos a la intimidad y a la honra, considera la Sala que, en cuanto a la primera prerrogativa, si bien pudo haberse accedido de forma irregular o divulgado información reservada relacionada con la accionante, esta controversia guarda mayor injerencia con el derecho al habeas data. Por otro lado, esta providencia hará referencia a la presunta circulación de información imprecisa o falsa sobre la accionante, lo cual repercute con mayor énfasis en su reputación -buen nombre- que en su amor propio.

Así las cosas, debe la Corporación analizar la incidencia que las actuaciones de la Fiscalía y la sociedad Cosinte tuvieron en los derechos fundamentales de la actora.

Análisis de la actuación desplegada por la Fiscalía General de la Nación

28.  La accionante le solicitó a la Fiscalía actualizar o corregir la información que sobre ella reposa en el en sistema misional del sistema penal acusatorio -SPOA-, cambiando el estado “inactivo” a “archivado” o suprimir sus datos de las bases manejadas por esa institución. La entidad no accedió, argumentando que la información contenida en ese sistema cumple un rol administrativo establecido para rendir informes estadísticos y responder requerimientos de usuarios o autoridades administrativas o judiciales. Así mismo, aclaró que las anotaciones no representan antecedentes judiciales, y tampoco es de acceso al público.

29.  Bajo ese contexto y antes de desarrollar los problemas jurídicos atrás planteados, la Sala considera pertinente aclarar algunos presupuestos sobre el SPOA:

i) más allá de representar una plataforma informática de recopilación de información del sistema penal acusatorio, esencialmente es una base de datos que permite relacionar a una persona con investigaciones que en su contra lleva a cabo la Fiscalía General de la Nación;

ii) es diferente al sistema de consulta pública implementada por esa institución para indagar el estado procesal de las querellas, denuncias o investigaciones promovidas de oficio.

Sobre el segundo aspecto, es posible establecer que el SPOA cuenta con dos modalidades de consulta: una reservada a funcionarios de la Fiscalía, y otra de carácter público. Según lo indicado por esa Entidad, la primera tiene por objeto brindar información para llevar a cabo informes estadísticos sobre la operatividad institucional, resolver solicitudes de usuarios o de autoridades. Además, cuenta con datos detallados sobre la actuación procesal, de ahí que su acceso esté limitado a los servidores quienes deben seguir el procedimiento interno a efectos de hacer consultas, para lo cual deben diligenciar los siguientes formatos: “solicitud de acceso a servicios TI”, y “acuerdo de confidencialidad de la información” (84).

Por otro lado, el sistema de consulta ubicado en la página web de la entidad (85) es de acceso público, siempre y cuando el interesado cuente con el número de veintiún dígitos que identifica a la actuación objeto de indagación o investigación. Esta plataforma señala en qué etapa procesal se encuentra la actuación y cuál es la delegada fiscal a cargo, sin comprometer datos que permitan identificar a los participantes. 

30.  Así las cosas, una vez hecha la anterior precisión, debe tenerse en cuenta que la acción de tutela objeto de revisión se concreta frente al sistema de consulta SPOA de uso institucional o restringido. Recuérdese que la Fiscalía informó que la descripción “inactivo” hace referencia a actuaciones que se encuentran archivadas, precluidas o con sentencia. Por lo cual, la expresión o el estado “activo” corresponde a los trámites en curso.

31.  Una primera cuestión jurídica relevante que suscita el presente asunto es definir si las anotaciones que reposan en el SPOA vulneran el derecho al habeas data de las personas concernidas con la información. Así las cosas, a primera vista, la Sala considera que la respuesta a ese planteamiento es negativa, teniendo en cuenta el fin institucional que cumple tal repositorio en el quehacer constitucional a cargo de la Fiscalía General de la Nación, específicamente frente a la operatividad del sistema procesal penal de corte acusatorio implementado en el ordenamiento a través de la enmienda constitucional 03 de 2002, desarrollado mediante la Ley 906 de 2004 (86).

Bajo ese entendido, los registros efectuados en esa plataforma satisfacen los principios constitucionales de finalidad, utilidad, y circulación restringida, los cuales gobiernan la administración de datos personales (este punto será desarrollado con mayor profundidad en los numerales 32, 35 y 36). 

Así mismo, debe precisarse que si bien el registro, per se, no vulnera el derecho al habeas data, no significa que el ciclo del dato (recolección, tratamiento y circulación) (87) desatienda los parámetros decantados por la jurisprudencia relacionados con la administración de información personal, entre los que se encuentran los principios de finalidad, utilidad, veracidad. En tanto este planteamiento fue desarrollado durante el trámite de tutela, a continuación, se hará referencia a las actuaciones surtidas en primera y segunda instancia y, con base en ello, la Sala analizará si las medidas adoptadas fueron adecuadas para proteger los derechos fundamentales de la accionante o si es necesario proferir otro correctivo judicial.

En ese sentido, se tiene que ante el juez de primera instancia la Fiscalía expresó que en el SPOA figuraban con dos registros sobre la actora, ambos con estado “inactivo” sin que fuera posible actualizar o corregir dicha descripción a “archivado”, puesto que la plataforma virtual solo permitía las alternativas activo/inactivo. 

Posteriormente, y en cumplimiento de lo ordenado por el juez de segunda instancia, la Fiscalía adelantó las gestiones necesarias para que el sistema incluyera una descripción adicional sobre el estado procesal específico en el que se halla la actuación. En ese orden de ideas, en sede de revisión, el ente acusador manifestó que el SPOA presenta las siguientes anotaciones respecto de la accionante (88):

n.° caso-noticia                                Estado                  Motivo

110016000013201115051            INACTIVO           Desistimiento de la querella por inasistencia

                                                                                              injustificada del querellante

110016000015201212133            INACTIVO           Archivo por inexistencia del hecho art. 79 C.P.P

32.  A juicio de la Sala, este cambio operativo se ajusta al principio de veracidad, como uno de los postulados que rigen la administración de las bases de datos. Según este principio la información contenida en repositorios de datos debe ser completa, exacta y comprensible. Además, exige que el registro y la divulgación de datos no conduzca a error (89). Esto último concuerda con lo afirmado por la accionante y la Universidad Externado al sostener que la expresión “inactivo” permite hacer interpretaciones que no corresponden a la realidad.

Bajo esa idea y conforme la jurisprudencia constitucional, los principios de administración de información personal aplican para todas las bases de datos, con independencia de si son de acceso público o restringido. Por lo cual, para esta Corporación no es de recibo lo afirmado por la Fiscalía en el sentido de que “la facultad de rectificación o corrección, como uno de los contenidos mínimos que integran el derecho al habeas data, debe exigirse dentro de las finalidades y características del -SPOA-”. Al respecto, resulta oportuna una de las afirmaciones expuestas en la intervención allegada a la Corte, según la cual “(e)l diseño o la arquitectura del sistema no puede tiranizar el ejercicio de los derechos” (90).

33.  En estos términos, deviene adecuada la orden proferida por el Tribunal Administrativo de Cundinamarca, y su cumplimiento por parte de la Fiscalía General de la Nación. Por consiguiente, al haberse adoptado un remedio judicial acorde con la protección de derechos fundamentales, la Corte no hará ningún pronunciamiento al respecto y, por consiguiente, confirmará el fallo de segunda instancia. Sin embargo, es necesario precisar que el ad quem amparó el derecho al debido proceso sin explicar en qué consistió su vulneración. Al no advertir que la accionante estuviera en medio de una actuación judicial o administrativa, la Sala considera que tal derecho no fue vulnerado pues, reitérese, la controversia giró en torno a los derechos al habeas data y al buen nombre, por tanto, no será objeto de protección.

34.  Efectuado el anterior análisis, corresponde desarrollar el segundo problema jurídico que atañe a la Fiscalía General de la Nación. Esto es, establecer si es procedente solicitar la supresión del registro de actuaciones que hayan concluido por alguna de las formas anormales de terminación del proceso penal, por ejemplo: el archivo o la preclusión.

Al efecto, reitérese que, según el ente acusador, el SPOA contribuye a realizar funciones administrativas, y a resolver solicitudes y requerimientos de usuarios y autoridades. Por su parte, la intervención de la Universidad Externado puso en duda el cumplimiento de los principios de finalidad y necesidad respecto de la permanencia de datos personales en la plataforma de consulta de la Fiscalía, teniendo en cuenta que se trata de información negativa, y que la entidad puede realizar los análisis estadísticos conservando el anonimato de las personas. Así mismo, sugirió a la Corte establecer un término de caducidad para ese tipo de datos.

35.  A juicio de la Sala, se identifica una finalidad legítima en la conservación de las anotaciones o registros relacionados con actuaciones que se encuentren en estado “inactivo”, de cara al propósito que el Constituyente de 1991 le encargó a la Fiscalía General de la Nación consistente en “adelantar el ejercicio de la acción penal y realizar la investigación de los hechos que revistan las características de un delito” -art. 250 C. Pol.-.

36.  La permanencia de esa información incide en algunas actuaciones del sistema procesal penal acusatorio consagrado en la Ley 906 de 2004 y en el diseño de la política criminal. Por ejemplo, el desarchivo, evitar dobles juzgamientos ante hechos en los que se declaró la preclusión, y el reconocimiento de la indemnización integral, como pasa a explicarse:

Conforme el artículo 79 de la mentada ley, la Fiscalía puede disponer el archivo de la actuación cuanto “tenga conocimiento de un hecho respecto del cual constate que no existen motivos o circunstancias fácticas que permitan su caracterización como delito, o indiquen su posible existencia como tal”. Sin embargo, acto seguido, la disposición establece que “si surgieren nuevos elementos probatorios la indagación se reanudará mientras no se haya extinguido la acción penal”. 

Esto significa que los registros en el SPOA de actuaciones en las que se dispuso el archivo, facilitan analizar el mérito de reanudar la indagación, pues las anotaciones virtuales permiten a los funcionarios conocer los pormenores del caso, por ejemplo, identificar las razones por las cuales se ordenó el archivo, y el relato fáctico de la noticia criminal, cuya temporalidad podría incidir en el término de prescripción de la acción penal. Lo anterior, sin necesidad de localizar el expediente físico para revisar estos detalles, agilizándose así la labor del ente acusador y, por ende, la atención a la ciudadanía.  

De otro lado, conforme lo expuesto por esta Corporación en la sentencia C-920 de 2007, la aplicación de la preclusión por el juez de conocimiento -por tratarse de una decisión típicamente jurisdiccional que pone fin a la acción penal- hace tránsito a cosa juzgada. De esta manera, tener conocimiento de las indagaciones o investigaciones que han sido objeto de preclusión, evita que se adelanten nuevas actuaciones por los mismos hechos. Por último, conocer las actuaciones que han terminado por preclusión también incide en la extinción de la acción penal por indemnización integral -propia de la Ley 600 de 2000- para casos inmersos en la Ley 906 de 2004 (91).

Por consiguiente, estos actos procesales demuestran que la permanencia de las anotaciones relacionadas con actuaciones que hayan concluido por alguna de las formas de terminación anormal del proceso penal -archivo, preclusión, etc., son útiles para la operatividad del sistema procesal penal de corte acusatorio. Así mismo, su supresión, en términos del principio de caducidad del dato negativo, no es procedente, pues los anteriores ejemplos demuestran la razonabilidad de su conservación.

Como argumento adicional, aunque la Sala concuerda con el interviniente al señalar que las anotaciones del SPOA representan datos negativos, pues permiten asociar a la persona con la existencia presente o pasada de un proceso penal (92), no puede perderse de vista que tal anotación o registro no constituye un antecedente penal. Además, el acceso a esta información es, en principio, restringido a los funcionarios de la Fiscalía General de la Nación y a las personas que cuenten con el número de radicado de la querella o denuncia interpuesta ante el ente acusador, en caso de consultar la plataforma pública del SPOA.

37.  Al respecto, según la información allegada por la Fiscalía, son posibles los ingresos o consultas irregulares al SPOA. Recuérdese que por este hecho esa entidad adelanta 19 investigaciones disciplinarias (93) sin contar la iniciada de oficio con ocasión de la acción de tutela de la referencia.

38.  Frente a las medidas de seguridad con las que cuenta la Fiscalía para acceder a las bases de datos que administra, esa institución indicó que el manejo del SPOA sigue las pautas establecidas en la Resolución n.° 4004 de 2013. Al respecto, el artículo quinto y el numeral 5.5.5 consagran el alcance de la política de seguridad y la regulación sobre el acceso a los sistemas administrativos misionales. El tenor literal de las disposiciones es el siguiente:

“Artículo Quinto. DECLARACIÓN DE POLÍTICA DE SEGURIDAD. Todos los empleados y funcionarios de la FISCALÍA GENERAL DE LA NACIÓN, así como terceros que deban realizar labores por medios lógicos o físico que involucren el manejo de información de la Entidad, deben velar por la disponibilidad, confidencialidad e integridad de los activos informáticos (94), cumpliendo con las políticas de seguridad establecidas y las correspondientes cláusulas de confidencialidad de la información que para su caso aplique”.

“5.5.5. Acceso a los sistemas administrativos y misionales:

a) Tendrá acceso a los sistemas administrativos solo el personal de la FISCALIA GENERAL DE LA NACION o la persona que tenga la autorización por parte de la Oficina de informática.

b) El manejo de información administrativa que se considere de uso restringido deberá ser cifrado con el objeto de garantizar su integridad.

c) Se prohíbe el acceso de personal no autorizado a los servidores de bases de datos, excepto para el personal autorizado de la Oficina de Informática.

d) El servidor o funcionario de la Entidad deberá diligenciar el formato correspondiente para que le sea asignada una cuenta de acceso a los sistemas administrativos y misionales.

e) El usuario se compromete a mantener la confidencialidad de su contraseña de acceso y de los datos consultados de carácter reservado, privado o confidencial” (95).

39.  Estas disposiciones enfatizan que solo los funcionarios de la Fiscalía tienen acceso a los sistemas informáticos de la institución y en el deber de confidencialidad e integridad de los activos informáticos. De otra parte, en los considerandos de la Resolución, la entidad especificó cuál es la normativa que guía la política de seguridad informática, así:

“Que las normas y políticas de seguridad informática en la Fiscalía General de la Nación se encuentran enmarcadas en preceptos Constitucionales, Leyes, Decretos, Convenios Internacionales, así como en Resoluciones, Circulares y Memorandos proferidos por la Entidad, Entre las que se encuentran:

a.   Ley de Delitos informáticos: Ley 1273 de enero de 2009.

b.  Ley de Correo Electrónico: Ley 527 de 1999.

c.   Decreto 1747 del 2000: Por el cual se reglamenta parcialmente la Ley 527 de 1999.

d.  Ley General del Archivo: Ley 594 de 2000 – El Párrafo 1 del artículo 19… ‘están en la obligación de garantizar la autenticidad, integridad y la inalterabilidad de la información allí consignada…’

e.   Código de Ética y Buen Gobierno: Adoptado mediante Resolución (…).

f.    Código sustantivo del trabajo: Artículo 58 –Obligaciones Especiales del Trabajador, 3ª… ‘Conservar y restituir en buen estado, salvo el deterioro natural, los instrumentos y útiles que le hayan sido facturados y las materias primas sobrantes…’.

g.   Ley de Derechos de Autor: Ley 23 de 1982.

h.  Ley de habeas data: Ley 1266 de Diciembre de 2008 (96).

40.  A juicio de la Sala, este listado de leyes permite advertir que la normativa que guía la política de seguridad al interior del ente acusador va encaminada, en mayor medida, a la protección de los objetos, enseres materiales o inmateriales, llámese la “infraestructura de TIC” -hardware y software-, más que hacia la protección del derecho al habeas data de las personas registradas o reseñadas en sus sistemas informáticos. Valga precisar que a pesar que la lista menciona la Ley Estatutaria del derecho al habeas data –Ley1266 de 2008-, la regulación de la Resolución 4004 de 2013 no hace ninguna alusión a los principios de la administración de datos personales, ni siquiera menciona el derecho al habeas data.

41.  Por consiguiente, la Sala le ordenará a la Fiscalía General de la Nación, en cuanto entidad que administra bases de datos, velar por la protección del derecho al habeas data de las personas objeto de anotaciones o registros en los diferentes sistemas informáticos con los que opera esa institución, para lo cual deberá tener en cuenta los principios constitucionales y legales que guían la administración de datos personales.  

Así mismo, se remitirá copia del fallo de revisión a la Procuraduría General de la Nación para que, en el ámbito de sus competencias, realice un seguimiento de las indagaciones e investigaciones disciplinarias realizadas al interior de la Fiscalía relacionadas con ingresos o divulgación irregular de información reservada. Igualmente, para que adelante las acciones a las que haya lugar en caso de encontrar mérito. 

Análisis de la actuación desplegada por la sociedad Cosinte Ltda

42.  La accionante consideró que la sociedad Cosinte vulneró su derecho al habeas data, al señalar: “niego que, en momento alguno haber otorgado mi consentimiento para que se ingresaran a su información de carácter restringido de esa entidad (Fiscalía General de la Nación)” (97). Al respecto, es necesario reiterar que el diseño de la plataforma del SPOA ocasionó la vulneración al derecho al habeas data al clasificar el estado de las actuaciones como “activas/inactivas” sin hacer ninguna otra precisión. Sin embargo, esta situación se remedió con el fallo de segunda instancia, conforme a lo atrás indicado. Así las cosas, a partir de lo acreditado durante el trámite de la referencia, es necesario analizar si Cosinte Ltda. vulneró el derecho al buen nombre de la accionante.

43.  Al efecto, en los estudios realizados a la accionante “con fecha de entrega” del “2018-12-27” y el “2019-09-03”, Cosinte expresó:

“5. ANTECEDENTES: Consultadas las bases de datos de los organismos de seguridad del Estado, se confirmó registra antecedentes. (…) || CONCLUSIÓN: Luego de consultadas las bases de datos de los organismos de seguridad del Estado, se encontró que la evaluada REGISTRA DOS PROCESOS EN SU CONTRA. Teniendo en cuenta lo anterior, se considera que la candidata representa un nivel de riesgo MEDIO”. (98).

De otro lado, a partir de los documentos solicitados en sede de revisión, la sociedad allegó copia del estudio de confiabilidad realizado a la accionante, con “fecha de entrega 2020-02-11”, en el cual dejó constancia de los siguiente:

“4. VISITA DOMICILIARIA: (…) Señala que cuenta con dos procesos en la fiscalía por hurto y lesiones personales, afirma que los procesos se encuentran inactivos. (…)

5. ANTECEDENTES: Consultadas las bases de datos públicas disponibles, se pudo evidenciar que la persona evaluada no registra anotaciones; sin embargo, ella manifiesta que cuenta que dos procesos en la Fiscalía por los delitos de hurto y lesiones personales, los cuales afirma se encuentran inactivos. (…)

CONCLUSIÓN: El presente estudio de seguridad y confiabilidad, se modifica en cumplimiento de la orden impartida por el Tribunal Administrativo de Cundinamarca Sección Segunda – Subsección “A” de acuerdo a la impugnación de tutela N° AT-2019-00432, con fecha 05 de febrero de 2020 lo anterior, como mecanismo de restablecimiento al buen nombre de la accionante. Una vez hecha la anterior observación, se emite un nivel de riesgo BAJO” (99).

44.  Al comparar los estudios realizados con anterioridad a la presentación de la acción de tutela, y el realizado en cumplimiento del fallo de segunda instancia, la Sala considera relevante destacar tres aspectos:

i) Los dos primeros análisis incurrieron en una falsedad al establecer que la accionante “registra antecedentes” (100), equiparando las anotaciones o registros con antecedentes penales;

ii) Tal distorsión de la verdad, tuvo la entidad de afectar el derecho al buen nombre de la accionante, por cuanto la información que vincula a una persona con el ejercicio del ius puniendi en cabeza de la Fiscalía General de la Nación, constituye un dato negativo, dadas las circunstancias perjudiciales o desfavorables que de él se derivan. Además, afectó su reputación al ser una información imprecisa (101), cuyos efectos tienen la entidad suficiente para proyectarse e incidir en el ámbito público o colectivo (102).  Afirmar que una persona registra antecedentes penales equivale a decir que un día cometió un delito/contravención, que por ella fue procesada y el Estado le impuso una pena.

iii) Aunque el último estudio establece que la actora no registra anotaciones         -antecedentes-, acto seguido indica que cuenta con dos procesos en la Fiscalía en estado inactivo (103). A pesar que esto último es veraz, incurre en la falencia identificada en la sentencia de segunda instancia frente al diseño del SPOA, y sobre lo cual la Sala se pronunció párrafos atrás -ver supra núms. 25-28-.

45.  Por consiguiente, teniendo en cuenta que el estudio refiere que la accionante cuenta con dos procesos judiciales en estado “inactivo”, y que las anotaciones o registros en las bases de datos a cargo de la Fiscalía constituyen un dato negativo con capacidad de someter al sujeto concernido por el dato a condiciones de discriminación o exclusión, la Sala le ordenará a la sociedad Cosinte Ltda que en próximos estudios que realice de la accionante, omita referir actuaciones penales con estado “inactivo” o, en caso de mencionarlas, especifique la situación procesal que sustenta esa descripción -el archivo, desistimiento de la querella, preclusión-.

46.  De otro lado, a partir de lo evidenciado en el desarrollo de este trámite, se tiene que Cosinte vulneró el derecho al buen nombre de la accionante, por lo que se adoptarán órdenes tendientes a su reivindicación. Sin embargo, no se descarta que la afectación causada sea susceptible de ser reparada, empero, dada la naturaleza jurídica de la acción de tutela cuyo fin esencial es salvaguardar las garantías superiores -es decir que, en principio, no persigue la indemnización de perjuicios (104)-, se advierte a la actora que puede ejercer la acción de responsabilidad civil extracontractual si así lo considera.

47.  Por último, en consideración a que la sociedad Cosinte está sometida a las funciones de inspección, control y vigilancia de la Superintendencia de Vigilancia y Seguridad Privada (105), la Sala le remitirá copias de la presente decisión a esa entidad para que, en el ámbito de sus funciones (106), indague si la sociedad pudo haber incurrido en alguna actuación irregular en el acopio de los datos personales de la accionante, y si tal situación puede dar lugar a alguna de las sanciones establecidas en el artículo 76 del Decreto Ley 356 de 1994 (107).

III. SÍNTESIS DE LA DECISIÓN

La Sala revisó la acción de tutela formulada contra la Fiscalía General de la Nación, trámite al que fue vinculada la sociedad Cosinte Ltda. La accionante consideró que la Fiscalía vulneró su derecho al habeas data al no actualizar las anotaciones que reposan sobre ella con estado “inactivo” en el SPOA o suprimir esa información. Por otro lado, esta Corporación analizó si la segunda vulneró el derecho al buen nombre al divulgar información imprecisa sobre la existencia de antecedentes penales a través de estudios de confiabilidad y/o financieros.

La Corporación acreditó que las opciones de consulta “activo/inactivo” con las que opera el SPOA -de uso restringido o institucional- contraría las reglas de administración de datos personales, específicamente, el principio de veracidad, según el cual la información recopilada debe ser completa, exacta y compresible. Sin embargo, esta situación se superó con lo ordenado en el fallo de segunda instancia, al haberse modificado esa plataforma virtual indicando con mayor precisión el estado procesal de la actuación penal. Por consiguiente, la Sala confirmó esa decisión. Por otro lado, respecto a la petición de suprimir los datos relacionados con actuaciones “inactivas”, la Sala consideró que no era procedente al advertir que la permanencia de la información atiende los principios de finalidad y necesidad. 

De otro lado, se adoptó una orden adicional al remitir copia de la presente decisión a la Procuraduría General de la Nación para que lleve a cabo seguimiento de las investigaciones disciplinarias al interior de la Fiscalía por ingresos irregulares al SPOA.

Frente a la sociedad Cosinte Ltda., se constató que vulneró el derecho fundamental al buen nombre de la accionante al divulgar información imprecisa sobre ella relacionada con la existencia de antecedentes. Si bien se probó que la sociedad realizó nuevos estudios corrigiendo la información, estos fueron imprecisos al hacer referencia a actuaciones “inactivas”, es decir, sin mencionar las circunstancias que sustentan esa descripción. Así mismo, la Corte decidió remitir copia de esta sentencia a la Superintendencia de Vigilancia y Seguridad Privada para que, en ejercicio de sus competencias, verifique si Cosinte Ltda. pudo haber incurrido en una conducta irregular en el acopio de datos personales de la accionante. 

VI. DECISIÓN

En mérito de lo expuesto, la Sala Octava de Revisión de la Corte Constitucional, administrando justicia en nombre del pueblo y por mandato de la Constitución Política,

RESUELVE

Primero. CONFIRMAR la sentencia del 4 de febrero de 2020 de la Subsección “A”, Sección Segunda del Tribunal Administrativo de Cundinamarca que protegió los derechos al habeas data y al buen nombre de Anggy Lizeth Cendales Fino, vulnerados por la Fiscalía General de la Nación y la Sociedad Consultoría Seguridad Integral y Compañía Limitada -Cosinte Ltda.-, conforme las razones expuestas en esta providencia. Adiciónese las siguientes disposiciones:

Segundo. ORDENAR a la Fiscalía General de la Nación, en cuanto entidad que administra bases de datos, velar por la protección del derecho al habeas data de las personas objeto de anotaciones o registros en los diferentes sistemas informáticos con los que opera esa institución, para lo cual deberá tener en cuenta los principios constitucionales y legales que guían la administración de datos personales, de conformidad con lo señalado en esta decisión.

Tercero. ORDENAR a la Sociedad Cosinte Ltda. que en los próximos estudios que realice de Anggy Lizeth Cendales Fino, OMITA referir actuaciones judiciales de carácter penal con estado “inactivo” o, en caso de mencionarlas, especifique la situación procesal da lugar a esa descripción, de acuerdo con la parte motiva de esta sentencia.

Cuarto. REMITIR copia del presente fallo a la Procuraduría General de la Nación para que, en el ámbito de sus competencias, realice seguimiento de las investigaciones disciplinarias realizadas al interior de la Fiscalía relacionadas con ingresos o divulgación irregular de información reservada. Igualmente, para que adelante las acciones a las que haya lugar en caso de encontrar mérito.

Quinto. REMITIR copia del presente fallo a la Superintendencia de Vigilancia y Seguridad Privada para que, en el ámbito de sus funciones de inspección, control y vigilancia, verifique si la Sociedad Cosinte Ltda. pudo haber incurrido en alguna actuación irregular en el acopio de los datos personales de la accionante. Lo anterior, con base en lo expuesto en este proveído.

Sexto. LÍBRENSE por Secretaría General las comunicaciones de que trata el artículo 36 del Decreto Estatutario 2591 de 1991.

Notifíquese, comuníquese, publíquese y cúmplase.

JOSÉ FERNANDO REYES CUARTAS, Magistrado

RICHARD S. RAMÍREZ GRISALES, Magistrado (e.)

ALBERTO ROJAS RÍOS, Magistrado

MARTHA VICTORIA SÁCHICA MÉNDEZ, Secretaria General

 ———————————————————-

(1) La narración de los hechos se complementó a partir de los diferentes documentos que obran en el expediente con la finalidad de facilitar el entendimiento del caso.

(2) De ahora en adelante: “Consinte Ltda.” o “la sociedad Cosinte”.

(3) Cuaderno de segunda instancia, folio 19. Cargo a ocupar: Asistente contable.

(4) Idem, folio 21. Cargo a ocupar: Analista de cartera.

(5) Idem, folios 19 vto y 21 vto.

(6) Cuaderno de primera instancia, folio 1.

(7) Idem, folio 9. Inicialmente, la petición fue radicada ante la Dirección Seccional de Fiscalías Bogotá, la cual la remitió por competencia, ver cuaderno de primera instancia folio 6.

(8) Idem.

(9) Idem, folio 10.

(10) Idem, folio 3.

(11) Idem, folio 3.

(12) Idem.

(13) Cuaderno de primera instancia, folio 14.

(14) En el auto admisorio, la autoridad judicial aclaró lo siguiente: “(h)ágase la salvedad referente a que, de no ser el funcionario competente para el conocimiento de la acción de la referencia, se remita de manera inmediata al que ostente dicha facultad, informando tal situación al Despacho”.

(15) Cuaderno de primera instancia, folio 20.

(16) Idem, folio 25.

(17) Sistema de Información Judicial de la Fiscalía, Ley 600 de 2000.

(18) Cuaderno de primera instancia, folio 29.

(19) Idem, folio 40.

(20) Idem, folios 41-44.

(21) Idem, folio 6.

(22) Cuaderno de primera instancia, folios 149-153.

(23) Cuaderno de segunda instancia, folio 11.

(24) Idem, folios 19 y 21.

(25) idem, folios 25-34.

(26) Idem, folio 33.

(27) Cuaderno de primera instancia, folios 7 y 8.

(28) Idem, folio 9.

(29) Idem, folio 10.

(30) Cuaderno de segunda instancia, folios 19 y 21, respectivamente.

(31) Idem. Folios 20 y 22.

(32) La Entidad solicitó la selección de la acción de tutela y, de forma subsidiaria, pidió declarar la nulidad de lo actuado a partir del auto admisorio por indebida integración del contradictorio. Este último aspecto será abordado como cuestión preliminar al analizar el caso concreto.

(33) Conformada por la Magistrada Cristina Pardo Schlesinger y el Magistrado José Fernando Reyes Cuartas.

(34) Cuaderno de la Corte, folios 19 a 32 vto.

(35) Cuaderno de la Corte, folio 36.

(36) Al respecto, el Despacho invitó al Observatorio Ciro Angarita Barón de la Universidad de los Andes, la Fundación Karisma, y los departamentos de derecho constitucional de las Universidades Externado, de Caldas y Nacional -sede Bogotá-.

(37) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “Expediente T-7.845.433 –Oficio N. OPTB -618-20- (…)”.

(38) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “2 Y 3. ANEXOS RESPUESTA INCIDENTE DE DESACATO (…)”.

(39) El documento señala que la accionante presenta un “nivel de riesgo bajo”. Así mismo, hace una descripción de sus condiciones personales, familiares, académicas, y labores. Otro de los puntos se refiere a las observaciones realizadas en la visita domiciliaria, acápite que da cuenta de los hábitos de la entrevistada, de las características que presenta la residencia y del entorno en el que está ubicada. Por último, establece que “no registra anotaciones”. Sin embargo, señala que la accionante manifestó contar con dos “procesos” “inactivos” en la Fiscalía. Ver cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “5. Estudios de confiabilidad y análisis de información financiera”.

(40) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “v.d. 20201014RTA AUTO DE PRUEBAS TUTELA ANGGY CENDALES”.

(41) “Por la cual se actualizan las políticas de seguridad de la información, emitidas mediante la Circular DFGN-0001, mayo 6 de 2006 del Fiscal General de la Nación”.

(42) Resolución 4004 de 2013, artículo 1.

(43) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “v.d. 20201014RTA AUTO DE PRUEBAS TUTELA ANGGY CENDALES”, pág. 7.

(44) Idem, pág. 3.

(45) Idem, pág. 7.

(46) A pesar de la invitación realizada en el auto de pruebas, la Corte solo recibió la intervención de la Universidad Externado de Colombia.

(47) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “Intervención ciudadana Universidad Externado de Colombia”, el documento está suscrito por el docente Juan Carlos Upegui Mejía.

(48) Respecto de la dimensión objetiva del derecho al habeas data, el concepto señala los siguientes dos planteamientos:

“a) Si la actora tiene derecho a obtener la rectificación de la información contenida en la base de datos del SPOA consistente en la calificación de inactivo de un proceso penal en su contra, cuando este ha concluido por una de las formas anormales de terminación del proceso penal, y por ende de cesación del ejercicio de la acción penal (desistimiento de la querella, archivo, preclusión) con el propósito de que dicha información se acerque en la mayor medida de lo posible a la realidad procesal del caso”, y

“b) Si la actora tiene derecho a obtener la eliminación definitiva de la información contenida en la base de datos del SPOA consistente en la calificación de inactivo de un proceso penal, cuando este ha concluido por una de las formas anormales de terminación del proceso penal, y por ende de cesación del ejercicio de la acción penal (desistimiento de la querella, archivo, preclusión) si no existe una finalidad constitucionalmente legítima que habilite conservar esta información en el SPOA”.

En relación con la dimensión subjetiva:

“c) Si la Fiscalía General de la Nación desconoce el derecho fundamental al habeas data en su dimensión objetiva si, dentro de los criterios de administración de la base de datos del SPOA, no existen normas con fuerza formal de ley, que precisen que el mantenimiento de información relacionada con procesos penales en los que ha cesado el ejercicio de la acción penal, y por tanto han terminado de forma anómala (por desistimiento de la querella, archivo o preclusión) cumple con una finalidad constitucionalmente legítima y es por tanto necesaria para el cumplimiento o la satisfacción de dicha finalidad” y, por último

“d) si la Fiscalía General de la Nación desconoce el derecho fundamental al habeas data en su dimensión objetiva si ha facilitado o no ha impedido el acceso a la información personal contenida en el SPOA a terceras personas no legitimadas para ello, y por tanto ha desconocido los principios de circulación restringida y de seguridad de la información personal”.

(49) Al respecto, el interviniente afirmó que los Decretos Ley 016 de 2014 -Por el cual se modifica y define la estructura orgánica y funcional de la Fiscalía General de la Nación-, y 898 de 2017, que lo adiciona, subroga y deroga parcialmente, no hacen referencia a un registro, sistema de información o base de datos que se relaciones con el sistema penal oral y acusatorio.

(50) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “Expediente T-845.433 –Oficio N. OPTB 723-20 (…)”.

(51) Sentencia SU-458 de 2012.

(52) Sentencia T-414 de 1992.

(53) Idem.

(54) La sentencia T-414 de 1992 lo definió “derecho a la libertad informática”, y la sentencia SU-082 de 1995 lo denominó “derecho a la autodeterminación informática”. 

(55) Sentencia SU-458 de 2012.

(56) Sentencia T-729 de 2002. En esta providencia, la Corte expresó que el contexto material de este derecho está dato por “el objeto o la actividad de las entidades administradoras de bases de datos, las regulaciones internas, los mecanismos técnicos para la recopilación, procesamiento, almacenamiento, seguridad y divulgación de los datos personales y la reglamentación sobre usuarios de los servicios de las administradoras de las bases de datos”.

(57) Sentencia SU-458 de 2012.

(58) “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”. Valga referir que la sentencia C-1011 de 2008, consideró que los principios contenidos en la ley estatutaria de habeas data financiero eran constitucionales y que, además, su aplicación era extensiva a todas las bases de datos personales sin importar que la regulación estudiada tenía un marcado carácter sectorial, reiterado de la sentencia SU-458 de 2012.

(59) “Por la cual se dictan disposiciones generales para la protección de datos personales”.

(60) “Por medio de la cual se expiden normas para fortalecer el Marco Jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir con su misión constitucional y legal, y se dictan otras disposiciones”.

(61) Algunas de las consideraciones de este acápite son reiteradas de la sentencia SU-274 de 2019.

(62) Sentencia C-489 de 2002. Cfr. Sentencia T-022 de 2017.

(63) Sentencia T-977 de 1999. Cfr. Sentencia T-022 de 2017.

(64) Sentencia T-471 de 1994.

(65) La jurisprudencia constitucional ha diferenciado los derechos a la honra y al buen nombre. Aunque que guardan una relación de interdependencia, “el primero responde a la apreciación que se tiene de la persona a partir de su propia personalidad y comportamientos privados directamente ligados a ella, el segundo se refiere a la apreciación que se tiene del sujeto por asuntos relacionales ligados a la conducta que observa en su desempeño dentro de la sociedad”, sentencia C-452 de 2016.

(66) Sentencia C-185 de 2003.

(67) Sentencia SU-458 de 2012.

(68) Código de Procedimiento Penal.

(69) De conformidad con los Decretos 4057 de 2011 y 233 de 2012.

(70) Las siglas “SIJUF” significan: Sistema de Información Judicial de la Fiscalía Ley 600.

(71) “Por la cual se actualizan las políticas de seguridad de la información, emitidas mediante la Circular DFGN-0001, mayo 6 de 2006 del Fiscal General de la Nación”.

(72) Al respecto, la sección 5.2. establece lo siguiente: “Responsabilidades de los usuarios. Todos los servidores de la FISCALÍA GENERAL DE LA NACIÓN, deberán conocer, entender y asumir sus responsabilidades con respecto al cumplimiento de las políticas de seguridad de la información, así como: a) El incumplimiento de algunas de las políticas o normas estipuladas en este documento que conlleve a un incidente de seguridad, implicará el proceso respectivo por parte de la entidad para establecer la responsabilidad del usuario involucrado. (…)”.

(73) Cuaderno de primera instancia, folio 9. El documento precisa que, en cumplimiento de la sentencia SU-458 de 2012, dicha descripción aplica “para todas aquellas personas que no registran antecedentes y para quienes la autoridad judicial competente haya decretado la extinción de la condena o la prescripción de la pena”.

(74) En sentencia T-233 de 1994, la Corte indicó que la subordinación se ha entendido como “el acatamiento y sometimiento a órdenes proferidas por quienes, en razón de sus calidades, tienen la competencia para impartirlas’ (74), encontrándose entre otras,

(i) las relaciones derivadas de un contrato de trabajo;

(ii) las relaciones entre estudiantes y directivas del plantel educativo;

(iii) las relaciones de patria potestad originadas entre los hijos menores y los incapaces respecto de los padres, o

(iv) las relaciones entre los residentes de un conjunto residencial y las juntas administradoras de los mismos”, (pronunciamiento reiterado en las sentencias T-188 de 2017 y T-043 de 2020).

(75) La jurisprudencia constitucional también ha establecido que relaciones de indefensión se pueden constituir en las siguientes situaciones:

“(i) (l)a falta, ausencia o ineficacia de medios de defensa legales, materiales o físicos, que le permitan al particular que instaura la acción contrarrestar los ataques o agravios, que contra sus derechos sean inferidos por el particular contra el cual se impetra la acción;

(ii) La imposibilidad de satisfacer una necesidad básica o vital, por la forma irracional, irrazonable y desproporcionada en la que un particular ejerce una posición o un derecho del que es titular;

(iii) La existencia de un vínculo afectivo, moral, social o contractual, que facilite la ejecución de acciones u omisiones que resulten lesivas de derechos fundamentales de una de las partes;

(iv) En el uso de medios o recursos que buscan, por medio de la presión social, que un particular haga o deje de hacer algo en favor de otro, por ejemplo la publicación de la condición de deudor de una persona por parte de su acreedor en un diario de amplia circulación, o la utilización de personas con determinadas características para efectuar el cobro de acreencias”, sentencia T-181 de 2017, reiterada en la sentencia T-030 de 2018.

(76) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “1. Camara de comercio Cosinte Ldta”, pág. 3.

(77) Sentencias T-834 de 2005 y T-887 de 2009.

(78) En sentencia T-313 de 2017, la Corte adujo que una acción judicial es idónea “cuando es materialmente apta para producir el efecto protector de los derechos fundamentales” y efectiva “cuando está diseñada para brindar una protección oportuna a los derechos amenazados o vulnerados”. De otro lado, autores nacionales han identificado la idoneidad como “la capacidad o aptitud del medio para dar una respuesta a la pregunta constitucional”, situación en la que se valora, por ejemplo, la aceptación de las posturas adoptadas por la Corte a través de su jurisprudencia o la formalidad exigida en el mecanismo judicial. Frente a la eficacia aducen que “los criterios claves para la evaluación son la oportunidad e integralidad de la respuesta”, en este punto deben ser valoradas las categorías de “sujeto de especial protección”, “tercera edad”, “expectativa promedio de vida”, entre otras. (Luis Manuel Castro Novoa y Cesar Humberto Carvajal Santoyo, en “Acciones Constitucionales. Módulo I, acción de tutela” 2017).

(79) La jurisprudencia constitucional ha establecido que la configuración de un perjuicio irremediable requiere que este sea:

“(i) inminente, es decir, por estar próximo a ocurrir;

(ii) grave, por dañar o menoscabar material o moralmente el haber jurídico de la persona en un grado relevante;

(iii) urgente, que requiera medidas urgentes para conjurarlo; y

(iv) que la acción de tutela sea impostergable a fin de garantizar el adecuado restablecimiento del orden social justo en toda su integridad” (Sentencia T-326 de 2013, reiterada en la sentencia T-328 de 2017) (resalto añadido).

(80) Sentencias T-176A de 2014, y T-490 de 2018, entre otras.

(81) Ley 1581 de 2012, Art. 15. Reclamos. “El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. 2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. 3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término”. Cfr. Sentencias T-022 de 2017, T-032 de 2017 y T-167 de 2015.

(82) Cuaderno de primera instancia, folio 9.

(83) Al respecto, en sentencia T-2016 de 2018, la Corte reiteró que el derecho de petición garantiza una respuesta oportuna, eficaz, de fondo y congruente con lo solicitado.

(84) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “v.d. 20201014 RTA AUTO PRUEBAS TUTELA ANGGY CENDALES”.

(85) “https://www.fiscalia.gov.co/colombia/” ventana: “Casos registrados en la base de datos del Sistema Penal Oral Acusatorio (SPOA)”.

(86) “Por la cual se expide el Código de Procedimiento Penal”.

(87) La expresión “ciclo del dato” se deriva del segundo inciso del artículo 15 Superior, según el cual “(e)n la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

(88) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “v.d. 20201014 RTA AUTO PRUEBAS TUTELA ANGGY CENDALES”.

(89) Sentencia T-238 de 2018.

(90) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “Intervención ciudadana Universidad Externado de Colombia”, pág. 4.

(91) Al respecto, en Auto AP210-2015 del 21 de enero de 2015 (rad. 45.114), la Sala de Casación Penal de la Corte Suprema de Justicia indicó lo siguiente: “La Sala (CSJ AP, 13 abril 2011, Rad. 35946), la Sala al analizar la figura de la indemnización integral estableció que pese a no estar prevista en la Ley 906 de 2004, era dable su aplicación para casos regidos por tal normativa, en virtud del principio de favorabilidad acudiendo para ello al artículo 42 de la Ley 600 de 2000 que sí lo regula. || Efectivamente la Corporación, tras analizar el principio de aplicación favorable de la ley el cual tiene cabida no sólo cuando se trata de preceptos de contenido sustancial, sino también procesal con proyección sustancial, enfatizó que era también viable con ocasión de la coexistencia normativa de los dos ordenamientos procesales penales (Ley 600 y 906). (…). || Con esa arista la Sala ha admitido la extinción de la acción penal por indemnización integral para casos propios del sistema procesal acusatorio, siempre que se cumplan los requisitos del artículo 42 de la Ley 600 de 2000, respecto de la naturaleza del delito, esto es, correspondan a los allí enumerados, se repare integralmente el daño ocasionado y que dentro de los cinco años anteriores no se haya proferido en otro proceso preclusión de la investigación o cesación de procedimiento en favor del procesado por el mismo motivo”. (Negrilla añadida).

(92) En sentencia C-185 de 2003, la Corte indicó que la información negativa u odiosa es “aquella que asocia una situación (no querida, perjudicial, socialmente reprobada o simplemente desfavorable) al nombre de una persona (…)”. De otro lado, en sentencia SU-458 de 2012, señaló que los antecedentes penales constituyen un dato negativo, por cuanto asocian el nombre de una persona con “la ruptura del pacto social, con la defraudación de las expectativas normativas, con la violación de los bienes jurídicos fundamentales”.

(93) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “v.d. 20201014 RTA AUTO PRUEBAS TUTELA ANGGY CENDALES”, pág. 4.

(94) Conforme al artículo tercero, la expresión “Activo informático” se refiere a la “infraestructura de TIC y todo lo relacionado con esta”.

(95) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “RESOLUCION 0-4004-13 PROTOCOLOS DE SEGURIDAD DE LA INFORMACION”.

(96) Idem.

(97) Cuaderno de primera instancia, folio 3.

(98) Cuaderno de segunda instancia, folios 19 y 21.

(99) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “6. Estudios de confidencialidad y análisis de información financiera 2020”, pág. 2.

(100) Cuaderno de segunda instancia, folios 19 y 21.

(101) Sentencias C-489 de 2002, y T-022 de 2017, reiteradas en la SU-274 de 2019.

(102) Sentencia T-050 de 2016, reiterada en la SU-274 de 2019.

(103) Cuaderno de la Corte, folio 44. Ver disco compacto allegado en el informe secretarial sobre el decreto y traslado probatorio. Archivo denominado “6. Estudios de confidencialidad y análisis de información financiera 2020”, pág. 2.

(104) Al respecto, el artículo 25 del Decreto 2591 de 1991 dispone lo siguiente: “INDEMNIZACIONES Y COSTAS. Cuando el afectado no disponga de otro medio judicial, y la violación del derecho sea manifiesta y consecuencia de una acción clara e indiscutiblemente arbitraria, además de lo dispuesto en los dos artículos anteriores, en el fallo que conceda la tutela el juez, de oficio, tiene la potestad de ordenar en abstracto la indemnización del daño emergente causado si ello fuere necesario para asegurar el goce efectivo del derecho así como el pago de las costas del proceso. La liquidación del mismo y de los demás perjuicios se hará ante la jurisdicción de lo contencioso administrativo o ante el juez competente, por el trámite incidental, dentro de los seis meses siguientes, para lo cual el juez que hubiere conocido de la tutela remitirá inmediatamente copia de toda la actuación. || La condena será contra la entidad de que dependa el demandado y solidariamente contra éste, si se considera que ha mediado dolo o culpa grave de su parte, todo ellos sin perjuicio de las demás responsabilidades administrativas, civiles o penales en que haya incurrido. || Si la tutela fuere rechazada o denegada por el juez, éste condenará al solicitante al pago de las costas cuando estimare fundadamente que incurrió en temeridad”. (Resalto añadido por la Sala)

(105) Al efecto, el artículo 1.2.1.1.1 del Decreto 1070 de 2015 “Por el cual se expide el Decreto Único Reglamentario del Sector Administrativo de Defensa”, dispone que a la Superintendencia de Vigilancia y Seguridad Privada le corresponde “ejercer el control, inspección y vigilancia sobre la industria y los servicios de vigilancia y seguridad privada”. De otro lado, al consultar el portal web de la compañía Cosinte  -cosinte.com-, se advierte que, mediante Resolución n.° 03667 del 30 de noviembre de 2018, dicha Superintendencia le otorgó la licencia de funcionamiento (consultado el 20 de noviembre de 2020).

(106) Conforme lo dispuesto en el Decreto Ley 356 de 1994 y el Decreto 1070 de 2015, sin perjuicio de cualquier otra normativa aplicable en la materia.

(107) “ARTÍCULO 76. SANCIONES. La Superintendencia de Vigilancia y Seguridad Privada impondrá a los vigilados que infrinjan lo dispuesto en este Decreto y en especial lo dispuesto en los títulos V y VII de este Decreto, las siguientes sanciones:

1. Amonestación y plazo perentorio para corregir las irregularidades.

2. Multas sucesivas en cuantía de 5 hasta 100 salarios mínimos legales mensuales vigentes.

3. Suspensión de la licencia de funcionamiento o credencial hasta por 6 meses.

4. Cancelación de la licencia de funcionamiento del vigilado, sus sucursales o agencias, o de las credenciales respectivas”.

04Oct/20

Decreto nº 59.767, de 15 de setembro de 2020

Decreto nº 59.767, de 15 de setembro de 2020, Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) – no âmbito da Administração Municipal direta e indireta.

BRUNO COVAS, Prefeito do Município de São Paulo, no uso das atribuições que lhe são conferidas por lei, DECRETA:

CAPÍTULO I.- DAS DISPOSIÇÕES PRELIMINARES

Artigo 1º

Este decreto regulamenta a Lei Federal nº 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais (LGPD), no âmbito do Poder Executivo Municipal, estabelecendo competências, procedimentos e providências correlatas a serem observados por seus órgãos e entidades, visando garantir a proteção de dados pessoais.

Artigo 2º

Para os fins deste decreto, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – controlador: pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa indicada pelo controlador e operador como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX – agentes de tratamento: o controlador e o operador;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – plano de adequação: conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos agentes envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, o plano de respostas a incidentes de segurança e outros aspectos relacionados ao tratamento de dados pessoais.

Artigo 3º

As atividades de tratamento de dados pessoais pelos órgãos e entidades municipais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II.- DAS RESPONSABILIDADES

SEÇÃO I.- DAS RESPONSABILIDADES NA ADMINISTRAÇÃO PÚBLICA MUNICIPAL DIRETA

Artigo 4º

O Poder Executivo Municipal, por meio de suas Secretarias e Subprefeituras, nos termos da Lei Federal nº 13.709, de 2018, deve realizar e manter continuamente atualizados:

I – o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;

II – a análise de risco;

III – o plano de adequação, observadas as exigências do Artigo 15 deste decreto;

IV – o relatório de impacto à proteção de dados pessoais, quando solicitado.

Parágrafo único. Para fins do inciso III do «caput» deste artigo, as Secretarias e Subprefeituras devem observar as diretrizes editadas pelo Controlador Geral do Município, após deliberação favorável da Comissão Municipal de Acesso à Informação (CMAI).

Artigo 5º

Fica designado o Controlador Geral do Município como o encarregado da proteção de dados pessoais, para os fins do Artigo 41 da Lei Federal nº 13.709, de 2018.

Parágrafo único. A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, no Portal da Transparência, em seção específica sobre tratamento de dados pessoais.

Artigo 6º

São atribuições do encarregado da proteção de dados pessoais:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da Administração Pública Direta a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – editar diretrizes para a elaboração dos planos de adequação, conforme Artigo 4º, inciso III deste decreto;

V – determinar a órgãos da Prefeitura a realização de estudos técnicos para elaboração das diretrizes previstas no inciso IV deste artigo;

VI – submeter à Comissão Municipal de Acesso à Informação (CMAI), sempre que julgar necessário, matérias atinentes a este decreto;

VII – decidir sobre as sugestões formuladas pela autoridade nacional a respeito da adoção de padrões e de boas práticas para o tratamento de dados pessoais, nos termos do Artigo 32 da Lei Federal nº 13.709, de 2018;

VIII – providenciar a publicação dos relatórios de impacto à proteção de dados pessoais previstos pelo Artigo 32 da Lei Federal nº 13.709, de 2018;

IX – recomendar a elaboração de planos de adequação relativos à proteção de dados pessoais ao encarregado das entidades integrantes da Administração indireta, informando eventual ausência à Secretaria responsável pelo controle da entidade, para as providências pertinentes;

X – providenciar, em caso de recebimento de informe da autoridade nacional com medidas cabíveis para fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, nos termos do Artigo 31 daquela lei, o encaminhamento ao órgão municipal responsável pelo tratamento de dados pessoais, fixando prazo para atendimento à solicitação ou apresentação das justificativas pertinentes;

XI – avaliar as justificativas apresentadas nos termos do inciso X deste artigo, para o fim de:

a) caso avalie ter havido a violação, determinar a adoção das medidas solicitadas pela autoridade nacional;

b) caso avalie não ter havido a violação, apresentar as justificativas pertinentes à autoridade nacional, segundo o procedimento cabível;

XII – requisitar das Secretarias e Subprefeituras responsáveis as informações pertinentes, para sua compilação em um único relatório, caso solicitada pela autoridade nacional a publicação de relatórios de impacto à proteção de dados pessoais, nos termos do artigo 32 da Lei Federal nº 13.709, de 2018;

XII – executar as demais atribuições estabelecidas em normas complementares.

§ 1º O Controlador Geral do Município terá os recursos operacionais e financeiros necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como acesso motivado a todas as operações de tratamento.

§ 2º Na qualidade de encarregado da proteção de dados, o Controlador Geral do Município está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal nº 13.709, de 2018, com a Lei Federal nº 12.527, de 18 de novembro de 2011, e com o Decreto nº 53.623, de 12 de dezembro de 2012.

Artigo 7º

Cabe aos Chefes de Gabinete das Secretarias e Subprefeituras:

I – dar cumprimento, no âmbito dos respectivos órgãos, às ordens e recomendações do Controlador Geral do Município na qualidade de encarregado de proteção de dados pessoais;

II – atender às solicitações encaminhadas pelo Controlador Geral do Município no sentido de fazer cessar uma afirmada violação à Lei Federal nº 13.709, de 2018, ou apresentar as justificativas pertinentes;

III – encaminhar ao encarregado, no prazo por este fixado:

a) informações sobre o tratamento de dados pessoais que venham a ser solicitadas pela autoridade nacional, nos termos do Artigo 29 da Lei Federal nº 13.709, de 2018;

b) relatórios de impacto à proteção de dados pessoais, ou informações necessárias à elaboração de tais relatórios, nos termos do Artigo 32 da Lei Federal nº 13.709, de 2018.

IV – assegurar que o Controlador Geral do Município seja informado, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais no âmbito do Poder Executivo municipal.

Artigo 8º

Cabe à Secretaria Municipal de Inovação e Tecnologia (SMIT):

I – oferecer os subsídios técnicos necessários à edição das diretrizes pelo Controlador Geral do Município para a elaboração dos planos de adequação;

II – orientar, sob o ponto de vista tecnológico, as Secretarias e as Subprefeituras na implantação dos respectivos planos de adequação.

Artigo 9º

Cabe à Comissão Municipal de Acesso à Informação (CMAI), por solicitação do Controlador Geral do Município:

I – deliberar sobre proposta de diretrizes para elaboração dos planos de adequação, nos termos do Artigo 4º, parágrafo único deste decreto;

II – deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 2018, e do presente decreto pelos órgãos do Poder Executivo.

SEÇÃO II.- DAS RESPONSABILIDADES NA ADMINISTRAÇÃO PÚBLICA MUNICIPAL INDIRETA

Artigo 10.

Cabe às entidades da Administração indireta observar, no âmbito da sua respectiva autonomia, as exigências da Lei Federal nº 13.709, de 2018, observada, no mínimo:

I – a designação de um encarregado de proteção de dados pessoais, nos termos do Artigo 41 da Lei Federal nº 13.709, de 2018, cuja identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva;

II – a elaboração e manutenção de um plano de adequação, nos termos do Artigo 4º, inc. III, e parágrafo único deste decreto.

CAPÍTULO III.- DO TRATAMENTO DE DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA MUNICIPAL

Artigo 11.

O tratamento de dados pessoais pelos órgãos e entidades da Administração Pública Municipal deve:

I – objetivar o exercício de suas competências legais ou o cumprimento das atribuições legais do serviço público, para o atendimento de sua finalidade pública e a persecução do interesse público;

II – observar o dever de conferir publicidade às hipóteses de sua realização, com o fornecimento de informações claras e atualizadas sobre a previsão legal, finalidade, os procedimentos e as práticas utilizadas para a sua execução.

Artigo 12.

Os órgãos e as entidades da Administração Pública Municipal podem efetuar o uso compartilhado de dados pessoais com outros órgãos e entidades públicas para atender a finalidades específicas de execução de políticas públicas, no âmbito de suas atribuições legais, respeitados os princípios de proteção de dados pessoais elencados no Artigo 6º da Lei Federal nº 13.709, de 2018.

Artigo 13.

É vedado aos órgãos e entidades da Administração Pública Municipal transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei Federal nº 12.527, de 2011;

II – nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei Federal nº 13.709, de 2018;

III – quando houver previsão legal ou a transferência for respaldada, por meio de cláusula específica, em contratos, convênios ou instrumentos congêneres, cuja celebração deverá ser informada pelo responsável ao Controlador Geral do Município para comunicação à autoridade nacional de proteção de dados;

IV – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Parágrafo único. Em quaisquer das hipóteses previstas neste artigo:

I – a transferência de dados dependerá de autorização específica conferida pelo órgão municipal à entidade privada;

II – as entidades privadas deverão assegurar que não haverá comprometimento do nível de proteção dos dados garantido pelo órgão ou entidade municipal.

Artigo 14.

Os órgãos e entidades da Administração Pública Municipal podem efetuar a comunicação ou o uso compartilhado de dados pessoais a pessoa de direito privado, desde que:

I – o Controlador Geral do Município informe a Autoridade Nacional de Proteção de Dados, na forma do regulamento federal correspondente;

II – seja obtido o consentimento do titular, salvo:

a) nas hipóteses de dispensa de consentimento previstas na Lei Federal nº 13.709, de 2018;

b) nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do Artigo 11, inciso II deste decreto;

c) nas hipóteses do Artigo 13 deste decreto.

Parágrafo único. Sempre que necessário o consentimento, a comunicação dos dados pessoais a entidades privadas e o uso compartilhado entre estas e o órgãos e entidades municipais poderão ocorrer somente nos termos e para as finalidades indicadas no ato do consentimento.

Artigo 15.

Os planos de adequação devem observar, no mínimo, o seguinte:

I – publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência, em seção específica a que se refere o parágrafo único do Artigo 5º deste decreto;

II – atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do Artigo 23, § 1º, e do Artigo 27, parágrafo único da Lei Federal nº 13.709, de 2018;

III – manutenção de dados em formato interoperável e estruturado para o uso compartilhado de dados com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Artigo 16.

As entidades integrantes da Administração Municipal indireta que atuarem em regime de concorrência, sujeitas ao disposto no Artigo 173 da Constituição Federal, deverão observar o regime relativo às pessoas jurídicas de direito privado particulares, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, nos termos do Artigo 24 da Lei nº 13.709, de 2018.

CAPÍTULO.- DAS DISPOSIÇÕES FINAIS

Artigo 17.

As Secretarias e Subprefeituras deverão comprovar ao Controlador Geral do Município estar em conformidade com o disposto no Artigo 4º deste decreto no prazo de 180 (cento e oitenta dias) dias a contar da sua publicação.

Artigo 18.

As entidades da Administração indireta deverão apresentar ao Controlador Geral do Município, no prazo de 90 (noventa) dias, o respectivo plano de adequação às exigências da Lei Federal nº 13.709, de 2018.

Artigo 19.

O artigo 53 do Decreto Municipal nº 53.623, de 2012, passa a vigorar com a seguinte alteração:

«Artigo 53. …

VII – deliberar sobre qualquer assunto relacionado à aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, e do presente decreto pelos órgãos do Poder Executivo.

§ 3º As questões referentes ao inciso VII do «caput» deste artigo entrarão em pauta a partir de solicitação do Controlador Geral do Município, que poderá convocar sessão extraordinária para a referida deliberação.»

Artigo 20.

Este decreto entrará em vigor na data de sua publicação.

PREFEITURA DO MUNICÍPIO DE SÃO PAULO/SP, aos 15 de setembro de 2020, 467º da fundação de São Paulo.

BRUNO COVAS, PREFEITO

JUAN MANUEL QUIRÓS SADIR, Secretário Municipal de Inovação e Tecnologia

JOÃO MANOEL SCUDELER DE BARROS, Controlador Geral Do Município

ORLANDO LINDÓRIO DE FARIA, Secretário Municipal da Casa Civil

MARINA MAGRO BERINGHS MARTINEZ, Respondendo pelo cargo de Secretária Municipal de Justiça

RUBENS NAMAN RIZEK JUNIOR, Secretário de Governo Municipal

Publicado na Casa Civil, em 15 de setembro de 2020.

20Jun/20

The Personal Data Protection Bill nº 373 of December 2019

THE PERSONAL DATA PROTECTION BILL, 2019

AND WHEREAS it is necessary to create a collective culture that fosters a free and fair digital economy, respecting the informational privacy of individuals, and ensuring empowerment, progress and innovation through digital governance and inclusion and for matters connected therewith or incidental thereto.

BE it enacted by Parliament in the Seventieth Year of the Republic of India as follows:

CHAPTER I.- PRELIMINARY

1.

(1) This Act may be called the Personal Data Protection Act, 2019.

(2) It shall come into force on such date as the Central Government may, by notification in the Official Gazette, appoint; and different dates may be appointed for different provisions of this Act and any reference in any such provision to the commencement of this Act shall be construed as a reference to the coming into force of that provision.

2. The provisions of this Act,:

(A) shall apply to:

(a) the processing of personal data where such data has been collected, disclosed, shared or otherwise processed within the territory of India;

(b) the processing of personal data by the State, any Indian company, any citizen of India or any person or body of persons incorporated or created under Indian law;

(c) the processing of personal data by data fiduciaries or data processors not present within the territory of India, if such processing is:

(i) in connection with any business carried on in India, or any systematic activity of offering goods or services to data principals within the territory of India; or

(ii) in connection with any activity which involves profiling of data principals within the territory of India.

(B) shall not apply to the processing of anonymised data, other than the anonymised data referred to in section 91.

3. In this Act, unless the context otherwise requires,:

(1) «Adjudicating Officer» means the Adjudicating Officer appointed as such under sub-section (1) of section 62;

(2) «anonymisation» in relation to personal data, means such irreversible process of transforming or converting personal data to a form in which a data principal cannot be identified, which meets the standards of irreversibility specified by the Authority;

(3) «anonymised data» means data which has undergone the process of anonymisation;

(4) «Appellate Tribunal» means the Tribunal established under sub-section (1) or notified under sub-section (4) of section 67;

(5) «Authority» means the Data Protection Authority of India established under sub-section (1) of section 41;

(6) «automated means» means any equipment capable of operating automatically in response to instructions given for the purpose of processing data;

(7) «biometric data» means facial images, fingerprints, iris scans, or any other similar personal data resulting from measurements or technical processing operations carried out on physical, physiological, or behavioural characteristics of a data principal, which allow or confirm the unique identification of that natural person;

(8) «child» means a person who has not completed eighteen years of age;

(9) «code of practice» means a code of practice issued by the Authority under section 50;

(10) «consent» means the consent referred to in section 11;

(11) «data» includes a representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by humans or by automated means;

(12) «data auditor» means an independent data auditor referred to in section 29;

(13) «data fiduciary» means any person, including the State, a company, any juristic entity or any individual who alone or in conjunction with others determines the purpose and means of processing of personal data;

(14) «data principal» means the natural person to whom the personal data relates;

(15) «data processor» means any person, including the State, a company, any juristic entity or any individual, who processes personal data on behalf of a data fiduciary;

(16) «de-identification» means the process by which a data fiduciary or data processor may remove, or mask identifiers from personal data, or replace them with such other fictitious name or code that is unique to an individual but does not, on its own, directly identify the data principal;

(17) «disaster» shall have the same meaning as assigned to it in clause (d) of section 2 of the Disaster Management Act, 2005;

(18) «financial data» means any number or other personal data used to identify an account opened by, or card or payment instrument issued by a financial institution to a data principal or any personal data regarding the relationship between a financial institution and a data principal including financial status and credit history;

(19) «genetic data» means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the behavioural characteristics, physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

(20) «harm» includes:

(i) bodily or mental injury;

(ii) loss, distortion or theft of identity;

(iii) financial loss or loss of property;

(iv) loss of reputation or humiliation;

(v) loss of employment;

(vi) any discriminatory treatment;

(vii) any subjection to blackmail or extortion;

(viii) any denial or withdrawal of a service, benefit or good resulting from an evaluative decision about the data principal;

(ix) any restriction placed or suffered directly or indirectly on speech, movement or any other action arising out of a fear of being observed or surveilled; or

(x) any observation or surveillance that is not reasonably expected by the data principal;

(21) «health data» means the data related to the state of physical or mental health of the data principal and includes records regarding the past, present or future state of the health of such data principal, data collected in the course of registration for, or provision of health services, data associating the data principal to the provision of specific health services;

(22) «intra-group schemes» means the schemes approved by the Authority under clause (a) of sub-section (1) of section 34;

(23) «in writing» includes any communication in electronic format as defined in clause (r) of sub-section (1) of section 2 of the Information Technology Act, 2000;

(24) «journalistic purpose» means any activity intended towards the dissemination through print, electronic or any other media of factual reports, analysis, opinions, views or documentaries regarding:

(i) news, recent or current events; or

(ii) any other information which the data fiduciary believes the public, or any significantly discernible class of the public, to have an interest in;

(25) «notification» means a notification published in the Official Gazette and the expression «notify» shall be construed accordingly;

(26) «official identifier» means any number, code, or other identifier, assigned to a data principal under a law made by Parliament or any State Legislature which may be used for the purpose of verifying the identity of a data principal;

(27) «person» includes:

(i) an individual,

(ii) a Hindu undivided family,

(iii) a company,

(iv) a firm,

(v) an association of persons or a body of individuals, whether incorporated or not,

(vi) the State, and

(vii) every artificial juridical person, not falling within any of the preceding sub-clauses;

(28) «personal data» means data about or relating to a natural person who is directly or indirectly identifiable, having regard to any characteristic, trait, attribute or any other feature of the identity of such natural person, whether online or offline, or any combination of such features with any other information, and shall include any inference drawn from such data for the purpose of profiling;

(29) «personal data breach» means any unauthorised or accidental disclosure, acquisition, sharing, use, alteration, destruction of or loss of access to, personal data that compromises the confidentiality, integrity or availability of personal data to a data principal;

(30) «prescribed» means prescribed by rules made under this Act;

(31) «processing» in relation to personal data, means an operation or set of operations performed on personal data, and may include operations such as collection, recording, organisation, structuring, storage, adaptation, alteration, retrieval, use, alignment or combination, indexing, disclosure by transmission, dissemination or otherwise making available, restriction, erasure or destruction;

(32) «profiling» means any form of processing of personal data that analyses or predicts aspects concerning the behaviour, attributes or interests of a data principal;

(33) «regulations» means the regulations made by the Authority under this Act;

(34) «re-identification» means the process by which a data fiduciary or data processor may reverse a process of de-identification;

(35) «Schedule» means the Schedule appended to this Act;

(36) «sensitive personal data» means such personal data, which may, reveal, be related to, or constitute:

(i) financial data;

(ii) health data;

(iii) official identifier;

(iv) sex life;

(v) sexual orientation;

(vi) biometric data;

(vii) genetic data;

(viii) transgender status;

(ix) intersex status;

(x) caste or tribe;

(xi) religious or political belief or affiliation; or

(xii) any other data categorised as sensitive personal data under section 15.

Explanation.- For the purposes of this clause, the expressions,:

(a) «intersex status» means the condition of a data principal who is:

(i) a combination of female or male;

(ii) neither wholly female nor wholly male; or

(iii) neither female nor male;

(b) «transgender status» means the condition of a data principal whose sense of gender does not match with the gender assigned to that data principal at birth, whether or not they have undergone sex reassignment surgery, hormone therapy, laser therapy, or any other similar medical procedure;

(37) «significant data fiduciary» means a data fiduciary classified as such under sub-section (1) of section 26;

(38) «significant harm» means harm that has an aggravated effect having regard to the nature of the personal data being processed, the impact, continuity, persistence or irreversibility of the harm;

(39) «State» means the State as defined under article 12 of the Constitution;

(40) «systematic activity» means any structured or organised activity that involves an element of planning, method, continuity or persistence.

CHAPTER II.- OBLIGATIONS OF DATA FIDUCIARY

4. No personal data shall be processed by any person, except for any specific, clear and lawful purpose.

5. Every person processing personal data of a data principal shall process such personal data:

(a) in a fair and reasonable manner and ensure the privacy of the data principal; and

(b) for the purpose consented to by the data principal or which is incidental to or connected with such purpose, and which the data principal would reasonably expect that such personal data shall be used for, having regard to the purpose, and in the context and circumstances in which the personal data was collected.

6. The personal data shall be collected only to the extent that is necessary for the purposes of processing of such personal data.

7.

(1) Every data fiduciary shall give to the data principal a notice, at the time of collection of the personal data, or if the data is not collected from the data principal, as son as reasonably practicable, containing the following information, namely:

(a) the purposes for which the personal data is to be processed;

(b) the nature and categories of personal data being collected;

(c) the identity and contact details of the data fiduciary and the contact details of the data protection officer, if applicable;

(d) the right of the data principal to withdraw his consent, and the procedure for such withdrawal, if the personal data is intended to be processed on the basis of consent;

(e) the basis for such processing, and the consequences of the failure to provide such personal data, if the processing of the personal data is based on the grounds specified in sections 12 to 14;

( f ) the source of such collection, if the personal data is not collected from the data principal;

(g) the individuals or entities including other data fiduciaries or data processors, with whom such personal data may be shared, if applicable;

(h) information regarding any cross-border transfer of the personal data that the data fiduciary intends to carry out, if applicable;

(i) the period for which the personal data shall be retained in terms of section 9 or where such period is not known, the criteria for determining such period;

( j) the existence of and procedure for the exercise of rights mentioned in Chapter V and any related contact details for the same;

(k) the procedure for grievance redressal under section 32;

(l) the existence of a right to file complaints to the Authority;

(m) where applicable, any rating in the form of a data trust score that may be assigned to the data fiduciary under sub-section (5) of section 29; and

(n) any other information as may be specified by the regulations.

(2) The notice referred to in sub-section (1) shall be clear, concise and easily comprehensible to a reasonable person and in multiple languages where necessary and practicable.

(3) The provisions of sub-section (1) shall not apply where such notice substantially prejudices the purpose of processing of personal data under section 12.

8.

(1) The data fiduciary shall take necessary steps to ensure that the personal data processed is complete, accurate, not misleading and updated, having regard to the purpose for which it is processed.

(2) While taking any steps under sub-section (1), the data fiduciary shall have regard to whether the personal data:

(a) is likely to be used to make a decision about the data principal;

(b) is likely to be disclosed to other individuals or entities including other data fiduciaries or processors; or

(c) is kept in a form that distinguishes personal data based on facts from personal data based on opinions or personal assessments.

(3) Where personal data is disclosed to any other individual or entity, including other data fiduciary or processor, and the data fiduciary finds that such data does not comply with the requirement of sub-section (1), the data fiduciary shall take reasonable steps to notify such individual or entity of this fact.

9.

(1) The data fiduciary shall not retain any personal data beyond the period necessary to satisfy the purpose for which it is processed and shall delete the personal data at the end of the processing.

(2) Notwithstanding anything contained in sub-section (1), the personal data may be retained for a longer period if explicitly consented to by the data principal, or necessary to comply with any obligation under any law for the time being in force.

(3) The data fiduciary shall undertake periodic review to determine whether it is necessary to retain the personal data in its possession.

(4) Where it is not necessary for personal data to be retained by the data fiduciary under sub-section (1) or sub-section (2), then, such personal data shall be deleted in such manner as may be specified by regulations.

10. The data fiduciary shall be responsible for complying with the provisions of this Act in respect of any processing undertaken by it or on its behalf.

11.

(1) The personal data shall not be processed, except on the consent given by the data principal at the commencement of its processing.

(2) The consent of the data principal shall not be valid, unless such consent is:

(a) free, having regard to whether it complies with the standard specified under section 14 of the Indian Contract Act, 1872;

(b) informed, having regard to whether the data principal has been provided with the information required under section 7;

(c) specific, having regard to whether the data principal can determine the scope of consent in respect of the purpose of processing;

(d) clear, having regard to whether it is indicated through an affirmative action that is meaningful in a given context; and

(e) capable of being withdrawn, having regard to whether the ease of such withdrawal is comparable to the ease with which consent may be given.

(3) In addition to the provisions contained in sub-section (2), the consent of the data principal in respect of processing of any sensitive personal data shall be explicitly obtained:

(a) after informing him the purpose of, or operation in, processing which is likely to cause significant harm to the data principal;

(b) in clear terms without recourse to inference from conduct in a context; and

(c) after giving him the choice of separately consenting to the purposes of, operations in, the use of different categories of, sensitive personal data relevant to processing.

(4) The provision of any goods or services or the quality thereof, or the performance of any contract, or the enjoyment of any legal right or claim, shall not be made conditional on the consent to the processing of any personal data not necessary for that purpose.

(5) The burden of proof that the consent has been given by the data principal for processing of the personal data under this section shall be on the data fiduciary.

(6) Where the data principal withdraws his consent from the processing of any personal data without any valid reason, all legal consequences for the effects of such withdrawal shall be borne by such data principal.

CHAPTER III.- GROUNDS FOR PROCESSING OF PERSONAL DATA WITHOUT CONSENT

12. Notwithstanding anything contained in section 11, the personal data may be processed if such processing is necessary,:

(a) for the performance of any function of the State authorised by law for:

(i) the provision of any service or benefit to the data principal from the State; or

(ii) the issuance of any certification, licence or permit for any action or activity of the data principal by the State;

(b) under any law for the time being in force made by the Parliament or any State Legislature; or

(c) for compliance with any order or judgment of any Court or Tribunal in India;

(d) to respond to any medical emergency involving a threat to the life or a severe threat to the health of the data principal or any other individual;

(e) to undertake any measure to provide medical treatment or health services to any individual during an epidemic, outbreak of disease or any other threat to public health; or

(f) to undertake any measure to ensure safety of, or provide assistance or services to, any individual during any disaster or any breakdown of public order.

13.

(1) Notwithstanding anything contained in section 11 and subject to sub-section (2), any personal data, not being any sensitive personal data, may be processed, if such processing is necessary for:

(a) recruitment or termination of employment of a data principal by the data fiduciary;

(b) provision of any service to, or benefit sought by, the data principal who is an employee of the data fiduciary;

(c) verifying the attendance of the data principal who is an employee of the data fiduciary; or

(d) any other activity relating to the assessment of the performance of the data principal who is an employee of the data fiduciary.

(2) Any personal data, not being sensitive personal data, may be processed under sub-section (1), where the consent of the data principal is not appropriate having regard to the employment relationship between the data fiduciary and the data principal, or would involve a disproportionate effort on the part of the data fiduciary due to the nature of the processing under the said sub-section.

14.

(1) In addition to the grounds referred to under sections 12 and 13, the personal data may be processed without obtaining consent under section 11, if such processing is necessary for such reasonable purposes as may be specified by regulations, after taking into consideration:

(a) the interest of the data fiduciary in processing for that purpose;

(b) whether the data fiduciary can reasonably be expected to obtain the consent of the data principal;

(c) any public interest in processing for that purpose;

(d) the effect of the processing activity on the rights of the data principal; and

(e) the reasonable expectations of the data principal having regard to the context of the processing.

(2) For the purpose of sub-section (1), the expression «reasonable purposes» may include:

(a) prevention and detection of any unlawful activity including fraud;

(b) whistle blowing;

(c) mergers and acquisitions;

(d) network and information security;

(e) credit scoring;

(f) recovery of debt;

(g) processing of publicly available personal data; and

(h) the operation of search engines.

(3) Where the Authority specifies a reasonable purpose under sub-section (1), it shall:

(a) lay down, by regulations, such safeguards as may be appropriate to ensure the protection of the rights of data principals; and

(b) determine where the provision of notice under section 7 shall apply or not apply having regard to the fact whether such provision shall substantially prejudice the relevant reasonable purpose.

15.

(1) The Central Government shall, in consultation with the Authority and the sectoral regulator concerned, notify such categories of personal data as «sensitive personal data», having regard to:

(a) the risk of significant harm that may be caused to the data principal by the processing of such category of personal data;

(b) the expectation of confidentiality attached to such category of personal data;

(c) whether a significantly discernible class of data principals may suffer significant harm from the processing of such category of personal data; and

(d) the adequacy of protection afforded by ordinary provisions applicable to personal data.

(2) The Authority may specify, by regulations, the additional safeguards or restrictions for the purposes of repeated, continuous or systematic collection of sensitive personal data for profiling of such personal data.

CHAPTER IV.- PERSONAL DATA AND SENSITIVE PERSONAL DATA OF CHILDREN

16.

(1) Every data fiduciary shall process personal data of a child in such manner that protects the rights of, and is in the best interests of, the child.

(2) The data fiduciary shall, before processing of any personal data of a child, verify his age and obtain the consent of his parent or guardian, in such manner as may be specified by regulations.

(3) The manner for verification of the age of child under sub-section (2) shall be specified by regulations, taking into consideration:

(a) the volume of personal data processed;

(b) the proportion of such personal data likely to be that of child;

(c) possibility of harm to child arising out of processing of personal data; and

(d) such other factors as may be prescribed.

(4) The Authority shall, by regulations, classify any data fiduciary, as guardian data fiduciary, who:

(a) operate commercial websites or online services directed at children; or

(b) process large volumes of personal data of children.

(5) The guardian data fiduciary shall be barred from profiling, tracking or behaviouraly monitoring of, or targeted advertising directed at, children and undertaking any other processing of personal data that can cause significant harm to the child.

(6) The provisions of sub-section (5) shall apply in such modified form to the data fiduciary offering counselling or child protection services to a child, as the Authority may by regulations specify.

(7) A guardian data fiduciary providing exclusive counselling or child protection services to a child shall not require to obtain the consent of parent or guardian of the child under sub-section (2).

Explanation.- For the purposes of this section, the expression «guardian data fiduciary» means any data fiduciary classified as a guardian data fiduciary under sub-section (4).

CHAPTER V.- RIGHTS OF DATA PRINCIPAL

17.

(1) The data principal shall have the right to obtain from the data fiduciary:

(a) confirmation whether the data fiduciary is processing or has processed personal data of the data principal;

(b) the personal data of the data principal being processed or that has been processed by the data fiduciary, or any summary thereof;

(c) a brief summary of processing activities undertaken by the data fiduciary with respect to the personal data of the data principal, including any information provided in the notice under section 7in relation to such processing.

(2) The data fiduciary shall provide the information under sub-section (1) to the data principal in a clear and concise manner that is easily comprehensible to a reasonable person.

(3) The data principal shall have the right to access in one place the identities of the data fiduciaries with whom his personal data has been shared by any data fiduciary together with the categories of personal data shared with them, in such manner as may be specified by regulations.

18.

(1) The data principal shall where necessary, having regard to the purposes for which personal data is being processed, subject to such conditions and in such manner as may be specified by regulations, have the right to:

(a) the correction of inaccurate or misleading personal data;

(b) the completion of incomplete personal data;

(c) the updating of personal data that is out-of-date; and

(d) the erasure of personal data which is no longer necessary for the purpose for which it was processed.

(2) Where the data fiduciary receives a request under sub-section (1), and the data fiduciary does not agree with such correction, completion, updation or erasure having regard to the purposes of processing, such data fiduciary shall provide the data principal with adequate justification in writing for rejecting the application.

(3) Where the data principal is not satisfied with the justification provided by the data fiduciary under sub-section (2), the data principal may require that the data fiduciary take reasonable steps to indicate, alongside the relevant personal data, that the same is disputed by the data principal.

(4) Where the data fiduciary corrects, completes, updates or erases any personal data in accordance with sub-section (1), such data fiduciary shall also take necessary steps to notify all relevant entities or individuals to whom such personal data may have been disclosed regarding the relevant correction, completion, updation or erasure, particularly where such action may have an impact on the rights and interests of the data principal or on decisions made regarding them.

19.

(1) Where the processing has been carried out through automated means, the data principal shall have the right to:

(a) receive the following personal data in a structured, commonly used and machine-readable format:

(i) the personal data provided to the data fiduciary;

(ii) the data which has been generated in the course of provision of services or use of goods by the data fiduciary; or

(iii) the data which forms part of any profile on the data principal, or which the data fiduciary has otherwise obtained; and

(b) have the personal data referred to in clause (a) transferred to any other data fiduciary in the format referred to in that clause.

(2) The provisions of sub-section (1) shall not apply where:

(a) processing is necessary for functions of the State or in compliance of law or order of a court under section 12;

(b) compliance with the request in sub-section (1) would reveal a trade secret of any data fiduciary or would not be technically feasible.

20.

(1) The data principal shall have the right to restrict or prevent the continuing disclosure of his personal data by a data fiduciary where such disclosure:

(a) has served the purpose for which it was collected or is no longer necessary for the purpose;

(b) was made with the consent of the data principal under section 11 and such consent has since been withdrawn; or

(c) was made contrary to the provisions of this Act or any other law for the time being in force.

(2) The rights under sub-section (1) may be enforced only on an order of the Adjudicating Officer made on an application filed by the data principal, in such form and manner as may be prescribed, on any of the grounds specified under clauses (a), (b) or clause (c) of that sub-section:

Provided that no order shall be made under this sub-section unless it is shown by the data principal that his right or interest in preventing or restricting the continued disclosure of his personal data overrides the right to freedom of speech and expression and the right to information of any other citizen.

(3) The Adjudicating Officer shall, while making an order under sub-section (2), having regard to:

(a) the sensitivity of the personal data;

(b) the scale of disclosure and the degree of accessibility sought to be restricted or prevented;

(c) the role of the data principal in public life;

(d) the relevance of the personal data to the public; and

(e) the nature of the disclosure and of the activities of the data fiduciary, particularly whether the data fiduciary systematically facilitates access to personal data and whether the activities shall be significantly impeded if disclosures of the relevant nature were to be restricted or prevented.

(4) Where any person finds that personal data, the disclosure of which has been restricted or prevented by an order of the Adjudicating Officer under sub-section (2), does not satisfy the conditions referred to in that sub-section, he may apply for the review of that order to the Adjudicating Officer in such manner as may be prescribed, and the Adjudicating Officer shall review his order.

(5) Any person aggrieved by an order made under this section by the Adjudicating Officer may prefer an appeal to the Appellate Tribunal.

21.

(1) The data principal, for exercising any right under this Chapter, except the right under section 20, shall make a request in writing to the data fiduciary either directly or through a consent manager with the necessary information as regard to his identity, and the data fiduciary shall acknowledge the receipt of such request within such period as may be specified by regulations.

(2) For complying with the request made under sub-section (1), the data fiduciary may charge such fee as may be specified by regulations:

Provided that no fee shall be required for any request in respect of rights referred to in clause (a) or (b) of sub-section (1) of section 17 or section 18.

(3) The data fiduciary shall comply with the request under this Chapter and communicate the same to the data principal, within such period as may be specified by regulations.

(4) Where any request made under this Chapter is refused by the data fiduciary, it shall provide the data principal the reasons in writing for such refusal and shall inform the data principal regarding the right to file a complaint with the Authority against the refusal, within such period and in such manner as may be specified by regulations.

(5) The data fiduciary is not obliged to comply with any request under this Chapter where such compliance shall harm the rights of any other data principal under this Act.

CHAPTER VI.- TRANSPARENCY AND ACCOUNTABILITY MEASURES

22.

(1) Every data fiduciary shall prepare a privacy by design policy, containing:

(a) the managerial, organisational, business practices and technical systems designed to anticipate, identify and avoid harm to the data principal;

(b) the obligations of data fiduciaries;

(c) the technology used in the processing of personal data is in accordance with commercially accepted or certified standards;

(d) the legitimate interests of businesses including any innovation is achieved without compromising privacy interests;

(e) the protection of privacy throughout processing from the point of collection to deletion of personal data;

(f) the processing of personal data in a transparent manner; and

(g) the interest of the data principal is accounted for at every stage of processing of personal data.

(2) Subject to the regulations made by the Authority, the data fiduciary may submit its privacy by design policy prepared under sub-section (1) to the Authority for certification within such period and in such manner as may be specified by regulations.

(3) The Authority, or an officer authorised by it, shall certify the privacy by design policy on being satisfied that it complies with the requirements of sub-section (1).

(4) The privacy by design policy certified under sub-section (3) shall be published on the website of the data fiduciary and the Authority.

23.

(1) Every data fiduciary shall take necessary steps to maintain transparency in processing personal data and shall make the following information available in such form and manner as may be specified by regulations:

(a) the categories of personal data generally collected and the manner of such collection;

(b) the purposes for which personal data is generally processed;

(c) any categories of personal data processed in exceptional situations or any exceptional purposes of processing that create a risk of significant harm;

(d) the existence of and the procedure for exercise of rights of data principal under Chapter V and any related contact details for the same;

(e) the right of data principal to file complaint against the data fiduciary to the Authority;

(f) where applicable, any rating in the form of a data trust score that may be accorded to the data fiduciary under sub-section (5) of section 29;

(g) where applicable, information regarding cross-border transfers of personal data that the data fiduciary generally carries out; and

(h) any other information as may be specified by regulations.

(2) The data fiduciary shall notify, from time to time, the important operations in the processing of personal data related to the data principal in such manner as may be specified by regulations.

(3) The data principal may give or withdraw his consent to the data fiduciary through a consent manager.

(4) Where the data principal gives or withdraws consent to the data fiduciary through a consent manager, such consent or its withdrawal shall be deemed to have been communicated directly by the data principal.

(5) The consent manager under sub-section (3), shall be registered with the Authority in such manner and subject to such technical, operational, financial and other conditions as may be specified by regulations.

Explanation.- For the purposes of this section, a «consent manager» is a data fiduciary which enables a data principal to gain, withdraw, review and manage his consent through an accessible, transparent and interoperable platform.

24.

(1) Every data fiduciary and the data processor shall, having regard to the nature, scope and purpose of processing personal data, the risks associated with such processing, and the likelihood and severity of the harm that may result from such processing, implement necessary security safeguards, including_

(a) use of methods such as de-identification and encryption;

(b) steps necessary to protect the integrity of personal data; and

(c) steps necessary to prevent misuse, unauthorised access to, modification, disclosure or destruction of personal data.

(2) Every data fiduciary and data processor shall undertake a review of its security safeguards periodically in such manner as may be specified by regulations and take appropriate measures accordingly.

25.

(1) Every data fiduciary shall by notice inform the Authority about the breach of any personal data processed by the data fiduciary where such breach is likely to cause harm to any data principal.

(2) The notice referred to in sub-section (1) shall include the following particulars, namely:

(a) nature of personal data which is the subject-matter of the breach;

(b) number of data principals affected by the breach;

(c) possible consequences of the breach; and

(d) action being taken by the data fiduciary to remedy the breach.

(3) The notice referred to in sub-section (1) shall be made by the data fiduciary to the Authority as soon as possible and within such period as may be specified by regulations, following the breach after accounting for any period that may be required to adopt any urgent measures to remedy the breach or mitigate any immediate harm.

(4) Where it is not possible to provide all the information specified in sub-section (2) at the same time, the data fiduciary shall provide such information to the Authority in phases without undue delay.

(5) Upon receipt of a notice, the Authority shall determine whether such breach should be reported by the data fiduciary to the data principal, taking into account the severity of the harm that may be caused to such data principal or whether some action is required on the part of the data principal to mitigate such harm.

(6) The Authority may, in addition to requiring the data fiduciary to report the personal data breach to the data principal under sub-section (5), direct the data fiduciary to take appropriate remedial action as soon as possible and to conspicuously post the details of the personal data breach on its website.

(7) The Authority may, in addition, also post the details of the personal data breach on its website.

26.

(1) The Authority shall, having regard to the following factors, notify any data fiduciary or class of data fiduciary as significant data fiduciary, namely:

(a) volume of personal data processed;

(b) sensitivity of personal data processed;

(c) turnover of the data fiduciary;

(d) risk of harm by processing by the data fiduciary;

(e) use of new technologies for processing; and

(f) any other factor causing harm from such processing.

(2) The data fiduciary or class of data fiduciary referred to in sub-section (1) shall register itself with the Authority in such manner as may be specified by regulations.

(3) Notwithstanding anything in this Act, if the Authority is of the opinion that any processing by any data fiduciary or class of data fiduciary carries a risk of significant harm to any data principal, it may, by notification, apply all or any of the obligations specified in sections 27 to 30 to such data fiduciary or class of data fiduciary as if it is a significant data fiduciary.

(4) Notwithstanding anything contained in this section, any social media intermediary,:

(i) with users above such threshold as may be notified by the Central Government, in consultation with the Authority; and

(ii) whose actions have, or are likely to have a significant impact on electoral democracy, security of the State, public order or the sovereignty and integrity of India, shall be notified by the Central Government, in consultation with the Authority, as a significant data fiduciary:

Provided that different thresholds may be notified for different classes of social media intermediaries.

Explanation.- For the purposes of this sub-section, a «social media intermediary» is an intermediary who primarily or solely enables online interaction between two or more users and allows them to create, upload, share, disseminate, modify or access information using its services, but shall not include intermediaries which primarily,:

(a) enable commercial or business oriented transactions;

(b) provide access to the Internet;

(c) in the nature of search-engines, on-line encyclopedias, e-mail services or online storage services.

27.

(1) Where the significant data fiduciary intends to undertake any processing involving new technologies or large scale profiling or use of sensitive personal data such as genetic data or biometric data, or any other processing which carries a risk of significant harm to data principals, such processing shall not be commenced unless the data fiduciary has undertaken a data protection impact assessment in accordance with the provisions of this section.

(2) The Authority may, by regulations specify, such circumstances, or class of data fiduciary, or processing operation where such data protection impact assessment shall be mandatory, and also specify the instances where a data auditor under this Act shall be engaged by the data fiduciary to undertake a data protection impact assessment.

(3) A data protection impact assessment shall, inter alia, contain:

(a) detailed description of the proposed processing operation, the purpose of processing and the nature of personal data being processed;

(b) assessment of the potential harm that may be caused to the data principals whose personal data is proposed to be processed; and

(c) measures for managing, minimising, mitigating or removing such risk of harm.

(4) Upon completion of the data protection impact assessment, the data protection officer appointed under sub-section (1) of section 30, shall review the assessment and submit the assessment with his finding to the Authority in such manner as may be specified by regulations.

(5) On receipt of the assessment and its review, if the Authority has reason to believe that the processing is likely to cause harm to the data principals, the Authority may direct the data fiduciary to cease such processing or direct that such processing shall be subject to such conditions as the Authority may deem fit.

28.

(1) The significant data fiduciary shall maintain accurate and up-to-date records of the following, in such form and manner as may be specified by regulations, namely:

(a) important operations in the data life-cycle including collection, transfers, and erasure of personal data to demonstrate compliance as required under section 10;

(b) periodic review of security safeguards under section 24;

(c) data protection impact assessments under section 27; and

(d) any other aspect of processing as may be specified by regulations.

(2) Notwithstanding anything contained in this Act, this section shall also apply to the State.

(3) Every social media intermediary which is notified as a significant data fiduciary under sub-section (4) of section 26 shall enable the users who register their service from India, or use their services in India, to voluntarily verify their accounts in such manner as may be prescribed.

(4) Any user who voluntarily verifies his account shall be provided with such demonstrable and visible mark of verification, which shall be visible to all users of the service, in such manner as may be prescribed.

29.

(1) The significant data fiduciary shall have its policies and the conduct of its processing of personal data audited annually by an independent data auditor under this Act.

(2) The data auditor shall evaluate the compliance of the data fiduciary with the provisions of this Act, including:

(a) clarity and effectiveness of notices under section 7;

(b) effectiveness of measures adopted under section 22;

(c) transparency in relation to processing activities under section 23;

(d) security safeguards adopted pursuant to section 24;

(e) instances of personal data breach and response of the data fiduciary, including the promptness of notice to the Authority under section 25;

(f) timely implementation of processes and effective adherence to obligations under sub-section (3) of section 28; and

(g) any other matter as may be specified by regulations.

(3) The Authority shall specify, by regulations, the form and procedure for conducting audits under this section.

(4) The Authority shall register in such manner, the persons with expertise in the área of information technology, computer systems, data science, data protection or privacy, possessing such qualifications, experience and eligibility having regard to factors such as independence, integrity and ability, as it may be specified by regulations, as data auditors under this Act.

(5) A data auditor may assign a rating in the form of a data trust score to the data fiduciary pursuant to a data audit conducted under this section.

(6) The Authority shall, by regulations, specify the criteria for assigning a rating in the form of a data trust score having regard to the factors mentioned in sub-section (2).

(7) Notwithstanding anything contained in sub-section (1), where the Authority is of the view that the data fiduciary is processing personal data in such manner that is likely to cause harm to a data principal, the Authority may direct the data fiduciary to conduct an audit and shall appoint a data auditor for that purpose.

30.

(1) Every significant data fiduciary shall appoint a data protection officer possessing such qualification and experience as may be specified by regulations for carrying out the following functions:

(a) providing information and advice to the data fiduciary on matters relating to fulfilling its obligations under this Act;

(b) monitoring personal data processing activities of the data fiduciary to ensure that such processing does not violate the provisions of this Act;

(c) providing advice to the data fiduciary on carrying out the data protection impact assessments, and carry out its review under sub-section (4) of section 27;

(d) providing advice to the data fiduciary on the development of internal mechanisms to satisfy the principles specified under section 22;

(e) providing assistance to and co-operating with the Authority on matters of compliance of the data fiduciary with the provisions under this Act;

(f) act as the point of contact for the data principal for the purpose of grievances redressal under section 32; and

(g) maintaining an inventory of records to be maintained by the data fiduciary under section 28.

(2) Nothing contained in sub-section (1) shall prevent the data fiduciary from assigning any other function to the data protection officer, which it may consider necessary.

(3) The data protection officer appointed under sub-section (1) shall be based in India and shall represent the data fiduciary under this Act.

31.

(1) The data fiduciary shall not engage, appoint, use or involve a data processor to process personal data on its behalf without a contract entered into by the data fiduciary and such data processor.

(2) The data processor referred to in sub-section (1) shall not engage, appoint, use, or involve another data processor in the processing on its behalf, except with the authorisation of the data fiduciary and unless permitted in the contract referred to in sub-section (1).

(3) The data processor, and any employee of the data fiduciary or the data processor, shall only process personal data in accordance with the instructions of the data fiduciary and treat it confidential.

32.

(1) Every data fiduciary shall have in place the procedure and effective mechanisms to redress the grievances of data principals efficiently and in a speedy manner.

(2) A data principal may make a complaint of contravention of any of the provisions of this Act or the rules or regulations made thereunder, which has caused or is likely to cause harm to such data principal, to:

(a) the data protection officer, in case of a significant data fiduciary; or

(b) an officer designated for this purpose, in case of any other data fiduciary.

(3) A complaint made under sub-section (2) shall be resolved by the data fiduciary in an expeditious manner and not later than thirty days from the date of receipt of the complaint by such data fiduciary.

(4) Where a complaint is not resolved within the period specified under sub-section (3), or where the data principal is not satisfied with the manner in which the complaint is resolved, or the data fiduciary has rejected the complaint, the data principal may file a complaint to the Authority in such manner as may be prescribed.

CHAPTER VII.- RESTRICTION ON TRANSFER OF PERSONAL DATA OUTSIDE INDIA

33.

(1) Subject to the conditions in sub-section (1) of section 34, the sensitive personal data may be transferred outside India, but such sensitive personal data shall continue to be stored in India.

(2) The critical personal data shall only be processed in India.

Explanation.- For the purposes of sub-section (2), the expression «critical personal data» means such personal data as may be notified by the Central Government to be the critical personal data.

34.

(1) The sensitive personal data may only be transferred outside India for the purpose of processing, when explicit consent is given by the data principal for such transfer, and where:

(a) the transfer is made pursuant to a contract or intra-group scheme approved by the Authority:

Provided that such contract or intra-group scheme shall not be approved, unless it makes the provisions for:

(i) effective protection of the rights of the data principal under this Act, including in relation to further transfer to any other person; and

(ii) liability of the data fiduciary for harm caused due to non-compliance of the provisions of such contract or intra-group scheme by such transfer; or

(b) the Central Government, after consultation with the Authority, has allowed the transfer to a country or, such entity or class of entity in a country or, an international organisation on the basis of its finding that:

(i) such sensitive personal data shall be subject to an adequate level of protection, having regard to the applicable laws and international agreements; and

(ii) such transfer shall not prejudicially affect the enforcement of relevant laws by authorities with appropriate jurisdiction:

Provided that any finding under this clause shall be reviewed periodically in such manner as may be prescribed;

(c) the Authority has allowed transfer of any sensitive personal data or class of sensitive personal data necessary for any specific purpose.

(2) Notwithstanding anything contained in sub-section (2) of section 33, any critical personal data may be transferred outside India, only where such transfer is:

(a) to a person or entity engaged in the provision of health services or emergency services where such transfer is necessary for prompt action under section 12; or

(b) to a country or, any entity or class of entity in a country or, to an international organisation, where the Central Government has deemed such transfer to be permissible under clause (b) of sub-section (1) and where such transfer in the opinion of the Central Government does not prejudicially affect the security and strategic interest of the State.

(3) Any transfer under clause (a) of sub-section (2) shall be notified to the Authority within such period as may be specified by regulations.

CHAPTER VIII.- EXEMPTIONS

35. Where the Central Government is satisfied that it is necessary or expedient,:_

(i) in the interest of sovereignty and integrity of India, the security of the State, friendly relations with foreign States, public order; or

(ii) for preventing incitement to the commission of any cognizable offence relating to sovereignty and integrity of India, the security of the State, friendly relations with foreign States, public order, it may, by order, for reasons to be recorded in writing, direct that all or any of the provisions of this Act shall not apply to any agency of the Government in respect of processing of such personal data, as may be specified in the order subject to such procedure, safeguards and

oversight mechanism to be followed by the agency, as may be prescribed.

Explanation.- For the purposes of this section,:

(i) the term «cognizable offence» means the offence as defined in clause (c) of section 2 of the Code of Criminal Procedure, 1973;

(ii) the expression «processing of such personal data» includes sharing by or sharing with such agency of the Government by any data fiduciary, data processor or data principal.

36. The provisions of Chapter II except section 4, Chapters III to V, Chapter VI except section 24, and Chapter VII shall not apply where:

(a) personal data is processed in the interests of prevention, detection, investigation and prosecution of any offence or any other contravention of any law for the time being in force;

(b) disclosure of personal data is necessary for enforcing any legal right or claim, seeking any relief, defending any charge, opposing any claim, or obtaining any legal advice from an advocate in any impending legal proceeding;

(c) processing of personal data by any court or tribunal in India is necessary for the exercise of any judicial function;

(d) personal data is processed by a natural person for any personal or domestic purpose, except where such processing involves disclosure to the public, or is undertaken in connection with any professional or commercial activity; or

(e) processing of personal data is necessary for or relevant to a journalistic purpose, by any person and is in compliance with any code of ethics issued by the Press Council of India, or by any media self-regulatory organisation.

37. The Central Government may, by notification, exempt from the application of this Act, the processing of personal data of data principals not within the territory of India, pursuant to any contract entered into with any person outside the territory of India, including any company incorporated outside the territory of India, by any data processor or any class of data processors incorporated under Indian law.

38. Where the processing of personal data is necessary for research, archiving, or statistical purposes, and the Authority is satisfied that:

(a) the compliance with the provisions of this Act shall disproportionately divert resources from such purpose;

(b) the purposes of processing cannot be achieved if the personal data is anonymised;

(c) the data fiduciary has carried out de-identification in accordance with the code of practice specified under section 50 and the purpose of processing can be achieved if the personal data is in de-identified form;

(d) the personal data shall not be used to take any decision specific to or action directed to the data principal; and

(e) the personal data shall not be processed in the manner that gives rise to a risk of significant harm to the data principal, it may, by notification, exempt such class of research, archiving, or statistical purposes from the application of any of the provisions of this Act as may be specified by regulations.

39.

(1) The provisions of sections 7, 8, 9, clause (c) of sub-section (1) of section 17 and sections 19 to 32 shall not apply where the processing of personal data by a small entity is not automated.

(2) For the purposes of sub-section (1), a «small entity» means such data fiduciary as may be classified, by regulations, by Authority, having regard to:

(a) the turnover of data fiduciary in the preceding financial year;

(b) the purpose of collection of personal data for disclosure to any other individuals or entities; and

(c) the volume of personal data processed by such data fiduciary in any one day in the preceding twelve calendar months.

40.

(1) The Authority shall, for the purposes of encouraging innovation in artificial intelligence, machine-learning or any other emerging technology in public interest, create a Sandbox.

(2) Any data fiduciary whose privacy by design policy is certified by the Authority under sub-section (3) of section 22 shall be eligible to apply, in such manner as may be specified by regulations, for inclusion in the Sandbox created under sub-section (1).

(3) Any data fiduciary applying for inclusion in the Sandbox under sub-section (2) shall furnish the following information, namely:

(a) the term for which it seeks to utilise the benefits of Sandbox, provided that such term shall not exceed twelve months;

(b) the innovative use of technology and its beneficial uses;

(c) the data principals or categories of data principals participating under the proposed processing; and

(d) any other information as may be specified by regulations.

(4) The Authority shall, while including any data fiduciary in the Sandbox, specify:

(a) the term of the inclusion in the Sandbox, which may be renewed not more than twice, subject to a total period of thirty-six months;

(b) the safeguards including terms and conditions in view of the obligations under clause (c) including the requirement of consent of data principals participating under any licensed activity, compensation to such data principals and penalties in relation to such safeguards; and

(c) that the following obligations shall not apply or apply with modified form to such data fiduciary, namely:

(i) the obligation to specify clear and specific purposes under sections 4 and 5;

(ii) limitation on collection of personal data under section 6; and

(iii) any other obligation to the extent, it is directly depending on the obligations under sections 5 and 6; and

(iv) the restriction on retention of personal data under section 9.

CHAPTER IX.- DATA PROTECTION AUTHORITY OF INDIA

41.

(1) The Central Government shall, by notification, establish, for the purposes of this Act, an Authority to be called the Data Protection Authority of India.

(2) The Authority referred to in sub-section (1) shall be a body corporate by the name aforesaid, having perpetual succession and a common seal, with power, subject to the provisions of this Act, to acquire, hold and dispose of property, both movable and immovable, and to contract and shall, by the said name, sue or be sued.

(3) The head office of the Authority shall be at such place as may be prescribed.

(4) The Authority may, with the prior approval of the Central Government, establish its offices at other places in India.

42.

(1) The Authority shall consist of a Chairperson and not more than six whole-time Members, of which one shall be a person having qualification and experience in law.

(2) The Chairperson and the Members of the Authority shall be appointed by the Central Government on the recommendation made by a selection committee consisting of:

(a) the Cabinet Secretary, who shall be Chairperson of the selection committee;

(b) the Secretary to the Government of India in the Ministry or Department dealing with the Legal Affairs; and

(c) the Secretary to the Government of India in the Ministry or Department dealing with the Electronics and Information Technology.

(3) The procedure to be followed by the Selection Committee for recommending the names under sub-section (2) shall be such as may be prescribed.

(4) The Chairperson and the Members of the Authority shall be persons of ability, integrity and standing, and shall have qualification and specialised knowledge and experience of, and not less than ten years in the field of data protection, information technology, data management, data science, data security, cyber and internet laws, public administration, national security or related subjects.

(5) A vacancy caused to the office of the Chairperson or any other member of the Authority shall be filled up within a period of three months from the date on which such vacancy occurs.

43.

(1) The Chairperson and the Members of the Authority shall be appointed for a term of five years or till they attain the age of sixty-five years, whichever is earlier, and they shall not be eligible for re-appointment.

(2) The salaries and allowances payable to, and other terms and conditions of service  of the Chairperson and the Members of the Authority shall be such as may be prescribed.

(3) The Chairperson and the Members shall not, during their term and for a period of two years from the date on which they cease to hold office, accept:

(a) any employment either under the Central Government or under any State Government; or

(b) any appointment, in any capacity whatsoever, with a significant data fiduciary.

(4) Notwithstanding anything contained in sub-section (1), the Chairperson or a Member of the Authority may:

(a) relinquish his office by giving in writing to the Central Government a notice of not less than three months; or

(b) be removed from his office in accordance with the provisions of this Act.

44.

(1) The Central Government may remove from office, the Chairperson or any Member of the Authority who:

(a) has been adjudged as an insolvent;

(b) has become physically or mentally incapable of acting as a Chairperson or member;

(c) has been convicted of an offence, which in the opinion of the Central Government, involves moral turpitude;

(d) has so abused their position as to render their continuation in office detrimental to the public interest; or

(e) has acquired such financial or other interest as is likely to affect prejudicially their functions as a Chairperson or a member.

(2) No Chairperson or any member of the Authority shall be removed under clause (d) or (e) of sub-section (1) unless he has been given a reasonable opportunity of being heard.

45. The Chairperson of the Authority shall have powers of general superintendence and direction of the affairs of the Authority and shall also exercise all powers and do all such acts and things which may be exercised or done by the Authority under this Act.

46.

(1) The Chairperson and Members of the Authority shall meet at such times and places and shall observe such rules and procedures in regard to transaction of business at its meetings including quorum at such meetings, as may be prescribed.

(2) If, for any reason, the Chairperson is unable to attend any meeting of the Authority, any other member chosen by the Members present at the meeting, shall preside the meeting.

(3) All questions which come up before any meeting of the Authority shall be decided by a majority of votes of the Members present and voting, and in the event of an equality of votes, the Chairperson or in his absence, the member presiding, shall have the right to exercise a second or casting vote.

(4) Any Member who has any direct or indirect pecuniary interest in any matter coming up for consideration at a meeting of the Authority shall disclose the nature of his interest at such meeting, which shall be recorded in the proceedings of the Authority and such member shall not take part in any deliberation or decision of the Authority with respect to that matter.

47. No act or proceeding of the Authority shall be invalid merely by reason of:

(a) any vacancy or defect in the constitution of the Authority;

(b) any defect in the appointment of a person as a Chairperson or member; or

(c) any irregularity in the procedure of the Authority not affecting the merits of the case.

48.

(1) The Authority may appoint such officers, other employees, consultants and experts as it may consider necessary for effectively discharging of its functions under this Act.

(2) Any remuneration, salary or allowances, and other terms and conditions of service of such officers, employees, consultants and experts shall be such as may be specified by regulations.

49.

(1) It shall be the duty of the Authority to protect the interests of data principals, prevent any misuse of personal data, ensure compliance with the provisions of this Act, and promote awareness about data protection.

(2) Without prejudice to the generality of the foregoing and other functions under this Act, the functions of the Authority shall include:

(a) monitoring and enforcing application of the provisions of this Act;

(b) taking prompt and appropriate action in response to personal data breach in accordance with the provisions of this Act;

(c) maintaining a database on its website containing names of significant data fiduciaries along with a rating in the form of a data trust score indicating compliance with the obligations of this Act by such fiduciaries;

(d) examination of any data audit reports and taking any action pursuant thereto;

(e) issuance of a certificate of registration to data auditors and renewal, withdrawal, suspension or cancellation thereof and maintaining a database of registered data auditors and specifying the qualifications, code of conduct, practical training and functions to be performed by such data auditors;

( f ) classification of data fiduciaries;

(g) monitoring cross-border transfer of personal data;

(h) specifying codes of practice;

(i) promoting awareness and understanding of the risks, rules, safeguards and rights in respect of protection of personal data amongst data fiduciaries and data principals;

(j) monitoring technological developments and commercial practices that may affect protection of personal data;

(k) promoting measures and undertaking research for innovation in the field of protection of personal data;

(l) advising Central Government, State Government and any other authority on measures required to be taken to promote protection of personal data and ensuring consistency of application and enforcement of this Act;

(m) specifying fees and other charges for carrying out the purposes of this Act;

(n) receiving and inquiring complaints under this Act; and

(o) performing such other functions as may be prescribed.

(3) Where, pursuant to the provisions of this Act, the Authority processes any personal data, it shall be construed as the data fiduciary or the data processor in relation to such personal data as applicable, and where the Authority comes into possession of any information that is treated as confidential by the data fiduciary or data processor, it shall not disclose such information unless required under any law to do so, or where it is required to carry out its function under this section.

50.

(1) The Authority shall, by regulations, specify codes of practice to promote Good practices of data protection and facilitate compliance with the obligations under this Act.

(2) Notwithstanding anything contained in sub-section (1), the Authority may approve any code of practice submitted by an industry or trade association, an association representing the interest of data principals, any sectoral regulator or statutory Authority, or any departments or ministries of the Central or State Government.

(3) The Authority shall ensure transparency and compliance with the obligations of data fiduciary and the rights of the data principal under this Act while specifying or approving any code of practice under this section.

(4) A code of practice under sub-section (1) or sub-section (2), shall not be issued unless the Authority has made consultation with the sectoral regulators and other stakeholders including the public and has followed such procedure as may be prescribed.

(5) A code of practice issued under this section shall not derogate from the provisions of this Act or any other law for the time being in force.

(6) The code of practice under this Act may include the following matters, namely:

(a) requirements for notice under section 7 including any model forms or guidance relating to notice;

(b) measures for ensuring quality of personal data processed under section 8;

(c) measures pertaining to the retention of personal data under section 9;

(d) manner for obtaining valid consent under section 11;

(e) processing of personal data under section 12;

(f) activities where processing of personal data may be undertaken under section 14;

(g) processing of sensitive personal data under Chapter III;

(h) processing of personal data under any other ground for processing, including processing of personal data of children and age-verification under this Act;

(i) exercise of any right by data principals under Chapter V;

(j) the standards and means by which a data principal may avail the right to data portability under section 19;

(k) transparency and accountability measures including the standards thereof to be maintained by data fiduciaries and data processors under Chapter VI;

(l) standards for security safeguards to be maintained by data fiduciaries and data processors under section 24;

(m) methods of de-identification and anonymisation;

(n) methods of destruction, deletion, or erasure of personal data where required under this Act;

(o) appropriate action to be taken by the data fiduciary or data processor in response to a personal data breach under section 25;

(p) manner in which data protection impact assessments may be carried out by the data fiduciary or a class thereof under section 27;

(q) transfer of personal data outside India pursuant to section 34;

(r) processing of any personal data or sensitive personal data to carry out any activity necessary for research, archiving or statistical purposes under section 38; and

(s) any other matter which, in the view of the Authority, may be necessary to be provided in the code of practice.

(7) The Authority may review, modify or revoke a code of practice issued under this section in such manner as may be prescribed.

51.

(1) The Authority may, for the discharge of its functions under this Act, issue such directions from time to time as it may consider necessary to any data fiduciary or data processor who shall be bound to comply with such directions.

(2) No direction shall be issued under sub-section (1) unless the Authority has given a reasonable opportunity of being heard to the data fiduciaries or data processor concerned.

(3) The Authority may, on a representation made to it or on its own motion, modify, suspend, withdraw or cancel any direction issued under sub-section (1) and in doing so, may impose such conditions as it deems fit, subject to which the modification, suspension, withdrawal or cancellation shall have effect.

52.

(1) Without prejudice to the other provisions of this Act, the Authority may require a data fiduciary or data processor to provide such information as may be reasonably required by it for discharging its functions under this Act.

(2) If the Authority requires a data fiduciary or a data processor to provide any information under sub-section (1), it shall provide a notice in writing to the data fiduciary or the data processor stating the reasons for such requisition.

(3) The Authority shall, by regulations, specify the manner in which the data fiduciary or data processor shall provide the information sought in sub-section (1), including the designation of the officer or employee of the Authority who may seek such information, the period within which such information is to be furnished and the form in which such information may be provided.

53.

(1) The Authority may, on its own or on a complaint received by it, inquire or cause to be inquired, if it has reasonable grounds to believe that:

(a) the activities of the data fiduciary or data processor are being conducted in a manner which is detrimental to the interest of data principals; or

(b) any data fiduciary or data processor has contravened any of the provisions of this Act or the rules or regulations made thereunder, or any direction of the Authority.

(2) For the purposes of sub-section (1), the Authority shall, by an order in writing, appoint one of its officers as an Inquiry Officer to inquire into the affairs of such data fiduciary or data processor and to report to the Authority on any inquiry made.

(3) For the purpose of any inquiry under this section, the Inquiry Officer may, wherever necessary, seek the assistance of any other person.

(4) The order referred to in sub-section (2) shall specify the reasons for the inquirí and the scope of the inquiry and may be modified from time to time.

(5) Every officer, employee or other person acting under the direct authority of the data fiduciary or the data processor, or a service provider, or a contractor, where services are being obtained by or provided to the data fiduciary or data processor, as the case may be, shall be bound to produce before the Inquiry Officer, all such books, registers, documents, records and any data in their custody or power and to furnish to the Inquiry Officer any statement and information relating to the affairs of the data fiduciary or data processor as the Inquiry Officer may require within such time as the said Inquiry Officer may specify.

(6) The Inquiry Officer shall provide a notice in writing to the persons referred to in sub-section (5) stating the reasons thereof and the relationship between the data fiduciary and the Inquiry Officer.

(7) The Inquiry Officer may keep in its custody any books, registers, documents, records and other data produced under sub-section (5) for six months and thereafter shall return the same to the person by whom or on whose behalf such books, registers, documents, record and data are produced, unless an approval to retain such books, registers, documents, record and data for an additional period not exceeding three months has been obtained from the Authority.

(8) Notwithstanding anything contained in any other law for the time being in force, while exercising the powers under this section, the Authority or the Inquiry Officer, as the case may be, shall have the same powers as are vested in a civil court under the Code of Civil Procedure, 1908 while trying a suit, in respect of the following matters, namely:

(a) the discovery and production of books of account and other documents, at such place and at such time as may be specified;

(b) summoning and enforcing the attendance of persons and examining them on oath;

(c) inspection of any book, document, register or record of any data fiduciary;

(d) issuing commissions for the examination of witnesses or documents; and

(e) any other matter which may be prescribed.

54.

(1) On receipt of a report under sub-section (2) of section 53, the Authority may, after giving such opportunity to the data fiduciary or data processor to make a representation in connection with the report as the Authority deems reasonable, by an order in writing:

(a) issue a warning to the data fiduciary or data processor where the business or activity is likely to violate the provisions of this Act;

(b) issue a reprimand to the data fiduciary or data processor where the business or activity has violated the provisions of this Act;

(c) require the data fiduciary or data processor to cease and desist from committing or causing any violation of the provisions of this Act;

(d) require the data fiduciary or data processor to modify its business or activity to bring it in compliance with the provisions of this Act;

(e) temporarily suspend or discontinue business or activity of the data fiduciary or data processor which is in contravention of the provisions of this Act;

(f) vary, suspend or cancel any registration granted by the Authority in case of a significant data fiduciary;

(g) suspend or discontinue any cross-border flow of personal data; or

(h) require the data fiduciary or data processor to take any such action in respect of any matter arising out of the report as the Authority may deems fit.

(2) A data fiduciary or data processor aggrieved by an order made under this section may prefer an appeal to the Appellate Tribunal.

55.

(1) Where in the course of inquiry under section 53, the Inquiry Officer has reasonable ground to believe that any books, registers, documents, records or data belonging to any person as mentioned therein, are likely to be tampered with, altered, mutilated, manufactured, falsified or destroyed, the Inquiry Officer may make an application to such designated court, as may be notified by the Central Government, for an order for the seizure of such books, registers, documents and records.

(2) The Inquiry Officer may require the services of any police officer or any officer of the Central Government, or of both, to assist him for the purposes specified in sub-section (1) and it shall be the duty of every such officer to comply with such requisition.

(3) After considering the application and hearing the Inquiry Officer, if necessary, the designated court may, by order, authorise the Inquiry Officer:

(a) to enter, with such assistance, as may be required, the place or places where such books, registers, documents and records are kept;

(b) to search that place or those places in the manner specified in the order; and

(c) to seize books, registers, documents and records it considers necessary for the purposes of the inquiry.

(4) The Inquiry Officer shall keep in its custody the books, registers, documents and records seized under this section for such period not later than the conclusion of the inquirí as it considers necessary and thereafter shall return the same to the person, from whose custody or power they were seized and inform the designated court of such return.

(5) Save as otherwise provided in this section, every search or seizure made under this section shall be carried out in accordance with the provisions of the Code of Criminal Procedure, 1973 relating to searches or seizures made under that Code.

56. Where any action proposed to be taken by the Authority under this Act is such that any other regulator or authority constituted under a law made by Parliament or the State legislature may also have concurrent jurisdiction, the Authority shall consult such other regulator or authority before taking such action and may also enter into a memorandum of understanding with such other regulator or authority governing the coordination of such actions.

CHAPTER X.- PENALTIES AND COMPENSATION

57.

(1) Where the data fiduciary contravenes any of the following provisions,:

(a) obligation to take prompt and appropriate action in response to a data security breach under section 25;

(b) failure to register with the Authority under sub-section (2) of section 26,

(c) obligation to undertake a data protection impact assessment by a significant data fiduciary under section 27;

(d) obligation to conduct a data audit by a significant data fiduciary under section 29;

(e) appointment of a data protection officer by a significant data fiduciary under section 30, it shall be liable to a penalty which may extend to five crore rupees or two per cent. of its total worldwide turnover of the preceding financial year, whichever is higher;

(2) Where a data fiduciary contravenes any of the following provisions,:

(a) processing of personal data in violation of the provisions of Chapter II or Chapter III;

(b) processing of personal data of children in violation of the provisions of Chapter IV;

(c) failure to adhere to security safeguards as per section 24; or

(d) transfer of personal data outside India in violation of the provisions of Chapter VII, it shall be liable to a penalty which may extend to fifteen crore rupees or four per cent. of its total worldwide turnover of the preceding financial year, whichever is higher.

(3) For the purposes of this section,:

(a) the expression «total worldwide turnover» means the gross amount of revenue recognised in the profit and loss account or any other equivalent statement, as applicable, from the sale, supply or distribution of goods or services or on account of services rendered, or both, and where such revenue is generated within India and outside India.

(b) it is hereby clarified that total worldwide turnover in relation to a data fiduciary is the total worldwide turnover of the data fiduciary and the total worldwide turnover of any group entity of the data fiduciary where such turnover of a group entity arises as a result of the processing activities of the data fiduciary, having regard to factors, including:

(i) the alignment of the overall economic interests of the data fiduciary and the group entity;

(ii) the relationship between the data fiduciary and the group entity specifically in relation to the processing activity undertaken by the data fiduciary; and

(iii) the degree of control exercised by the group entity over the data fiduciary or vice versa, as the case may be.

(c) where of any provisions referred to in this section has been contravened by the State, the maximum penalty shall not exceed five crore rupees under sub-section (1), and fifteen crore rupees under sub-section (2), respectively.

58. Where, any data fiduciary, without any reasonable explanation, fails to comply with any request made by a data principal under Chapter V, such data fiduciary shall be liable to a penalty of five thousand rupees for each day during which such default continues, subject to a maximum of ten lakh rupees in case of significant data fiduciaries and five lakh rupees in other cases.

59. If any data fiduciary, who is required under this Act, or the rules or regulations made thereunder, to furnish any report, return or information to the Authority, fails to furnish the same, then such data fiduciary shall be liable to penalty which shall be ten thousand rupees for each day during which such default continues, subject to a maximum of twenty lakh rupees in case of significant data fiduciaries and five lakh rupees in other cases.

60. If any data fiduciary or data processor fails to comply with any direction issued by the Authority under section 51or order issued by the Authority under section 54, such data fiduciary or data processor shall be liable to a penalty which may extend to twenty thousand rupees for each day during which such default continues, subject to a maximum of two crores in case of a data processor it may extend to five thousand rupees for each day during which such default continues, subject to a maximum of fifty lakh rupees.

61. Where any person fails to comply with any provision of this Act or the rules or regulations made thereunder applicable to such person, for which no separate penalty has been provided, then, such person shall be liable to a penalty which may extend to a máximum of one crore rupees in case of significant data fiduciaries, and a maximum of twenty five lakh rupees in other cases.

62.

(1) For the purpose of adjudging the penalties under sections 57 to 61or awarding compensation under section 64, the Authority shall appoint such Adjudicating Officer as may be prescribed.

(2) The Central Government shall, having regard to the need to ensure the operational segregation, independence, and neutrality of the adjudication under this Act, prescribe:

(a) number of Adjudicating Officers to be appointed under sub-section (1);

(b) manner and terms of appointment of Adjudicating Officers ensuring independence of such officers;

(c) jurisdiction of Adjudicating Officers;

(d) other such requirements as the Central Government may deem fit.

(3) The Adjudicating Officers shall be persons of ability, integrity and standing, and must have specialised knowledge of, and not less than seven years professional experience in the fields of law, cyber and internet laws, information technology law and policy, data protection and related subjects.

63.

(1) No penalty shall be imposed under this Chapter, except after an inquiry made in such manner as may be prescribed, and the data fiduciary or data processor or any person, as the case may be, has been given a reasonable opportunity of being heard:

Provided that no inquiry under this section shall be initiated except by a complaint made by the Authority.

(2) While holding an inquiry, the Adjudicating Officer shall have the power to summon and enforce the attendance of any person acquainted with the facts and circumstances of the case to give evidence or to produce any document which, in the opinion of the Adjudicating Officer, may be useful for or relevant to the subject matter of the inquiry.

(3) If, on the conclusion of such inquiry, the Adjudicating Officer is satisfied that the person has failed to comply with the provisions of this Act or has caused harm to any data principal as a result of any contravention of the provisions of this Act, the Adjudicating Officer may impose such penalty specified under relevant section.

(4) While deciding whether to impose a penalty under sub-section (3) and in determining the quantum of penalty under sections 57 to 61, the Adjudicating Officer shall have due regard to the following factors, namely:

(a) nature, gravity and duration of violation taking into account the nature, scope and purpose of processing concerned;

(b) number of data principals affected, and the level of harm suffered by them;

(c) intentional or negligent character of the violation;

(d) nature of personal data impacted by the violation;

(e) repetitive nature of the default;

(f) transparency and accountability measures implemented by the data fiduciary or data processor including adherence to any relevant code of practice relating to security safeguards;

(g) action taken by the data fiduciary or data processor to mitigate the harm suffered by data principals; and

(h) any other aggravating or mitigating factors relevant to the circumstances of the case, such as, the amount of disproportionate gain or unfair advantage, wherever quantifiable, made as a result of the default.

(5) Any person aggrieved by an order under this section by the Adjudicating Officer may prefer an appeal to the Appellate Tribunal.

64.

(1) Any data principal who has suffered harm as a result of any violation of any provision under this Act or the rules or regulations made thereunder, by a data fiduciary or a data processor, shall have the right to seek compensation from the data fiduciary or the data processor, as the case may be.

Explanation.- For the removal of doubts, it is hereby clarified that a data processor shall be liable only where it has acted outside or contrary to the instructions of the data fiduciary pursuant to section 31, or where the data processor is found to have acted in a negligent manner, or where the data processor has not incorporated adequate security safeguards under section 24, or where it has violated any provisions of this Act expressly applicable to it.

(2) The data principal may seek compensation under this section by making a complaint to the Adjudicating Officer in such form and manner as may be prescribed.

(3) Where there are one or more data principals or any identifiable class of data principals who have suffered harm as a result of any contravention by the same data fiduciary or data processor, one complaint may be instituted on behalf of all such data principals seeking compensation for the harm suffered.

(4) While deciding to award compensation and the amount of compensation under this section, the Adjudicating Officer shall have regard to the following factors, namely:

(a) nature, duration and extent of violation of the provisions of the Act, rules prescribed, or regulations specified thereunder;

(b) nature and extent of harm suffered by the data principal;

(c) intentional or negligent character of the violation;

(d) transparency and accountability measures implemented by the data fiduciary or the data processor, as the case may be, including adherence to any relevant code of practice relating to security safeguards;

(e) action taken by the data fiduciary or the data processor, as the case may be, to mitigate the damage suffered by the data principal;

(f) previous history of any, or such, violation by the data fiduciary or the data processor, as the case may be;

(g) whether the arrangement between the data fiduciary and data processor contains adequate transparency and accountability measures to safeguard the personal data being processed by the data processor on behalf of the data fiduciary;

(h) any other aggravating or mitigating factor relevant to the circumstances of the case, such as, the amount of disproportionate gain or unfair advantage, wherever quantifiable, made as a result of the default.

(5) Where more than one data fiduciary or data processor, or both a data fiduciary and a data processor are involved in the same processing activity and are found to have caused harm to the data principal, then, each data fiduciary or data processor may be ordered to pay the entire compensation for the harm to ensure effective and speedy compensation to the data principal.

(6) Where a data fiduciary or a data processor has, in accordance with sub-section (5), paid the entire amount of compensation for the harm suffered by the data principal, such data fiduciary or data processor shall be entitled to claim from the other data fiduciaries or data processors, as the case may be, that amount of compensation corresponding to their part of responsibility for the harm caused.

(7) Any person aggrieved by an order made under this section by the Adjudicating Officer may prefer an appeal to the Appellate Tribunal.

(8) The Central Government may prescribe the procedure for hearing of a complaint under this section.

65. No compensation awarded, or penalty imposed, under this Act shall prevent the award of compensation or imposition of any other penalty or punishment under this Act or any other law for the time being in force.

66.

(1) The amount of any penalty imposed or compensation awarded under this Act, if not paid, may be recovered as if it were an arrear of land revenue.

(2) All sums realised by way of penalties under this Act shall be credited to the Consolidated Fund of India.

CHAPTER XI.- APPELLATE TRIBUNAL

67.

(1) The Central Government shall, by notification, establish an Appellate Tribunal to:

(a) hear and dispose of any appeal from an order of the Adjudicating Officer under sub-section (5) of section 20;

(b) hear and dispose of any appeal from an order of the Authority under sub-section (2) of section 54;

(c) hear and dispose of any appeal from an order of the Adjudicating Officer under sub-section (5) of section 63; and

(d) hear and dispose of any appeal from an order of an Adjudicating Officer under sub-section (7) of section 64.

(2) The Appellate Tribunal shall consist of a Chairperson and not more than members to be appointed.

(3) The Appellate Tribunal shall be established at such place or places, as the Central Government may, in consultation with the Chairperson of the Appellate Tribunal, notify.

(4) Notwithstanding anything contained in sub-sections (1) to (3), where, in the opinión of the Central Government, any existing body is competent to discharge the functions of the Appellate Tribunal under this Act, then, the Central Government may notify such body to act as the Appellate Tribunal under this Act.

68.

(1) A person shall not be qualified for appointment as the Chairperson or a member of the Appellate Tribunal unless he:

(a) in the case of Chairperson, is, or has been a Judge of the Supreme Court or Chief Justice of a High Court;

(b) in the case of a member, has held the post of Secretary to the Government of India or any equivalent post in the Central Government for a period of not less tan two years or a person who is well versed in the field of data protection, information technology, data management, data science, data security, cyber and internet laws or any related subject.

(2) The Central Government may prescribe the manner of appointment, term of office, salaries and allowances, resignation, removal and the other terms and conditions of service of the Chairperson and any member of the Appellate Tribunal.

69. If, for reason other than temporary absence, any vacancy occurs in the office of the Chairperson or a member of the Appellate Tribunal, the Central Government shall appoint another person in accordance with the provisions of this Act and the rules prescribed to fill the vacancy and the proceedings may be continued before the Appellate Tribunal from the stage at which the vacancy is filled.

70.

(1) The Central Government shall provide the Appellate Tribunal with such officers and employees as it may deem fit.

(2) The officers and employees of the Appellate Tribunal shall discharge their functions under the general superintendence of its Chairperson.

(3) The salaries and allowances and other conditions of service of such officers and employees of the Appellate Tribunal shall be such as may be prescribed.

71.

(1) Subject to the provisions of this Act, the jurisdiction of the Appellate Tribunal may be exercised by Benches thereof, which shall be constituted by the Chairperson.

(2) Where Benches of the Appellate Tribunal are constituted under sub-section (1), the Chairperson may, from time to time, by notification, make provisions as to the distribution of the business of the Appellate Tribunal amongst the Benches, transfer of Members between Benches, and also provide for the matters which may be dealt with by each bench.

(3) On the application of any of the parties and after notice to the parties, and after hearing such of them as the Chairperson may desire to be heard, or on the Chairperson’s own motion without such notice, the Chairperson of the Appellate Tribunal may transfer any case pending before one Bench, for disposal, to any other Bench.

72.

(1) Any person aggrieved by the decision of the Authority, may prefer an appeal to the Appellate Tribunal within a period of thirty days from the receipt of the order appealed against, in such form, verified in such manner and be accompanied by such fee, as may be prescribed:

Provided that the Appellate Tribunal may entertain any appeal after the expiry of the said period of thirty days if it is satisfied that there was sufficient cause for not filing it within that period.

(2) On receipt of an appeal under this section, the Appellate Tribunal may, after providing the parties to the dispute or appeal, an opportunity of being heard, pass such orders thereon as it deems fit.

(3) The Appellate Tribunal shall send a copy of every order made by it to the parties to the dispute or the appeal and to the Authority, as the case may be.

(4) The Appellate Tribunal may, for the purpose of examining the legality or propriety or correctness, of any decision, or order of the Authority or Adjudicating Officer referred to in the appeal preferred under this section, on its own motion or otherwise, call for the records relevant to disposing of such appeal or application and make such orders as it thinks fit.

73.

(1) The Appellate Tribunal shall not be bound by the procedure laid down by the Code of Civil Procedure, 1908, but shall be guided by the principles of natural justice and, subject to the other provisions of this Act, the Appellate Tribunal shall have powers to regulate its own procedure.

(2) The Appellate Tribunal shall have, for the purposes of discharging its functions under this Act, the same powers as are vested in a civil court under the Code of Civil Procedure, 1908, while trying a suit, in respect of the following matters, namely:

(a) summoning and enforcing the attendance of any person and examining his on oath;

(b) requiring the discovery and production of documents;

(c) receiving evidence on affidavits;

(d) subject to the provisions of section 123 and section 124 of the Indian Evidence Act, 1872, requisitioning any public record or document or a copy of such record or document, from any office;

(e) issuing commissions for the examination of witnesses or documents;

(f) reviewing its decisions;

(g) dismissing an application for default or deciding it, ex parte;

(h) setting aside any order of dismissal of any application for default or any order passed by it, ex parte; and

(i) any other matter which may be prescribed.

(3) Every proceeding before the Appellate Tribunal shall be deemed to be a judicial proceeding within the meaning of sections 193 and 228, and for the purposes of section 196 of the Indian Penal Code and the Appellate Tribunal shall be deemed to be a civil court for the purposes of section 195 and Chapter XXVI of the Code of Criminal Procedure, 1973.

74.

(1) An order passed by the Appellate Tribunal under this Act shall be executable by the Appellate Tribunal as a decree of civil court, and for this purpose, the Appellate Tribunal shall have all the powers of a civil court.

(2) Notwithstanding anything contained in sub-section (1), the Appellate Tribunal may transmit any order made by it to a civil court having local jurisdiction and such civil court shall execute the order as if it were a decree made by that court.

75.

(1) Notwithstanding anything contained in the Code of Civil Procedure, 1908 or in any other law, an appeal shall lie against any order of the Appellate Tribunal, not being an interlocutory order, to the Supreme Court on any substantial question of law.

(2) No appeal shall lie against any decision or order made by the Appellate Tribunal with the consent of the parties.

(3) Every appeal under this section shall be preferred within a period of ninety days from the date of the decision or order appealed against:

Provided that the Supreme Court may entertain the appeal after the expiry of the said period of ninety days, if it is satisfied that the appellant was prevented by sufficient cause from preferring the appeal in time.

76. The applicant or appellant may either appear in person or authorise one or more legal practitioners or any of its officers to present his or its case before the Appellate Tribunal.

Explanation.- For the purposes of this section, «legal practitioner» includes an advocate, or an attorney and includes a pleader in practice.

77. No civil court shall have jurisdiction to entertain any suit or proceeding in respect of any matter which the Appellate Tribunal is empowered by or under this Act to determine and no injunction shall be granted by any court or other authority in respect of any action taken or to be taken in pursuance of any power conferred by or under this Act.

CHAPTER XII.- FINANCE, ACCOUNTS AND AUDIT

78. The Central Government may, after due appropriation made by Parliament by law in this behalf, make to the Authority grants of such sums of money as it may think fit for the purposes of this Act.

79. (1) There shall be constituted a Fund to be called the Data Protection Authority Fund to which the following shall be credited:

(a) all Government grants, fees and charges received by the Authority under this Act; and

(b) all sums received by the Authority from such other source as may be decided upon by the Central Government.

(2) The Data Protection Authority Fund shall be applied for meeting:

(i) the salaries, allowances and other remuneration of the Chairperson, Members, officers, employees, consultants and experts appointed by the Authority; and (ii) the other expenses of the Authority in connection with the discharge of its functions and for the purposes of this Act.

80.

(1) The Authority shall maintain proper accounts and other relevant records and prepare an annual statement of accounts in such form as may be prescribed in consultation with the Comptroller and Auditor-General of India.

(2) The accounts of the Authority shall be audited by the Comptroller and Auditor-General of India at such intervals as may be prescribed and any expenditure incurred by him in connection with such audit shall be reimbursed to him by the Authority.

(3) The Comptroller and Auditor-General of India and any other person appointed by him in connection with the audit of the accounts of the Authority shall have the same rights and privileges and authority in connection with such audit as the Comptroller and Auditor-General of India generally has in connection with the audit of the Government accounts and, in particular, shall have the right to demand the production of books, accounts, connected vouchers and other documents and papers, and to inspect any of the offices of the Authority.

(4) The accounts of the Authority as certified by the Comptroller and Auditor-General of India or any other person appointed by the Comptroller and Auditor-General of India in this behalf together with the audit report thereon shall be forwarded annually to the Central Government and the Central Government shall cause the same to be laid before each House of the Parliament.

81.

(1) The Authority shall furnish to the Central Government at such time and in such form and manner as may be prescribed or as the Central Government may direct, such returns and statements (including statement on enforcement action taken) and such particulars in regard to any proposed or existing programme for the promotion and development of protection of personal data, as the Central Government from time to time, require.

(2) The Authority shall prepare once every year in such form and at such time as may be prescribed, an annual report giving a summary of its activities during the previous year and copies of the report shall be forwarded to the Central Government.

(3) A copy of the report prepared under sub-section (2) shall be laid, as soon as may be after it is received, before each House of the Parliament.

(4) A copy of the report prepared under sub-section (2) shall also be made publicly available by the Authority.

CHAPTER XIII.- OFFENCES

82.

(1) Any person who, knowingly or intentionally:

(a) re-identifies personal data which has been de-identified by a data fiduciary or a data processor, as the case may be; or

(b) re-identifies and processes such personal data as mentioned in clause (a), without the consent of such data fiduciary or data processor, then, such person shall be punishable with imprisonment for a term not exceeding three years or with a fine which may extend to two lakh rupees or both.

(2) Nothing contained in sub-section (1) shall render any such person liable to any punishment under this section, if he proves that:

(a) the personal data belongs to the person charged with the offence under sub-section (1); or

(b) the data principal whose personal data is in question has explicitly consented to such re-identification or processing as per the provisions of this Act.

83.

(1) Notwithstanding anything contained in the Code of Criminal Procedure, 1973, an offence punishable under this Act shall be cognizable and non-bailable.

(2) No court shall take cognizance of any offence under this Act, save on a complaint made by the Authority.

84.

(1) Where an offence under this Act has been committed by a company, every person who, at the time the offence was committed was in charge of, and was responsible to, the company for the conduct of the business of the company, as well as the company, shall be deemed to be guilty of the offence and shall be liable to be proceeded against and punished accordingly.

(2) Nothing contained in sub-section (1) shall render any such person liable to any punishment provided in this Act, if he proves that the offence was committed without his knowledge or that he had exercised all due diligence to prevent the commission of such offence.

(3) Notwithstanding anything contained in sub-section (1), where an offence under this Act has been committed by a company and it is proved that the offence has been committed with the consent or connivance of, or is attributable to any neglect on the part of, any director, manager, secretary or other officer of the company, such director, manager, secretary or other officer shall also be deemed to be guilty of the offence and shall be liable to be proceeded against and punished accordingly.

Explanation.- For the purpose of this section:

(a) «company» means any body corporate, and includes:

(i) a firm; and

(ii) an association of persons or a body of individuals whether incorporated or not.

(b) «director» in relation to:

(i) a firm, means a partner in the firm;

(ii) an association of persons or a body of individuals, means any member controlling affairs thereof.

85.

(1) Where it has been proved that an offence under this Act has been committed by any department or authority or body of the State, by whatever name called, the head of such department or authority or body shall be deemed to be guilty of the offence and shall be liable to be proceeded against and punished accordingly.

(2) Nothing contained in sub-section (1) shall render any such person liable to any punishment provided in this Act, if he proves that the offence was committed without his knowledge or that he had exercised all due diligence to prevent the commission of such offence.

(3) Notwithstanding anything contained in sub-section (1), where an offence under this Act has been committed by a department of the Central or State Government, or any authority of the State and it is proved that the offence has been committed with the consent or connivance of, or is attributable to any neglect on the part of, any officer, other than the head of the department or authority, such officer shall also be deemed to be guilty of the offence and shall be liable to be proceeded against and punished accordingly.

(4) Notwithstanding anything in this section, the provisions of the Code of Criminal Procedure, 1973 relating to public servants shall continue to apply.

CHAPTER XIV.- MISCELLANEOUS

86.

(1) The Central Government may, from time to time, issue to the Authority such directions as it may think necessary in the interest of the sovereignty and integrity of India, the security of the State, friendly relations with foreign States or public order.

(2) Without prejudice to the foregoing provisions of this Act, the Authority shall, in exercise of its powers or the performance of its functions under this Act, be bound by such directions on questions of policy as the Central Government may give in writing to it from time to time:

Provided that the Authority shall, as far as practicable, be given an opportunity to express its views before any direction is given under this sub-section.

(3) The decision of the Central Government whether a question is one of policy or not shall be final.

87. The Chairperson, Members, officers and employees of the Authority and the Appellate Tribunal shall be deemed, when acting or purporting to act in pursuance of any of the provisions of this Act, to be public servants within the meaning of section 21 of the Indian Penal Code.

88. No suit, prosecution or other legal proceedings shall lie against the Authority or its Chairperson, member, employee or officer for anything which is done in good faith or intended to be done under this Act, or the rules prescribed, or the regulations specified thereunder.

89. Notwithstanding anything contained in the Income Tax Act, 1961 or any other enactment for the time being in force relating to tax on income, profits or gains, as the case may be, the Authority shall not be liable to pay income tax or any other tax in respect of its income, profits or gains derived.

90. The Authority may, by general or special order in writing delegate to any member or officer of the Authority subject to such conditions, if any, as may be specified in the order, such of its powers and functions under this Act, except the powers under section 94, as it may deem necessary.

91.

(1) Nothing in this Act shall prevent the Central Government from framing of any policy for the digital economy, including measures for its growth, security, integrity, prevention of misuse, insofar as such policy do not govern personal data.

(2) The Central Government may, in consultation with the Authority, direct any data fiduciary or data processor to provide any personal data anonymised or other non-personal data to enable better targeting of delivery of services or formulation of evidence-based policies by the Central Government, in such manner as may be prescribed.

Explanation.- For the purposes of this sub-section, the expression «non-personal data» means the data other than personal data.

(3) The Central Government shall disclose annually the directions, made by it under sub-section (2), in such form as may be prescribed.

92. No data fiduciary shall process such biometric data as may be notified by the Central Government, unless such processing is permitted by law.

93.

(1) The Central Government may, by notification, make rules to carry out the provisions of this Act.

(2) In particular, and without prejudice to the generality of the foregoing power, such rules may provide for all or any of the following matters, namely:

(a) any other categories of sensitive personal data under section 15;

(b) other factors to be taken into consideration under clause (d) of sub-section (3) of section 16;

(c) the form and manner in which an application may be made to exercise the right under sub-section (2), and the manner of review of the order passed by the Adjudicating Officer under sub-section (4) of section 20;

(d) the methods of voluntary identification to identify users of social media under sub-section (3) and the identifying mark of verification of a voluntarily verified user under sub-section (4) of section 28;

(e) the manner in which a complaint may be filed under sub-section (4) of section 32;

(f) the entity or class of entity in a country, or international organisations to which transfers may be permitted under clause (b) of sub-section (1) of section 34;

(g) the place of head office of the Authority under sub-section (3) of section 41;

(h) procedure to be followed by the selection committee under sub-section (3) of section 42;

(i) the salaries and allowances payable to, and other terms and conditions of service of the Chairperson and the Members of the Authority under sub-section (2) of section 43;

(j) the time and place for, and the rules and procedures in regard to, transaction of business at the meetings of the Authority under sub-section (1) of section 46;

(k) other functions of the Authority under clause (o) of sub-section (2) of section 49;

(l) the procedure of issuance of a code of practice under sub-section (4), the manner in which the Authority may review, modify or revoke a code of practice under sub-section (7), of section 50;

(m) other matters under clause (e) of sub-section (8) of section 53, in respect of which the Authority shall have powers;

(n) the number of Adjudicating Officers, manner and terms of their appointment, their jurisdiction and other requirements under sub-section (2) of section 62;

(o) the manner in which the Adjudicating Officer shall conduct an inquiry under sub-section (1) of section 63;

(p) the form and manner of making a complaint under sub-section (2), and the procedure for hearing of a complaint under sub-section (8) of section 64;

(q) the manner of appointment, term of office, salaries and allowances, resignation, removal and the other terms and conditions of service of the Chairperson and any member of the Appellate Tribunal under sub-section (2) of section 68;

(r) the procedure of filling of vacancies in the Appellate Tribunal under section 69;

(s) the salaries and allowances and other conditions of service of the officers and employees of the Appellate Tribunal under sub-section (3) of section 70;

(t) the form, manner and fee for filing an appeal or application, as the case may be, with the Appellate Tribunal under sub-section (1) of section 72;

(u) other matters under clause (i) of sub-section (2) of section 73 in respect of powers of the Appellate Tribunal;

(v) the form of accounts, other relevant records and annual statement of accounts under sub-section (1), the intervals at which the accounts of the Authority shall be audited under sub-section (2) of section 80;

(w) the time in which and the form and manner in which the returns, statements, and particulars are to be furnished to the Central Government under sub-section (1), and annual report under sub-section (2) of section 81;

(x) the manner in which the Central Government may issue a direction, including the specific purposes for which data is sought under sub-section (2) and the form of disclosure of such directions under sub-section (3) of section 91; or

(y) any other matter which is require to be, or may be, prescribed, or in respect of which provision is to be made, by rules.

94.

(1) The Authority may, by notification, make regulations consistent with this Act and the rules made thereunder to carry out the provisions of this Act.

(2) In particular and without prejudice to the generality of the foregoing power, such regulations may provide for all or any of the following matters, namely:

(a) information required to be provided by the data fiduciary to the data principal in its notice under clause (n) of sub-section (1) of section 7;

(b) manner in which the personal data retained by the data fiduciary must be deleted under sub-section (4) of section 9;

(c) the safeguards for protecting the rights of data principals under sub-section (3) of section 14;

(d) the additional safeguards or restrictions under sub-section (2) of section 15;

(e) the manner of obtaining consent of the parent or guardian of a child under sub-section (2), the manner of verification of age of a child under sub-section (3), application of provision in modified form to data fiduciaries offering counselling or child protection services under sub-section (6) of section 16;

(f) the period within which a data fiduciary must acknowledge the receipt of request under sub-section (1), the fee to be charged under sub-section (2), the period within which request is to be complied with under sub-section (3), and the manner and the period within which a data principal may file a complaint under sub-section (4) of section 21;

(g) the manner for submission of privacy by design policy under sub-section (2) of section 22;

(h) the manner and the technical, operation, financial and other conditions for registration of the consent manager and its compliance under sub-section (5) of section 23;

(i) the manner of registration of significant data fiduciaries under sub-section (2) of section 26;

(j) the circumstances or classes of data fiduciaries or processing operations where data protection impact assessments shall be mandatory and instances where data auditor shall be appointed under sub-section (2), and the manner in which data protection officer shall review the data protection impact assessment and submit to the Authority under sub-section (4) of section 27;

(k) the form and manner for maintaining the records, and any other aspect of processing for which records shall be maintained under sub-section (1) of section 28;

(l) the other factors to be taken into consideration under clause (g) of sub-section (2); the form and procedure for conducting audits under sub-section (3); the manner of registration of auditors under sub-section (4); criteria on the basis of which rating in the form of a data trust score may be assigned to a data fiduciary under sub-section (6) of section 29;

(m) the qualification and experience of a data protection officer under sub-section (1) of section 30;

(n) the period within which transfer of personal data shall be notified to the Authority under sub-section (3) of section 34;

(o) the provisions of the Act and the class of research, archival or statistical purposes which may be exempted under section 38;

(p) the remuneration, salary or allowances and other terms and conditions of service of such officers, employees, consultants and experts under sub-section (2) of section 48;

(q) the code of practice under sub-section (1) of section 50;

(r) the form and manner for providing information to the Authority by the data fiduciary under sub-section (3) of section 52;

(s) any other matter which is required to be, or may be specified, or in respect of which provision is to be or may be made by regulations.

95. Every rule and regulation made under this Act and notification issued under sub-section (4) of section 67 shall be laid, as soon as may be after it is made, before each House of Parliament, while it is in session, for a total period of thirty days which may be comprised in one session or in two or more successive sessions, and if, before the expiry of the sesión immediately following the session or the successive sessions aforesaid, both Houses agree in making any modification in the rule or regulation or notification or both Houses agree that the rule or regulation or notification should not be made, the rule or regulation or notification shall thereafter have effect only in such modified form or be of no effect, as the case may be; so, however, that any such modification or annulment shall be without prejudice to the validity of anything previously done under that rule or regulation or notification.

96. Save as otherwise provided in this Act, the provisions of this Act shall have effect notwithstanding anything inconsistent therewith any other law for the time being in force or any instrument having effect by virtue of any law other than this Act.

97.

(1) If any difficulty arises in giving effect to the provisions of this Act, the Central Government may, by order, published in the Official Gazette, make such provisions not inconsistent with the provisions of this Act as may appear to be necessary or expedient for removing the difficulty:

Provided that no such order shall be made under this section after the expiry of five years from the commencement of this Act.

(2) Every order made under this section shall be laid, as soon as may be after it is made, before each House of Parliament.

98. The Information Technology Act, 2000 shall be amended in the manner specified in the Schedule to this Act.

THE SCHEDULE (See section 98)

AMENDMENTS TO THE INFORMATION TECHNOLOGY ACT, 2000 (21 OF 2000)

1. Section 43A of the Information Technology Act, 2000 (hereafter in this Schedule referred to as the principal Act) shall be omitted.

2. In section 87 of the principal Act, in sub-section (2), clause (ob) shall be omitted.

STATEMENT OF OBJECTS AND REASONS

1. In the matter of Justice K.S. Puttaswami and another Vs. Union of India [WP 494 of 2012], a nine Judge Constitutional Bench of the Supreme Court, while delivering its judgment on 24th August, 2017, declared «privacy» as a fundamental right under article 21 of the Constitution. Subsequently, on 26th September, 2018, a five Judge Constitutional Bench of the Supreme Court while delivering its final judgment in the above case impressed upon the Government to bring out a robust data protection regime.

2. The Government on 31st July, 2017 constituted a «Committee of Experts on Data Protection» chaired by Justice B.N. Srikrishna to examine the issues relating to data protection. The said Committee examined the issues on data protection and submitted its Report on 27th July, 2018. On the basis of the recommendations made in the said Report and the suggestions received from various stakeholders, it is proposed to enact a legislation, namely, the Personal Data Protection Bill, 2019.

3. The proposed Legislation seeks to bring a strong and robust data protection framework for India and to set up an Authority for protecting personal data and empowering the citizens’ with rights relating to their personal data ensuring their fundamental right to «privacy and protection of personal data».

4. The salient features of the Data Protection Bill, 2019, inter alia, are as under:

(i) to promote the concepts such as consent framework, purpose limitation, storage limitation and the data minimisation;

(ii) to lay down obligations on entities collecting personal data (data fiduciary) to collect only that data which is required for a specific purpose and with the express consent of the individual (data principal);

(iii) to confer rights on the individual to obtain personal data, correct inaccurate data, erase data, update the data, port the data to other fiduciaries and the right to restrict or prevent the disclosure of personal data;

(iv) to establish an Authority to be called the «Data Protection Authority of India» (the Authority) which shall consist of a Chairperson and not more than six whole-time Members to be appointed by the Central Government;

(v) to provide that the Authority shall protect the interests of data principals, prevent any misuse of personal data, ensure compliance with the provisions of the proposed legislation and promote awareness about the data protection;

(vi) to specify a provision relating to «social media intermediary» whose actions have significant impact on electoral democracy, security of the State, public order or the sovereignty and integrity of India and to empower the Central Government, in consultation with the Authority, to notify the said intermediary as a significant data fiduciary;

(vii) to confer a «right of grievance» on data principal to make a complaint against the grievance to the data fiduciary and if aggrieved by the decision of such data fiduciary, he may approach the Authority;

(viii) to empower the Central Government to exempt any agency of Government from application of the proposed Legislation;

(ix) to empower the Authority to specify the «code of practice» to promote Good practices of data protection and facilitate compliance with the obligations under this legislation;

(x) to appoint the «Adjudicating Officer» for the purpose of adjudging the penalties to be imposed and the compensation to be awarded under the provisions of this legislation;

(xi) to establish an «Appellate Tribunal» to hear and dispose of any appeal from an order of the Authority under clause 54 and the Adjudicating Officer under clauses 63 and 64; and

(xii) to impose «fines and penalties» for contravention of the provisions of the proposed legislation.

5. The Notes on Clauses explain in detail the various provisions contained in the Bill.

6. The Bill seeks to achieve the above objectives.

NEW DELHI; RAVI SHANKAR PRASAD.

The 5th December, 2019.

Notes on Clauses

Clause 1.- This clause seeks to provide for short title and commencement of the Act.

Clause 2.- This clause seeks to clarify the application of the Act with regard to personal data of Indians and save for clause 91 would not be applicable to processing of anonymised data.

Clause 3.- This clause seeks to define certain expressions occurring in the Act.

Clause 4.- This clause seeks to prohibit processing of personal data without any specific, clear and lawful purpose.

Clause 5.- This clause seeks to limit the processing of personal data to the purpose consented to by the data principal or which is incidental or connected thereto.

Clause 6.- This clause seeks to lay down limitation on collection of personal data specifying that it should be only to the extent that is necessary.

Clause 7.- This clause seeks to lay down the requirement of notice for collection or processing of personal data and lists the various types of information that should be contained in the notice given to the data principal.

Clause 8.- This clause seeks to lay down that the data fiduciary should ensure the quality of the personal data processed.

Clause 9.- This clause seeks to lay down restriction on retention of personal data beyond what is necessary.

Clause 10.- This clause seeks to lay down the responsibility for complying with the provisions of this Act on the data fiduciary.

Clause 11.- This clause seeks to expound the various aspects of consent which are necessary for processing of personal data.

Clause 12.- This clause seeks to list out certain cases which provide for processing of personal data without consent.

Clause 13.- This clause seeks to provide for processing of personal data necessary for purposes related to employment.

Clause 14.- This clause seeks to provide for other reasonable purposes for which personal data may be processed.

Clause 15.- This clause seeks to provide for categorisation of personal data as sensitive personal data and lists out criteria for such categorisation.

Clause 16.- This clause seeks to provide for obligations on data fiduciaries who processed personal data of children.

Clause 17.- This clause seeks to provide the data principal with the right to confirmation and access to his personal data.

Clause 18.- This clause seeks to provide the data principal with a right to correct and erase his personal data.

Clause 19.- This clause seeks to provide the data principal the right to port personal data to any data fiduciary.

Clause 20.- This clause seeks to provide the data principal the right to be forgotten.

Clause 21.- This clause seeks to lay down the general conditions for the exercise of the rights in clauses 17 to 20.

Clause 22.- This clause seeks to list out the constituents of privacy by design policy.

Clause 23.- This clause seeks to require transparency in processing of personal data by requiring the fiduciary to inform the data principal and making information available.

Clause 24.- This clause seeks to require the data fiduciary to implement necessary security safeguards.

Clause 25.- This clause seeks to require the data fiduciary to report to the Authority about breach of any personal data.

Clause 26.- This clause seeks to provide for classification of certain data fiduciaries as significant data fiduciaries including certain social media intermediaries.

Clause 27.- This clause seeks to require significant data fiduciaries to undertake data protection impact assessment.

Clause 28.- This clause seeks to require significant data fiduciaries to maintain accurate and up-to-date records, including requiring significant social media intermediaries to provide for voluntary verification mechanism.

Clause 29.- This clause seeks to require significant data fiduciaries to have their policies and conduct audited by data auditors.

Clause 30.- This clause seeks to require significant data fiduciaries to appoint a Data Protection Officer.

Clause 31.- This clause seeks to require data fiduciaries to ensure a contract for processing by other data processors.

Clause 32.- This clause seeks to require every data fiduciary to have a grievance redressal mechanism.

Clause 33.- This clause seeks to prohibit processing of sensitive personal data and critical personal data outside India.

Clause 34.- This clause seeks to list out conditions under which sensitive personal data and critical personal data could be transferred outside India.

Clause 35.- This clause seeks to empower the Central Government to exempt any agency of the Government from application of the Act.

Clause 36.- This clause seeks to provide for exemption of certain provisions of the Act for certain processing of personal data.

Clause 37.- This clause seeks to clarify that the Government could exempt certain data processors who are processing data of foreigners, from the application of this Act.

Clause 38.- This clause seeks to provide for exemption when personal data is processed for research, archival or statistical purposes.

Clause 39.- This clause seeks to provide for exemption for small entities who are engaged in manual processing of personal data.

Clause 40.- This clause seeks to provide for a Sandbox which can facilitate new ideas and approaches without any regulatory violations.

Clause 41.- This clause seeks to establish a regulator namely the Data Protection Authority of India (the Authority).

Clause 42.- This clause seeks to lift the compositions and qualifications for appointment of Chairperson and Members of the Authority and their method of selection.

Clause 43.- This clause seeks to list the terms and conditions of appointment for the Chairperson and Members of the Authority.

Clause 44.- This clause seeks to list the conditions under which a Chairperson or other Members of the Authority can be removed.

Clause 45.- This clause seeks to lay down that the powers of the Authority rests with the Chairperson

Clause 46.- This clause seeks to provide for the matters relating to meetings of the Authority.

Clause 47.- This clause seeks to provide that the proceedings of the Authority would not be invalidated due to vacancy, procedural irregularity, etc.

Clause 48.- This clause seeks to empower the Authority to appoint officers and other employees.

Clause 49.- This clause seeks to list the powers and functions of the Authority.

Clause 50.- This clause seeks to require the Authority to specify codes of practice to promote good practices of data protection.

Clause 51.- This clause seeks to empower the Authority to issue directions to any data fiduciary for the discharge of its functions.

Clause 52.- This clause seeks to empower the Authority to call for information from any data fiduciary

Clause 53.- This clause seeks to empower the Authority to conduct an inquiry into the affairs of a data fiduciary.

Clause 54.- This clause seeks to list out various actions that can be taken by the Authority pursuant to an inquiry

Clause 55.- This clause seeks to empower the Inquiry Officer of the Authority to order for search and seizure of documents, records, etc.

Clause 56.- This clause seeks to provide for coordination between the Authority and other regulators.

Clause 57.- This clause seeks to list out penalties for contravening certain provisions of the Act.

Clause 58.- This clause seeks to list out penalties for failure to comply with request made by data principal.

Clause 59.- This clause seeks to list out penalty for failure of the data fiduciary to furnish report, return, information to the Authority.

Clause 60.- This clause seeks to list out penalty for failure of the data fiduciary to comply with direction or order issued by the Authority.

Clause 61.- This clause seeks to list out penalty for contravention of any provision of this Act or rules or regulations made thereunder for which no separate penalty has been provided.

Clause 62.- This clause seeks to provide for appointment of Adjudicating Officer for adjudging penalties.

Clause 63.- This clause seeks to lay down the procedure for adjudication by Adjudicating Officer.

Clause 64.- This clause seeks to provide for data principal’s right to seek compensation from the data fiduciary in case of suffering harm.

Clause 65.- This clause seeks to ensure that compensation or penalties under this Act would not interfere with any other penalty or punishment.

Clause 66.- This clause seeks to lay down that penalties or compensation awarded under this Act may be recovered as arrear of land revenue.

Clause 67.- This clause seeks to lay down provisions relating to establishment of Appellate Tribunal.

Clause 68.- This clause seeks to list out qualifications, appointment, term, conditions of service of Chairperson and Members of Appellate Tribunal.

Clause 69.- This clause seeks to provide for filling up vacancies in the office of Chairperson and Members of Appellate Tribunal.

Clause 70.- This clause seeks to provide for staffing of Appellate Tribunal.

Clause 71.- This clause seeks to provide for distribution of business to different benches of the Appellate Tribunal.

Clause 72.- This clause seeks to provide for appeal to the Appellate Tribunal against any decision of the Authority.

Clause 73.- This clause seeks to lay down the procedure and powers of the Appellate Tribunal.

Clause 74.- This clause seeks to provide that the Appellate Tribunal shall have all the powers of a civil court.

Clause 75.- This clause seeks to provide for an appeal to the Supreme Court against any order of the Appellate Tribunal.

Clause 76.- This clause seeks to provide for the applicant or appellant to appear in person or authorise legal representative.

Clause 77.- This clause seeks to lay down that no civil court would have jurisdiction to entertain any suit on any matter which falls within the ambit of Appellate Tribunal.

Clause 78.- This clause seeks to provide for the Central Government to make grants to the Authority.

Clause 79.- This clause seeks to provide for constitution of the Data Protection Authority Fund.

Clause 80.- This clause seeks to require the Authority to maintain proper accounts which are to be audited by the Comptroller and Auditor-General of India.

Clause 81.- This clause seeks to require the Authority to furnish returns, statements, etc., to the Central Government.

Clause 82.- This clause seeks to list out punishment for the offence of reidentifying of deidentified personal data.

Clause 83.- This clause seeks to lays out that offence in Clause 82 to be cognizable and non-bailable.

Clause 84.- This clause seeks to list out provisions relating to commission of offence by companies.

Clause 85.- This clause seeks to list out provisions relating to commission of offence by any State Government or Central Government Department or agency.

Clause 86.- This clause seeks to empower the Central Government to issue directions to the Authority.

Clause 87.- This clause seeks to deem Members, officers etc. of the Authority to be public servants when acting pursuant to any provisions of the Act.

Clause 88.- This clause seeks to protect the Authority, Member, employee in case of action done under this Act in good faith.

Clause 89.- This clause seeks to exempts Authority from tax on income in respect of its income, profits.

Clause 90.- This clause seeks to empower the Authority to delegate its powers or functions to any Member or officer.

Clause 91.- This clause seeks to empower the Central Government to frame policies for digital economy in respect of non-personal data.

Clause 92.- This clause seeks to ban processing of certain forms of biometric data unless permitted by law.

Clause 93.- This clause seeks to empowers the Central Government to make rules to carry out the provisions of the Act.

Clause 94.- This clause seeks to empowers the Authority to make regulations consistent with the Act and rules made there under.

Clause 95.- This clause seeks to require that rules and regulations made under this Act are to be laid before the Parliament.

Clause 96.- This clause seeks to provide for the overriding effect of this Act notwithstanding anything inconsistent with any other law.

Clause 97.- This clause seeks to provide for power of Central Government to remove difficulties.

Clause 98.- This clause seeks to provide for related amendments to the Informations Technology Act, 2000.

FINANCIAL MEMORANDUM

1. Sub-clause (2) of clause 43 provides for the payment of salaries and allowances to the Chairperson, Members of the Authority.

2. Sub-clause (2) of clause 48 provides for the payment of salaries and allowances to the officers and employees of the Authority.

3. Sub-clause (2) of clause 68 provides for the payment of salaries and allowances to the Chairperson and Members of the Appellate Tribunal.

4. Sub-clause (3) of clause 70 provides for the payment of salaries and allowances to the officers and employees of the Appellate Tribunal.

5. For the aforesaid provisions, it would involve an expenditure of (recurring or non-recurring) one hundred crore rupees from the Consolidated Fund of India.

MEMORANDUM REGARDING DELEGATED LEGISLATION

1. Clause 93 of the Personal Data Protection Bill 2019 seeks to empower the Central Government to make rules for:

(a) categorization of sensitive personal data under section 15;

(b) verification of the age of child under sub-section (3) of section (3);

(c) the form and manner in which an application to enforce the right to be forgotten can be exercised under sub-section (2) of section 20 and the manner of review of order passed by the Adjudicating Officer under sub-section (4) of section 20;

(d) the methods of voluntary identification to identify users of social media under sub-section (3) and the identifying mark of verification of a voluntarily verified user under sub-section (4) of section 28;

(e) the manner in which a complaint regarding grievance redressal may be filed under sub-section (4) of section 32 ;

(f) the entity or class of entity in a country, or international organisations to which transfers may be permitted under clause (b) of sub-section (1) of section 34;

(g) the place of head office of the Authority under sub-section (3) of section 41;

(h) procedure to be followed by the Selection Committee under sub-section (3) of section 42;

(i) the salaries and allowances payable to, and other terms and conditions of service of the Chairperson and the Members of the Authority under sub-section (2) of section 43;

(j) the procedure for conducting any inquiry under sub-section (2) of section 44;

(k) the time and place for, and the rules and procedures in regard to, transaction of business at the meetings of the Authority under sub-section (1) of section 46;

(l) other functions of the Authority under clause (o) of sub-section (2) of section 49;

(m) the procedure of issuance of a code of practice under sub-section (4), the manner in which the Authority may review, modify or revoke a code of practice under sub-section (7), of section 50;

(n) other matters under clause (e) of sub-section (8) of section 53 in respect of which the Authority shall have powers;

(o) the number of Adjudicating Officers, manner and terms of their appointment, their jurisdiction and other requirements under sub-section (2) of section 62;

(p) the manner in which the Adjudicating Officer shall conduct an inquiry under sub-section (1) of section 63;

(q) the form and manner of making a complaint under sub-section (2), and the procedure for hearing of a complaint under sub-section (8) of section 64;

(r) the manner of appointment, term of office, salaries and allowances, resignation, removal and the other terms and conditions of service of the Chairperson and any member of the Appellate Tribunal under sub-section (2) of section 68;

(s) the procedure of filling of vacancies in the Appellate Tribunal under section 69;

(t) the salaries and allowances and other conditions of service of the officers and employees of the Appellate Tribunal under sub-section (3) of section 70;

(u) the form, manner and fee for filing an appeal or application, as the case may be, with the Appellate Tribunal under sub-section (1) of section 72;

(v) other matters under clause (i) of sub-section (2) of section 73 in respect of powers of the Appellate Tribunal;

(w) the form of accounts, other relevant records and annual statement of accounts under sub-section (1), the intervals at which the accounts of the Authority shall be audited under sub-section (2) of section 80;

(x) the time in which and the form and manner in which the returns, statements, and particulars are to be furnished to the Central Government under sub-section (1) and annual report under sub-section (2) of section 81;

(y) the manner in which the Central Government may issue a direction, including the specific purposes for which data is sought under sub-section (2) and the form of disclosure of such directions under sub-section (3) of section 91;

(z) any other matter which is required to be, or may be, prescribed, or in respect of which provision is to be made, by rules.

2. Clause 94 of the Bill empowers the Authority, with the previous approval of the Central Government, by notification, to make regulations consistent with the provisions of the Act and the rules made thereunder to provide for:

(a) information required to be provided by the data fiduciary to the data principal in its notice under clause (n) of sub-section (1) of section 7;

(b) manner in which the personal data retained by the data fiduciary must be deleted under sub-section (4) of section 9;

(c) the safeguards for protecting the rights of data principals under sub-section (3) of section 14; (d) the additional safeguards or restrictions under sub-section (2) of section 15;

(e) the manner of obtaining consent of the parent or guardian of a child under sub-section (2), the manner of verification of age of a child under sub-section (3), application of provision in modified form to data fiduciaries offering counselling or child protection services under sub-section (6) of section 16;

(f) the period within which a data fiduciary must acknowledge the receipt of request under sub-section (1), the fee to be charged under sub-section (2), the period within which request is to be complied with under sub-section (3), and the manner and the period within which a data principal may file a complaint under sub-section (4) of section 21;

(g) the manner for submission of privacy by design policy under sub-section (2) of section 22;

(h) the manner and the technical, operation, financial and other conditions for registration of the consent manager and its compliance under sub-section (5) of section 23;

(i) the manner of registration of significant data fiduciaries under sub-section (2) of section 26;

(j) the circumstances or classes of data fiduciaries or processing operations where data protection impact assessments shall be mandatory and instances where data auditor shall be appointed under sub-section (2), and the manner in which data protection officer shall review the data protection impact assessment and submit to the Authority under sub-section (4) of section 27;

(k) the form and manner for maintaining the records, and any other aspect of processing for which records shall be maintained under sub-section (1) of section 28;

(l) the other factors to be taken into consideration under clause (g) of sub-section (2); the form and procedure for conducting audits under sub-section (3); the manner of registration of auditors under sub-section (4); criteria on the basis of which rating in the form of a data trust score may be assigned to a data fiduciary under sub-section (6) of section 29;

(m) the qualification and experience of a data protection officer under sub-section (1) of section 30;

(n) the period within which transfer of personal data shall be notified to the Authority under sub-section (3) of section 34;

(o) the provisions of the Act and the class of research, archival or statistical purposes which may be exempted under section 38; (p) the remuneration, salary or allowances and other terms and conditions of service of such officers, employees, consultants and experts under sub-section (2) of section 48;

(q) the code of practice under sub-section (1) of section 50;

(r) the form and manner for providing information to the Authority by the data fiduciary under sub-section (3) of section 52; and

(s) any other matter which is required to be, or may be specified, or in respect of which provision is to be or may be made by regulations.

3. The matters in respect of which the aforementioned rules and regulations may be made are matters of procedure and administrative detail, and as such, it is not practicable to provide for them in the proposed Bill itself. The delegation of legislative power is, therefore, of a normal character.

ANNEXURE.- EXTRACTS FROM THE INFORMATION TECHNOLOGY ACT, 2000 (21 OF 2000)

43A. Where a body corporate, possessing, dealing or handling any sensitive personal data or information in a computer resource which it owns, controls or operates, is negligent in implementing and maintaining reasonable security practices and procedures and thereby causes wrongful loss or wrongful gain to any person, such body corporate shall be liable to pay damages by way of compensation to the person so affected.

Explanation.- For the purposes of this section,:

(i) «body corporate» means any company and includes a firm, sole proprietorship or other association of individuals engaged in commercial or professional activities;

(ii) «reasonable security practices and procedures» means security practices and procedures designed to protect such information from unauthorised access, damage, use, modification, disclosure or impairment, as may be specified in an agreement between the parties or as may be specified in any law for the time being in force and in the absence of such agreement or any law, such reasonable security practices and procedures, as may be prescribed by the Central Government in consultation with such professional bodies or associations as it may deem fit;

(iii) «sensitive personal data or information» means such personal information as may be prescribed by the Central Government in consultation with such profesional bodies or associations as it may deem fit.

87.

(1)

(2) In particular, and without prejudice to the generality of the foregoing power, such rules may provide for all or any of the following matters, namely:

(ob) the reasonable security practices and procedures and sensitive personal data or information under section 43A;

A BILL to provide for protection of the privacy of individuals relating to their personal data, specify the flow and usage of personal data, create a relationship of trust between persons and entities processing the personal data, protect the rights of individuals whose personal data are processed, to create a framework for organisational and technical measures in processing of data, laying down norms for social media intermediary, cross-border transfer, accountability of entities processing personal data, remedies for unauthorised and harmful processing, and to establish a Data Protection Authority of India for the said purposes and for matters connected therewith or incidental thereto.

(Shri Ravi Shankar Prasad, Minister of Law and Justice, Communications and Electronics and Information Technology)

LOK SABHA

CORRIGENDA to THE PERSONAL DATA PROTECTION BILL, 2019

[To be/As introduced in Lok Sabha]

1. Page 31, lines 37 and 38,-

for “than members to be appointed.” read “than three members to be appointed by the Central Government.”

2. Page 36, line 21,-

for “anything in this” read “anything contained in this”

3. Page 38, line 31,- for “require to be,” read “required to be,”

NEW DELHI;

9 December, 2019

05Abr/19

Data Protection (Jersey) Law 2018, 8th February 2018

Data Protection (Jersey) Law 2018, 8th February 2018 (Registered by the Royal Court  16th February 2018)

A LAW to make new and consolidated provision relating to the protection of natural persons with regard to the processing and free movement of personal data and for connected purposes.

Adopted by the States                                              18th January 2018

Sanctioned by Order of Her Majesty in Council    8th February 2018

Registered by the Royal Court                              16th February 2018

THE STATES, subject to the sanction of Her Most Excellent Majesty in Council, have adopted the following Law:

PART 1.- INTRODUCTORY

1.- Interpretation

(1) In this Law:

“Authority” means the Data Protection Authority established by Article 2 of the Authority Law;

“Authority Law” means the Data Protection Authority (Jersey) Law 2018 [1];

“appropriate safeguards”, in relation to the protection of personal data or the rights and freedoms of natural persons includes:

(a) technical or organizational measures to ensure that the personal data are processed fairly;

(b) encryption or pseudonymization of the personal data concerned; and

(c) duties imposed by law, such as duties of confidentiality or secrecy;

“automated processing” includes profiling;

“biometric data” means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, that allow or confirm the unique identification of that natural person, such as facial images or fingerprint data;

“binding corporate rules” means personal data protection policies that are adhered to by a controller or processor established in the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises, engaged in a joint economic activity;

“business” includes any activity, trade or profession, whether or not carried on for profit and for clarity includes any such activity, trade or profession carried on for a charity or other not-for-profit body;

“code” means a code of conduct approved by the Authority under Article 78 and includes any amendment or extension of such a code;

“competent supervisory authority” means any supervisory authority with jurisdiction to regulate the controller or processor in question;

“controller” means the natural or legal person, public authority, agency or other body that, whether alone or jointly with others, determines the purposes and means of the processing of personal data, and where those purposes and means are determined by the relevant law, the controller or the specific criteria for its nomination may be provided for by such law;

“data” means information that:

(a) is being processed by means of equipment operating automatically in response to instructions given for that purpose;

(b) is recorded with the intention that it should be processed by means of such equipment;

(c) is recorded as part of a filing system or with the intention that it should form part of a filing system; or

(d) is recorded information held by a scheduled public authority and does not fall within any of sub-paragraphs (a) to (c);

“data concerning health” means personal data related to the physical or mental health of a natural person, including the provision of health care services, that reveal information about his or her health status;

“data protection impact assessment” has the meaning assigned by Article 16(1);

“data protection officer” means the person appointed as such under Article 24;

“data protection principles” means the requirements set out in Article 8(1);

“data subject” has the meaning assigned by Article 2;

“enterprise” means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

“evidence of certification” means evidence of certification granted in accordance with a mechanism established by Regulations made under Article 80;

“filing system” means any set of personal data that, although the data is not processed by means of equipment operating automatically in response to instructions given for that purpose, is structured, either by reference to natural persons or to criteria relating to natural persons, in such a way that specific information relating to a particular natural person is readily accessible and whether the criteria is centralised, decentralised or dispersed on a functional or geographical basis;

“establishment”, in the context of establishment in a territory or jurisdiction, means the effective and real exercise of activity through arrangements that are stable but that need not take any particular legal form and whether or not via a branch or subsidiary with a legal personality;

“GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (OJ L 119/1 4.5.2016);

“genetic data” means personal data relating to the inherited or acquired genetic characteristics of a natural person that give unique information about the physiology or the health of that natural person and that result, in particular, from an analysis of a biological sample from the natural person in question such as DNA or RNA analysis;

“group of undertakings” means a controlling undertaking and its controlled undertakings;

“health professional” means:

(a) a person lawfully practising as a medical practitioner, dentist, optometrist, dispensing optician, pharmacist, nurse, midwife or health visitor, osteopath, chiropractor, clinical psychologist, child psychotherapist or speech therapist;

(b) a music therapist employed by a body lawfully providing health services;

(c) a scientist employed by such a body as head of a department; or

(d) any person who may be prescribed;

“health record” means a record that:

(a) consists of data concerning health; and

(b) has been made by or on behalf of a health professional in connection with the care of that individual;

“information society service” means, subject to paragraph (3), a service normally provided for remuneration:

(a) without the parties being present at the same time;

(b) that is sent initially and received at its destination by means of electronic equipment for the processing (including digital compression) and storage of data, and entirely transmitted, conveyed and received by wire, by radio, by optical means or by other electromagnetic means; and

(c) through the transmission of data on individual request;

“international organization” means an organization and its subordinate bodies governed by public international law, or any other body that is set up by, or on the basis of, an agreement between 2 or more countries;

“joint controller” has the meaning assigned by Article 7(1);

“large scale” means large scale having regard to the number of data subjects, volume or range of data being processed, duration or permanence of the activity and geographical extent;

“Law Enforcement Directive” means Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119/89 4.5.16);

“law enforcement purpose” means any of the following purposes, namely the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against, and the prevention of, threats to public security;

“Member State” means a Member State of the European Union;

“Minister” unless otherwise indicated, means the Chief Minister;

“parental responsibility” has the same meaning as in the Children (Jersey) Law 2002 [2];

“personal data” has the meaning assigned by Article 2(1);

“personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed;

“prescribed” means prescribed by Regulations;

“processing” means any operation or set of operations that is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

“processor” means a natural or legal person, public authority, agency or other body that processes personal data on behalf of the controller, but does not include an employee of the controller;

“profiling” means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

“pseudonymization” has the meaning assigned by Article 3;

“public authority” means:

(a) the States Assembly including the States Greffe;

(b) a Minister;

(c) a committee or other body established by a resolution of the States or by, or in accordance with, standing orders of the States Assembly;

(d) an administration of the States;

(e) a Department referred to in Article 1 of the Departments of the Judiciary and the Legislature (Jersey) Law 1965 [3];

(f) any court or tribunal;

(g) the States of Jersey Police Force;

(h) a parish;

(i) the holder of a public office;

(j) in relation to any country other than Jersey, any person exercising or performing functions or holding any office similar or comparable to any of the persons described in sub-paragraphs (a) to (i); and

(k) any other person or body (whether incorporated or unincorporated) that exercises functions of a public nature;

“recipient”, in relation to any personal data, means any person to whom the data are disclosed, whether a third party or not, but does not include a public authority to whom disclosure is or may be made in the framework of a particular inquiry in accordance with the relevant law;

“Regulations” means Regulations made by the States;

“relevant law” means the law of Jersey, another jurisdiction in the British Islands, a Member State or the European Union;

“representative” means a representative nominated by the controller under Article 4(3);

“restriction of processing” means the marking of stored personal data with the aim of limiting their processing in the future;

“scheduled public authority” has the same meaning as in the Freedom of Information (Jersey) Law 2011 [4];

“States’ employee” has the same meaning as in Article 2 of the Employment of States of Jersey Employees (Jersey) Law 2005 [5];

“special category data” means:

(a) data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade union membership;

(b) genetic or biometric data that is processed for the purpose of uniquely identifying a natural person;

(c) data concerning health;

(d) data concerning a natural person’s sex life or sexual orientation; or

(e) data relating to a natural person’s criminal record or alleged criminal activity;

“special purposes” means:

(a) academic purposes;

(b) the purpose of journalism;

(c) artistic purposes; or

(d) literary purposes;

“supervisory authority” means an independent public authority established under the relevant law for the purposes of the GDPR or equivalent legislation;

“third country” means a country or territory outside the European Economic Area other than Jersey;

“third party” means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who are authorized to process personal data under the direct authority of the controller or processor;

“transparency and subject rights provisions” means:

(a) the first data protection principle set out in Article 8(1)(a), to the extent that it requires data to be processed transparently;

(b) the provisions as to information to be provided to a data subject under Article 12; and

(c) the rights of data subjects set out in Part 6.

(2) If personal data are processed for purposes for which they are required to be processed by or under an enactment, the person on whom the obligation to process the data is imposed is, in relation to the data, the controller for the purposes of this Law.

(3) The Minister may, by Order, specify the services that do or do not fall within the definition “information society service”, by reference either to individual services or by class or description.

(4) Regulations may amend any of the definitions in paragraph (1).

2.- Personal data and data subject

(1) Personal data means any data relating to a data subject.

(2) A data subject is an identified or identifiable, natural, living person who can be identified, directly or indirectly, by reference to (but not limited to) an identifier such as:

(a) a name, an identification number or location data;

(b) an online identifier; or

(c) one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of the person.

(3) The following matters must be taken into account in deciding whether the person is identified or identifiable:

(a) the means reasonably likely to be used by the controller or another person to identify the person, taking into account factors such as the cost and amount of time required for identification in the light of the available technology at the time of processing and technological factors;

(b) whether the personal data, despite pseudonymization, is capable of being attributed to that person by the use of information other than that kept separately for the purposes of pseudonimization.

(4) In this Article “identifier” means a number or code (including any unique number or code issued to the individual by a public authority) assigned to an individual by a controller or processor for the purposes of its operations that uniquely identifies the individual and includes location data.

3.- Pseudonymization

(1) In this Law “pseudonymization” means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, and where that additional information is kept separately and is subject to technical and organizational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.

(2) Pseudonymization may be achieved even though the additional information that would enable the attribution of the data to a specific data subject is retained within the controller’s organization provided that the controller maintains records indicating who has access to that additional information.

4.- Application

(1) This Law does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity (but applies to controllers or processors that provide the means for processing personal data for such an activity).

(2) This Law applies to the processing of personal data:

(a) in the context of a controller or processor established in Jersey;

(b) by a controller or processor not established in Jersey but who uses equipment in Jersey for processing the data otherwise than for the purposes of transit through Jersey; or

(c) by a controller or processor not established in Jersey where the processing:

(i) relates to data subjects who are in Jersey, and

(ii) is for the purpose of offering goods or services to persons in Jersey or monitoring the behaviour of such persons.

(3) A controller referred to in paragraph (2)(b) must nominate, in writing and for the purposes of this Law, a representative established in Jersey.

(4) For the purposes of paragraphs (2) and (3), each of the following is to be treated as established in Jersey:

(a) a natural person who is ordinarily resident in Jersey;

(b) a body incorporated under the law of Jersey;

(c) a partnership or other unincorporated association formed under the law of Jersey;

(d) any person who does not fall within sub-paragraph (a), (b) or (c) but maintains in Jersey:

(i) an office, branch or agency through which the person carries on any processing of personal data, or

(ii) a regular practice that carries on any processing of personal data; or

(e) any person engaging in effective and real processing activities through stable arrangements in Jersey.

(5) Schedule 1 has effect to modify the application of this Law where the processing of personal data is carried out:

(a) by a controller that is a competent authority; and

(b) for a law enforcement purpose, and Regulations may amend Schedule 1 in order to make further provision for such purposes.

(6) Regulations may also amend Schedule 1 so as to:

(a) add or remove any person or body to the list of competent authorities;

(b) ensure that the Law provides equivalent protection for personal data to that provided under the Law Enforcement Directive or by another jurisdiction in the British Islands; or

(c) make provision as to personal data contained in a judicial decision or record or case file processed in the course of a criminal investigation or proceedings.

(7) In this Article “competent authority” means:

(a) any person, body or other entity listed in paragraph 1 of Schedule 1; and

(b) any other person, body or other entity who exercises a function for a law enforcement purpose in Jersey, but does not include the security and intelligence services of the Government of the United Kingdom.

5.- Processing that does not require identification

(1) If the purposes for which a controller processes personal data do not, or no longer, require the identification of a data subject by the controller, the controller is not obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Law.

(2) Where paragraph (1) applies and the controller is able to demonstrate that it is no longer able to identify the data subject, Articles 28 to 34 do not apply except where the data subject, for the purposes of exercising his or her rights under those Articles, provides additional information enabling his or her identification.

PART 2.- FUNDAMENTAL DUTIES OF CONTROLLERS

6.- General duties and accountability

(1) A controller:

(a) is responsible for, and must be able to demonstrate compliance with, the data protection principles in the manner provided for in this Law;

(b) if established in Jersey, may process personal data or cause it to be processed only if the controller is registered under Article 17 of the Authority Law;

(c) must pay such charges to the Authority as Regulations under Article 18 of the Authority Law may prescribe;

(d) in planning and implementing the processing of personal data, must ensure that appropriate safeguards for the rights of data subjects are put in place by design and by default in accordance with Article 15;

(e) must comply with the record-keeping requirements and disclose the records covered by those requirements on request to the Authority;

(f)  where a processor is appointed, must appoint a processor only in accordance with Article 19;

(g) must report any personal data breach in the manner and to the extent required by Article 20 unless Part 7 applies;

(h) must appoint a data protection officer where so required by Article 24;

(i) must co-operate with any requests of the Authority under this Law or the Authority Law; and

(j) must comply with any order of the Authority under Article 25 of, and notice of the Authority under paragraph 1 of Schedule 1 to, the Authority Law.

(2) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with a particular obligation under this Law.

(3) The record keeping requirements do not apply in the case of organizations with fewer than 250 employees unless the processing:

(a) is likely to result in a risk to the rights and freedoms of data subjects;

(b) is not occasional; or

(c) includes special category data or relates to criminal convictions or related security measures.

(4) The Authority must take into account the specific needs of different sizes of enterprise in the application of this Law.

(5) Regulations may make further provision to modify or limit the application of paragraph (1) in the case of organizations mentioned in paragraph (3) and may amend the description of those organizations.

(6) In this Article “record keeping requirements” means the requirements with respect to record keeping set out in Articles 3(2) and 14(3).

7.- Joint controllers

(1) Where 2 or more controllers jointly determine the purposes and means of the processing of personal data they are joint controllers.

(2) Joint controllers must make arrangements between themselves in a transparent manner so as to apportion their responsibilities in advance of the processing of personal data.

(3) Joint controllers must make a summary of the arrangements available to data subjects and may designate a contact point to facilitate communication between data subjects and joint controllers.

(4) Regardless of the terms and conditions of any arrangement under paragraph (2) or any other agreement:

(a) a data subject may exercise any right that he or she has under this Law against any joint controller; and

(b) each joint controller is jointly and severally liable for any damage caused by processing if it is in contravention of this Law.

(5) Where a joint controller proves that it had no responsibility for the damage, it may be exempted from liability.

(6) Paragraphs (1) to (3) do not apply where the respective responsibilities of joint controllers are clearly determined by law (otherwise than under this Article).

(7) Any joint controller may bring proceedings against any other joint controller to recover that part of the compensation corresponding to the other joint controller’s part of responsibility for the damage.

(8) Regulations may make further provision about the respective roles of joint controllers, including the circumstances in which a joint controller is treated as being a sole controller.

8.- Data protection principles

(1) A controller must ensure that the processing of personal data in relation to which the controller is the controller complies with the data protection principles, namely that data are:

(a)  processed lawfully, fairly and in a transparent manner in relation to the data (“lawfulness, fairness and transparency”);

(b) collected for specified, explicit and legitimate purposes and once collected, not further processed in a manner incompatible with those purposes (“purpose limitation”);

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimization”);

(d) accurate and, where necessary, kept up to date, with reasonable steps being taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (“accuracy”);

(e) kept in a form that permits identification of data subjects for no longer than is necessary for the purposes for which the data are processed (“storage limitation”); and

(f) processed in a manner that ensures appropriate security of the data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures (“integrity and confidentiality”).

(2) In relation to:

(a) paragraph (1)(b), further processing for the purposes specified in paragraph 17 of Schedule 2 (archiving and research) is not to be taken as incompatible with the initial purposes for which the data was collected;

(b) paragraph (1)(e), personal data may be stored to the extent necessary for the purposes specified in paragraphs 7 (other legal obligations) and 17 of Schedule 2 subject to implementation of the appropriate technical and organization measures required by this Law in order to safeguard the rights and freedoms of the data subject.

9.- Lawful processing

(1) The processing of personal data that would otherwise be lawful is lawful for the purposes of this Law only if it meets at least one of the conditions specified in Schedule 2.

(2) However, in the case of any processing of data that includes special category data, it must meet at least one of the conditions mentioned in Part 2 of Schedule 2.

10.- Fair and transparent processing

(1) To determine the fairness of processing personal data regard must be had to whether the method by which the data are obtained, including in particular whether any person from whom they are obtained is deceived or misled as to the purpose or purposes for which they are to be processed.

(2) Personal data are regarded as obtained fairly if they consist of information obtained from a person who:

(a) is authorized by or under any enactment to supply it; or

(b) is required to supply it by or under any enactment or any international agreement imposing an international obligation on Jersey.

(3) In order that personal data may be processed fairly and transparently, a controller must:

(a) facilitate the exercise of the rights of data subjects under Part 6;

(b) act on a data subject’s request unless the controller is unable to do so because the data subject cannot be identified or the processing is exempted from such a requirement under this Law.

11.- Consent to processing

(1) In this Law, “consent”, in relation to the processing of a data subject’s personal data, means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, whether orally or in writing, signifies agreement to the processing of that data.

(2) Consent:

(a) is not informed unless the data subject is aware of the identity of the controller who will process the data and the purposes of the processing for which the personal data are intended;

(b) is not freely given if it does not allow separate consent to be given to different personal data processing operations where it is appropriate in the individual case.

(3) To establish the presence of such consent, the controller must be able to demonstrate that:

(a) the request for consent was in a concise, intelligible and easily accessible form;

(b) where that request was in writing together with other matters, that it was clearly distinguishable from those other matters;

(c) where the request for consent was by electronic means, that it was sought in a way that was not unnecessarily disruptive to the use of the service for which the request was provided;

(d) where consent was sought for the purposes of the performance of a contract that includes the provision of a service:

(i) consent was necessary for the performance of the contract, or

(ii) if it was not necessary, the controller has advised the data subject that he or she may refuse separate consent for the provision of the service without prejudice to the performance of the contract;

(e) the data subject was informed of the right to withdraw consent at any time and that it was as easy to withdraw consent as it was to give it; and

(f) the controller has made reasonable efforts to verify that the person giving the consent is who the person claims to be, particularly where that person claims to be the person authorized to consent for a child under the age of 13.

(4) A child under the age of 13 may not give valid consent to the processing of his or her personal data by a controller for the purposes of an information society service but valid consent on behalf of that child may be given by a person with parental responsibility for him or her.

(5) Consent is taken to cover all processing activities carried out for the same purpose for which it is given and separate consent is required for each separate purpose.

(6) The States may make Regulations:

(a) amending the age of consent in paragraphs (3)(f) or (4), providing exceptions to the inability of the child to consent and making further provision as to the steps that the controller must take to verify:

(i) the age and identity of the child and any person purporting to given consent on his or her behalf, and

(ii) that the person has actually given consent;

(b) governing the effect of consent where personal data is to be used for the purposes of scientific research.

12.- Information to be provided to data subject

(1) A controller must ensure as far as practicable that where personal data have been obtained by the controller from the data subject, the data subject is provided with, or has made readily available to him or her, the specified information at the same time as the data are obtained.

(2) Where personal data were not obtained from the data subject, the controller must ensure that the specified information is provided or made readily available to the data subject before the relevant time except where:

(a) the data were are already in his or her possession;

(b) paragraph (6) applies; or

(c) Regulations so specify.

(3) For the purposes of this Article, the relevant time is:

(a) a reasonable period after obtaining the personal data, but at the latest within 4 weeks, having regard to the specific circumstances in which the personal data are processed;

(b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or

(c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.

(4) For the purposes of this Article, the specified information is all of the following:

(a) the identity and contact details of the controller, and (where applicable), the controller’s representative;

(b) the contact details of the data protection officer (if any);

(c) the purposes for which the data are intended to be processed and the legal basis for the processing;

(d) an explanation of the legitimate interests pursued by the controller or by a third party, if the processing is based on those interests;

(e) the recipients or categories of recipients of the personal data (if any);

(f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organization and whether or not there is an adequate level of protection for the rights and freedoms of data subjects within the meaning of Article 66;

(g) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

(h)information concerning the rights of data subjects under Part 6, to the extent that these apply;

(i) where the processing is based on consent, the existence of the right to withdraw consent under Article 11(3)(e);

(j) the existence of any automated decision-making, as referred to in Article 38, and any meaningful information about the logic involved in such decision-making as well as the significance and the envisaged consequences of such processing for the data subject;

(k) a statement of the right to complain to the Authority;

(l)  whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and the possible consequences of failing to provide such data;

(m) where the personal data are not obtained directly from the data subject, information identifying the source of the data;

(n) any further information that is necessary, having regard to the specific circumstances in which the data are or are to be processed, to enable processing in respect of the data subject to be fair.

(5) The specified information:

(a) must be provided in an intelligible form using clear language;

(b) may be supplemented by standardized machine-readable icons, and if so, the use of such icons is subject to such requirements that the Minister may, by Order, prescribe.

(6) Paragraph (2) does not apply if the controller believes that:

(a) providing the specified information is impossible, would involve a disproportionate effort on the part of the controller, or is likely to prejudice the objectives of the processing and the controller records the reasons for its belief and retains this record while it retains the data; or

(b) the recording of the information to be contained in the data, or the disclosure of the data by the controller, is necessary for compliance with any legal obligation to which the controller is subject, other than an obligation imposed by contract; or

(c) the data are held subject to an obligation of professional secrecy regulated by law (whether in Jersey or elsewhere).

(7) Where the controller does not provide the information the controller must take appropriate measures to protect the data subject’s rights and interests, which may include making the specified information publicly available.

13.- Purposes of processing

(1) Paragraph (2) applies where personal data are processed for a purpose other than that for which they were collected without the consent of the data subject and such processing is not authorized by the relevant law.

(2) Where this paragraph applies, the controller must assess whether that processing is compatible with the purposes for which the personal data were collected by taking into account factors that include:

(a) any link between the purposes for which the data have been collected and the purposes of the intended further processing;

(b)  the context in which the data have been collected, in particular regarding the relationship between data subjects and the controller;

(c) the nature of the data, in particular whether it is special category data;

(d) the possible consequences of the intended further processing for data subjects; and

(e) the existence of appropriate safeguards.

(3) Where the controller intends to process personal data further, for a purpose other than that for which the data were collected, the controller must provide the data subject with information on that other purpose, together with the specified information referred to in Article 12(4) before that further processing takes place.

PART 3.- OTHER DUTIES OF CONTROLLERS

14.- Duty to comply with Law and keep records

(1) A controller is responsible for:

(a) implementing proportionate technical and organizational measures to ensure processing is performed in accordance with this Law; and

(b) demonstrating that those measures are in place so that processing is indeed performed in accordance with this Law.

(2) The measures referred to in paragraph (1) may include the adoption of appropriate data protection policies by the controller.

(3) The controller and any representative of the controller must maintain a written record of the processing activities for which the controller or representative is responsible containing:

(a) the name and contact details of the controller and any joint controller, representative of the controller or data protection officer;

(b) the purposes of the processing;

(c) a description of the categories of data subjects and personal data processed;

(d) a description of the recipients (if any) to whom the controller intends to, or may wish to, disclose the data;

(e) where it is envisaged that data will be transferred to a third country or an international organization, the name of that country or organization, and in the case of transfers referred to in paragraph 9 of Schedule 3, the appropriate safeguards that are put in place;

(f) where possible, the envisaged data retention periods for different categories of data; and

(g) where possible, a general description of the technical and organizational measures implemented in respect of the processed data.

(4) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with this Article.

(5) In this Article “proportionate” means proportionate having regard to:

(a) the nature, scope, context and purposes of processing;

(b) the risk and likelihood of prejudice to the rights of data subjects;

(c) best practices in technical and organizational measures;

(d) the state of technological development; and

(e) the costs of implementation.

15.- Data protection by design and by default

(1) A controller must, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organizational measures that are designed to:

(a) implement the data protection principles in an effective manner; and

(b) integrate the necessary safeguards into the processing to meet the requirements of this Law and protect the rights of data subjects.

(2) In determining whether or not a measure is appropriate for the purposes of this Article, regard must be had to the state of technological development, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing.

(3) The technical and organizational measures must ensure as far as practicable that, by default:

(a) only personal data that are necessary for each specific purpose of the processing are processed; and

(b) personal data are not made accessible to an indefinite number of natural persons without the data subject’s consent or other lawful authority.

(4) Paragraph (3) applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility.

(5) Adherence to a code or evidence of certification may provide evidence that an individual controller has or has not contravened paragraph (1).

16.- Data protection impact assessments required for high risk processing

(1) Where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons, a controller must carry out an assessment of the impact of the envisaged processing operations on the protection of personal data before the processing, to be known as a data protection impact assessment.

(2) In assessing the risk to the rights and freedoms of natural persons, regard must be had in particular to the use of new technologies, and the nature, scope, context and purposes of the processing.

(3) Where more than one processing operation is similar as to the degree of risk involved, the risks may be assessed using a single assessment.

(4) When carrying out a data protection impact assessment, the controller must seek the advice of the data protection officer, where one is appointed.

(5) A data protection impact assessment is, in particular, required in the case of:

(a) a systematic and extensive evaluation of personal aspects relating to natural persons that is based on automated processing, and on which decisions are based that produce legal effects concerning, or similarly significantly affecting, those persons;

(b) the processing of special category data on a large scale; or

(c) a systematic monitoring of a publicly accessible area on a large scale.

(6) A data protection impact assessment must contain the following minimum requirements:

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) an assessment of the risks to the rights and freedoms of natural persons referred to in paragraph (1); and

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Law, taking into account the rights and legitimate interests of any person.

(7) The Authority may publish a list of the types of processing operation that are subject to the requirement for a data protection impact assessment and those types of processing operation for which no data protection impact assessment is required.

(8) Where appropriate, the controller must seek the views of data subjects or their representatives on the intended processing, without limiting the protection of commercial or public interests or the security of processing operations.

(9) Paragraphs (1) to (6) do not apply where:

(a) processing in accordance with paragraphs 4 (public functions) and 7 (other legal obligations) of Schedule 2 has a legal basis and is regulated by the relevant law; and

(b) a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis.

(10) The controller must review, and where appropriate, revise the data protection impact assessment where:

(a) there is a change in the risks posed to the rights and freedoms of data subjects by the processing operations; or

(b) the controller otherwise considers it necessary.

(11) A review under paragraph (10) must include a review of:

(a) whether the processing operations being carried out accord with those described in the data protection impact assessment; and

(b) whether the measures established and carried out to address the risks of processing accord with those envisaged in the data protection impact assessment.

17.- Prior consultation required for high risk processing

(1) This Article applies where a data protection impact assessment indicates that any processing would pose a high risk to the rights and freedoms of natural persons in the absence of measures taken by the controller to mitigate the risk.

(2) Before starting the processing, the controller must consult the Authority giving the following information in writing:

(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the proposed processing, in particular for processing within a group of undertakings;

(b) a copy of the data protection impact assessment;

(c) the contact details of any data protection officer; and

(d) any other information required by the Authority.

(3) Where the Authority considers that the proposed processing would be in contravention of this Law, in particular where the controller has insufficiently identified or mitigated the risk, the Authority:

(a) must give written notice of its opinion to the controller and, where applicable to the processor; and

(b) may exercise any power conferred on the Authority by this Law or the Authority Law in relation to a contravention or potential contravention of a requirement of this Law.

(4) The Authority must give the notice required by paragraph (3)(a):

(a) without undue delay; and

(b) in any event within 8 weeks of receiving the information from the controller under paragraph (2).

(5) The Authority may extend the period in paragraph (4)(b) by a further 6 weeks taking into account the complexity of the intended processing, but in this case, the Authority must inform the controller and, where applicable, the processor, of the extension and the reasons for it within 4 weeks of receiving the information from the controller under paragraph (2).

(6) If the Authority has requested information from the controller or the processor for the purposes of the consultation, any period of time spent awaiting the provision of that information must be discounted from each period specified in paragraph (4)(b) or (5).

18.- Prior consultation required for high risk legislation

(1) This Article applies where any draft Law or Regulations, or any proposal under Article 31 of the States of Jersey Law 2005 [6], is or are to be lodged au Greffe in accordance with standing orders [7] made under Article 48 of that Law, or any draft Jersey legislation that a Minister is responsible for making is to be made:

(a) that would require, authorize or otherwise relate to the processing of personal data; and

(b) taking into account the nature, scope and purposes of the processing, is likely to result in a high risk to the rights and freedom of natural persons.

(2) The Minister or other person responsible for the lodging or making, as the case may be, must consult the Authority by means of a written notice, to be known as a “consultation notice”.

(3) The consultation notice must include any data protection impact assessment carried out in connection with the proposed processing of personal data mentioned in paragraph (1)(a) and, unless included within such an assessment:

(a) a systematic description of the proposed processing (including the means of processing), its purposes and the objectives of the provisions of the legislation effecting it;

(b) an assessment of the necessity (including proportionality) of the proposed processing in relation to those objectives;

(c) an assessment of the risks to the rights and freedoms of data subjects posed by the processing; and

(d) the measures envisaged to address those risks, including appropriate safeguards, security measures and mechanisms to ensure the protection of personal data and demonstrate compliance with this Law, taking into account the rights and freedoms of data subjects.

19.- Appointment of processor

(1) Where processing is to be carried out on behalf of a controller, the controller must use only processors that provide sufficient guarantees to implement appropriate technical and organizational measures in such a manner that processing will meet the requirements of this Law and ensure the protection of the rights of the data subject.

(2) The processor must not engage another processor without prior specific or general written authorization of the controller, and where the authorization is general, the processor must inform the controller of any intended changes concerning the addition or replacement of other processors, so that the controller may object to the changes.

(3) Processing by a processor must be governed by a contract or other legal act under the relevant law, that:

(a) is binding on the processor with regard to the controller; and

(b) sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller.

(4) The contract or other legal act must, in particular, stipulate that the processor:

(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organization, unless required to do so by the relevant law to which the processor is subject, in which case the processor must inform the controller of that legal requirement before processing, unless that law prohibits such information being given;

(b) ensures that persons authorized to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

(c) takes all measures required by Article 21;

(d) respects the conditions referred to in paragraphs (2), (6) and (7) for engaging another processor;

(e) taking into account the nature of the processing, assists the controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights set out in Part 6;

(f) assists the controller in ensuring compliance with the obligations under Articles 16, 20 and 21, taking into account the nature of processing and the information available to the processor;

(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless the relevant law requires storage of the personal data;

(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allows for and contributes to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

(5) With respect to paragraph (4)(h), the processor must immediately inform the controller if, in its opinion, an instruction infringes this Law or other data protection provisions of the relevant law.

(6) Where the processor engages another processor the obligations set out in paragraph (4) must, in particular, provide sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of this Law and where that other processor fails to fulfil those obligations, the initial processor remains fully liable to the controller for the performance of that other processor’s obligations.

(7) Adherence to a code or evidence of certification may provide evidence that an individual processor has complied with paragraphs (1) and (6).

(8) Without limiting the provisions of an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraph (4) may be based, in whole or in part, on standard contractual clauses as referred to in paragraph (9).

(9) The Authority may publish standard contractual clauses for the matters referred to in paragraphs (4) to (6).

(10) The contract or the other legal act referred to in this Article must be in writing.

20.- Notification of breach

(1) In the case of a personal data breach, the controller must, without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach in writing to the Authority in the manner required by the Authority, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

(2) If the notification to the Authority is not made within 72 hours, it must be accompanied by reasons for the delay.

(3) The notification referred to in paragraph (1) must:

(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;

(c) describe the likely consequences of the personal data breach; and

(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

(4) Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

(5) The controller must document any personal data breaches, including the facts relating to the personal data breach, its effects and the remedial action taken, in such detail as will enable the Authority to verify compliance with this Article.

(6) If the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller must communicate the breach to the data subject:

(a) without undue delay; and

(b) in clear and plain language describing the nature of the personal data breach; and

(c) giving the information referred to in paragraph (3)(b) to (d).

(7) Despite paragraph (6) communication is not required if:

(a) the controller has implemented proportionate technical and organizational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular measures that render the personal data unintelligible to any person who is not authorized to access it, such as encryption;

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph (6) is no longer likely to materialize; or

(c) it would involve disproportionate effort, in which case there must instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

(8) If the controller has not already communicated the personal data breach to the data subject, the Authority, having considered the likelihood of the personal data breach resulting in a high risk to the rights and freedoms of natural persons, may require it to do so or may decide that any of the conditions referred to in paragraph (7) are met.

PART 4.- JOINT SECURITY DUTY AND DUTIES OF PROCESSORS

21.- Security of personal data

(1) Controllers and processors must implement technical and organizational measures against unauthorized or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data that are proportionate to the risk of harm posed to the rights of data subjects by such events.

(2) The technical measures that the controller may take to ensure a level of security appropriate to the risk include:

(a) the pseudonymization and encryption of personal data;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.

(3) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with paragraph (1).

(4) Controllers and processors must take reasonable steps to ensure the proper performance of duties by any person under the controller’s or the processor’s authority.

(5) If processing of personal data is carried out by a processor on behalf of a controller, the controller must:

(a) choose a processor providing sufficient guarantees in respect of the technical and organizational security measures governing the processing to be carried out; and

(b) take reasonable steps to ensure compliance with those measures.

(6) If processing of personal data is carried out by a processor on behalf of a controller, the processing must be carried out under a contract:

(a) that is made or evidenced in writing;

(b) under which the processor is to act only on instructions from the controller; and

(c) that requires the processor to comply with obligations equivalent to those imposed on a controller under this Article.

(7) The Minister may, by Order, amend the technical measures in paragraph (2).

(8) In this Article “proportionate” means proportionate having regard to:

(a) the nature, scope, context and purposes of processing;

(b) the risk and likelihood of prejudice to the rights of data subjects;

(c) best practices in technical and organizational measures;

(d) the state of technological development; and

(e) the costs of implementation.

22.- General obligations on processors

(1) A processor must:

(a) if established in Jersey, cause or permit personal data to be processed only if the processor meets the requirement to be registered under Article 17 of the Authority Law;

(b) pay such charges to the Authority as Regulations under Article 18 of the Authority Law may prescribe;

(c) comply with the requirements on processors set out in Articles 19 and 23;

(d) implement appropriate technical and organizational security measures to protect personal data against accidental or unlawful destruction or loss, alteration, unauthorized disclosure or access;

(e) keep records of the processor’s data processing activities in accordance with this Law and disclose them on request to the Authority;

(f)  ensure that any personal data that it processes are kept confidential;

(g) notify the controller without undue delay after becoming aware of a personal data breach;

(h) appoint a data protection officer if required to do so by Article 24;

(i) comply with Article 65 regarding cross-border data transfers;

(j) co-operate with any requests of the Authority under this Law or the Authority Law; and

(k) comply with any order of the Authority under Article 25 of, and an information notice of the Authority under paragraph 1 of Schedule 1 to, the Authority Law.

(2) Paragraph (1)(e) does not apply in the case of organizations with fewer than 250 employees unless the processing:

(a) is likely to result in a risk to the rights and freedoms of data subjects;

(b) is not occasional; or

(c) includes special category data or relates to criminal convictions or related security measures.

(3) A processor is liable to a data subject for any damage suffered as a result of processing that contravenes this Law.

(4) However, the processor is liable for the damage only where:

(a) it has not complied with the obligations placed on processors by this Law; or

(b) it acted outside of or contrary to the lawful instructions of the controller.

(5) Adherence to a code or evidence of certification may provide evidence that an individual processor has complied with a particular obligation of this Article.

(6) Regulations may prescribe mandatory terms that must be implied into processing contracts.

23.- Processing obligations

(1) The processor and any person acting under the authority of the controller or of the processor who has access to personal data, must not process those data unless:

(a) instructed to do so by the controller; or

(b) required to do so by the relevant law.

(2) Unless required to do so by the relevant law, a processor is taken to be a controller if the processor processes personal data other than in accordance with the instructions of the controller.

(3) A processor must maintain a record of all categories of processing activities carried out on behalf of a controller, containing:

(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;

(b) the categories of processing carried out on behalf of each controller;

(c) where applicable, transfers of personal data to a third country or an international organization, including the identification of that third country or international organization and, in the case of transfers referred to in paragraph 9 of Schedule 3, the documentation of suitable safeguards; and

(d) where possible, a general description of the technical and organizational security measures referred to in Article 21.

PART 5.- DATA PROTECTION OFFICER

24.- Appointment of data protection officer

(1) The controller and the processor must appoint a data protection officer in any case where:

(a) the processing is carried out by a public authority, except for courts acting in their judicial capacity;

(b) the core activities of the controller or the processor consist of processing operations that, by virtue of their nature, scope or purposes, require regular and systematic monitoring of data subjects on a large scale;

(c) the core activities of the controller or the processor consist of processing special category data on a large scale; or

(d) it is required by the relevant law.

(2) A group of undertakings may appoint a single data protection officer provided that the data protection officer is easily accessible from each establishment.

(3) Where the controller or the processor is a public authority, a single data protection officer may be appointed for several such authorities or bodies, taking account of their organizational structure and size.

(4) However, a single data protection officer is permissible in the circumstances set out in paragraph (2) or (3) only if the officer is easily accessible to:

(a) all data subjects;

(b) the Authority; and

(c) the controller or processor who appointed the officer along with such of the controller or processor’s employees as carry out data processing.

(5) In cases other than those referred to in paragraph (1), the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by the relevant law, must, appoint a data protection officer and the data protection officer may act for such associations and other bodies representing controllers or processors.

(6) The data protection officer must be appointed on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the duties set out in Article 26.

(7) The data protection officer may be a staff member of the controller or processor, or fulfil the duties on the basis of a service contract.

(8) The controller or the processor must publish the contact details of the data protection officer and communicate them to the Authority.

(9) Regulations may amend paragraph (1) so as to vary the circumstances in which a data protection officer must be appointed.

(10) In this Article “core activities” means the primary activities of the controller and does not mean the activity of processing of personal data where this is an ancillary activity.

25.- Position of data protection officer

(1) The controller and the processor:

(a) must ensure that the data protection officer is involved, properly and in a timely manner, in all issues that relate to the protection of personal data;

(b) must support the data protection officer in performing the duties set out in Article 26 by providing:

(i)  the resources, and

(ii)  access to personal data and processing operations, necessary to carry out those duties and to maintain his or her expert knowledge;

(c) must ensure that the data protection officer operates independently and does not receive any instructions regarding the performance of those duties other than to perform them to the best of the officer’s ability and in a professional and competent manner;

(d) must not dismiss or penalize the data protection officer for performing his or her duties other than for failing to perform them as required by sub-paragraph (c).

(2) The data protection officer must directly report to the highest management level of the controller or the processor.

(3) Data subjects may contact the data protection officer with regard to any issue related to processing of their personal data and to the exercise of their rights under this Law.

(4) The data protection officer must treat information relating to the performance of his or her duties as confidential, except to the extent that this would be incompatible with his or her duties under this Law or the Authority Law.

(5) The data protection officer may carry out other functions but the controller or processor must ensure that any such functions do not result in any conflict of interest as regards the data protection officer’s duties under this Law.

26.- Duties of data protection officer

(1) The data protection officer’s duties include:

(a) informing and advising the controller or the processor and the employees who carry out processing of their obligations under the relevant law;

(b) monitoring compliance with this Law and any other enactment relating to data protection and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(c) providing advice where requested as regards a data protection impact assessment and monitoring the process covered by it;

(d) co-operating with the Authority on request;

(e) acting as the contact point for the Authority on data processing matters;

(f) acting as a contact point for data subjects with regard to all issues relating to the processing of their personal data and exercise of their rights under this Law;

(g) with respect to data protection impact assessments, advising on:

(i) whether or not to carry out the assessment,

(ii) the methodology that should be followed in carrying it out,

(iii) whether to carry it out in-house or to outsource it,

(iv) what safeguards (including technical and organizational measures) to apply to mitigate any risks to the rights and interests of data subjects,

(v) whether or not the assessment has been carried out correctly and whether its conclusions (whether or not to go ahead with the processing and what safeguards are to apply) are in compliance with this Law, and

(vi) any consultation with the Authority under Article 17 or 18.

(2) The data protection officer, in the performance of his or her duties, must have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

(3) Regulations may amend this Article so as to vary the duties of a data protection officer.

PART 6.- RIGHTS OF DATA SUBJECTS

27.- Handling of requests by data subjects

(1) Where so requested by the data subject under the following provisions of this Part, a controller must take such action as the controller considers appropriate, and provide information on the action taken to that data subject, without undue delay and in any event within 4 weeks of receipt of the request.

(2) The period of 4 weeks may be extended by a further 8 weeks where necessary, taking into account the complexity and number of the requests, and the controller must inform the data subject of any such extension within 4 weeks of receipt of the request, together with the reasons for the delay.

(3) Where the data subject makes the request by electronic means, the information must be provided by electronic means where possible, unless otherwise requested by the data subject.

(4) If the controller does not take any action under paragraph (1), the controller must inform the data subject without delay and at the latest within 4 weeks of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with the Authority and seeking a judicial remedy.

(5) Specified information provided under Article 12 and any communication or other action taken under Article 20 or any provision of this Part must be provided free of charge.

(6) Where requests from a data subject are manifestly vexatious, unfounded or excessive, in particular because of their repetitive character, the burden of proving which is on the controller, the controller may either:

(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the other action requested; or

(b) refuse to act on the request.

(7) Without limiting Article 5, where the controller has reasonable doubts concerning the identity of the individual making any request under this Part, the controller may request the provision of additional information necessary to confirm the identity of the data subject and is not obliged to enable the individual’s rights to be exercised unless supplied with that information.

(8) The controller must communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Articles 31 to 33 to each recipient to whom the personal data have been disclosed, unless this is impossible or involves disproportionate effort, and must inform the data subject about those recipients if the data subject requests it.

(9) Regulations may amend this Article so as to vary any of the requirements specified, or any provision as to the manner in which requests to exercise those requirements must or may be made.

28.- Right of access requests: general

(1) An individual is entitled to be informed by a controller whether personal data of which that individual is the data subject are being processed by or on behalf of that controller, and, if that is the case, to be given information as to:

(a) the purposes for which they are being or are to be processed by or on behalf of that controller;

(b) the categories of personal data concerned;

(c) the recipients or classes of recipients to whom they are or may be disclosed by or on behalf of that controller, in particular recipients in third countries or international organizations;

(d) where possible, the envisaged period for which the personal data will be stored or, if not possible, the criteria used to determine that period;

(e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject under Articles 31 to 33 or to object to such processing;

(f) the right to lodge a complaint with the Authority;

(g) where the personal data are not collected from the data subject, any available information as to their source; and

(h) the existence of automated decision-making referred to in Article 38(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

(2) Where personal data are transferred to a third country or to an international organization, the data subject has the right to be informed of the appropriate safeguards under Article 67 relating to the transfer.

(3) Without limiting the rights and freedoms of other persons, a data subject is entitled to obtain from the relevant controller the following in intelligible form:

(a) the information constituting any personal data of which the individual is the data subject and a copy of that data; and

(b) further copies of those data on payment of a fee of such amount as will enable the controller to cover its administrative costs.

(4) If the supplying of information under this Article would require the disclosing of information relating to another individual who can be identified from that information, the controller is not obliged to enable such information to be supplied unless:

(a) the other individual has consented to the disclosure of the information to the person making the request; or

(b) it is reasonable in all the circumstances to do so without the consent of the other individual.

(5) In paragraph (4), the reference to information relating to another individual includes a reference to information identifying that individual as the source of the information sought in the request.

(6) Paragraph (4) is not to be construed as excusing a controller from communicating so much of the information sought in the request as can be communicated without disclosing the identity of the other individual concerned, whether by the omission of names or other identifying particulars or otherwise.

(7) For the purposes of paragraph (4)(b), regard must be had, in particular, to:

(a) any duty of confidentiality owed to the other individual;

(b) any steps taken by the controller to seek the consent of the other individual;

(c) whether the other individual is capable of giving consent; and

(d) any express refusal of consent by the other individual.

29.- Right of access requests: information contained in health records

(1) A controller who is not a health professional must not, on the ground of the exemption in Article 61(2), refuse a request under Article 28 for information contained in a health record unless:

(a) after receiving the request, the controller consulted the appropriate health professional on the question whether the exemption applies and obtained his or her a written opinion that it does so apply; or

(b) the following conditions are satisfied:

(i) the controller consulted a health professional before receiving the request,

(ii) the health professional was the health professional who would, if the controller had carried out the consultation under sub-paragraph (a), have been the appropriate health professional, and

(iii) the controller obtained a written opinion from the health professional that the exemption applied to the information.

(2) The conditions referred to in paragraph (1)(b) are taken not to be satisfied if the opinion was obtained:

(a) before the start of the period of 26 weeks that ends at the beginning of the 4-week period referred to in Article 27(1) in respect of the request; or

(b) within that period of 26 weeks but it is reasonable in all the circumstances to consult the appropriate health professional again.

(3) A controller who is not a health professional must not supply information contained in a health record in response to a request under Article 28 unless the controller has first consulted the appropriate health professional on the question whether the exemption set out in Article 61(2) applies with respect to the information.

(4) Paragraph (3) does not operate in relation to a request to the extent that the request relates to information that the controller is satisfied has previously been supplied to the data subject or is already within the knowledge of the data subject.

(5) Paragraph (3) does not operate in relation to a request if the following conditions are satisfied:

(a) the controller consulted a health professional before receiving the request;

(b) the health professional was the health professional who would, if the controller had carried out the consultation under paragraph (3), have been the appropriate health professional;

(c) the controller obtained a written opinion from the health professional that the exemption set out in Article 61(2) did not apply with respect to the information that is the subject of the request.

(6) In this Article, “appropriate health professional” means:

(a) if the controller is the Minister for Social Security and the personal data are processed in connection with the exercise of the functions conferred on him or her in respect of health insurance or social security, a health professional who appears to the controller to have the necessary experience and qualifications to advise on the matters to which the information relates;

(b) in other cases, the health professional who appears to the controller to be currently or to have been most recently responsible for the clinical care of the data subject in connection with the matters to which the information relates.

(7) If, in the application of paragraph (6), more than one health professional would be chosen, the appropriate health professional is the one who appears to the controller to be the most suitable to advise on the matters to which the information relates.

(8) If, in the application of paragraph (6), no health professional would be chosen, the appropriate health professional is a health professional who appears to the controller to have the necessary experience and qualifications to advise on the matters to which the information relates.

30.- Treatment of right of access requests

(1) Regulations may provide that, in such cases as may be prescribed, a request under Article 28 for information referred to in any provision of Article 28 is to be treated as a request for information referred to in any other provision of Article 28.

(2) Article 28(1)(h) is not to be regarded as requiring the provision of information as to the logic involved in any decision-taking to the extent that the information constitutes a trade secret.

(3) Information supplied under Article 28 must be supplied by reference to the data in question at the time when the request for the data is received, except that account may be taken of any amendment or deletion made between that time and the time when the information is supplied, being an amendment or deletion that would have been made regardless of the receipt of the request.

(4) For the purposes of Article 28(5) and (7), another individual can be identified from the information being disclosed if the individual can be identified from that information, or from that and any other information that, in the reasonable belief of the controller, is likely to be in, or to come into, the possession of the data subject making the request.

31.- Right to rectification

(1) A data subject who disputes the accuracy or completeness of personal data may make a written request to the controller to rectify or change the personal data, stating the inaccuracy or explaining why the personal data is incomplete.

(2) Before complying with a request under paragraph (1) the controller may require from the data subject such further information as may be appropriate regarding the purposes of processing the data in order to verify that the requested rectification or completion is accurate.

(3) On consideration of a request under paragraph (1), the controller must:

(a) where the controller is able, by taking reasonable steps, to confirm that the personal data are inaccurate or incomplete, rectify or complete the data;

(b) where the controller is satisfied as to the accuracy and completeness of the personal data, take no action regarding the data; or

(c) where it is not reasonable to expect the controller to confirm or verify the accuracy or completeness of the personal data, add to the personal data a statement to the effect that the data subject disputes the accuracy or (as the case may be) completeness of that personal data.

(4) Without limiting paragraph (2), before taking any action under paragraph (3)(c) the controller may request that the data subject provide a written statement that includes information as to the additional data needed to rectify or complete it.

32.- Right to erasure

(1) Where so required by the data subject the controller must erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent given under paragraph 1 or 6 of Schedule 2 and there is no other legal ground for the processing;

(c) the data subject objects to the processing:

(i) under Article 35, where there are no overriding legitimate grounds or reasons of public interest for the processing, or

(ii) under Article 36;

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation under the relevant law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services directly to a child who is unable to give valid consent under Article 11(4).

(2) Where the controller has made the personal data public and is obliged under paragraph (1) to erase it, the controller, taking account of available technology and the cost of implementation, must take reasonable steps, including technical measures, to inform other controllers that are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

(3) Paragraphs (1) and (2) do not apply to the extent that processing is necessary:

(a) for exercising the rights of freedom of expression and information;

(b) for compliance with a legal obligation which requires processing by the relevant law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) for reasons of public interest in the area of public health in accordance with paragraph 16 of Schedule 2;

(d) for any purposes described in paragraph 17 of Schedule 2 (archiving and research) in so far as the right referred to in paragraph (1) is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

(e) for the establishment, exercise or defence of legal claims.

(4) Regulations may prescribe further circumstances in which the right to erasure of personal data may or may not be exercised including the establishment of time limits for that erasure.

33.- Right to restriction of processing

(1) The data subject has the right to obtain from the controller restriction of processing where one of the following circumstances applies:

(a) the accuracy of the personal data is contested by the data subject, for such a period as will enable the controller to verify the accuracy of the personal data;

(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;

(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;

(d) the data subject has objected to processing under Articles 35 pending the verification whether the legitimate grounds or reasons of public interest of the controller override those of the data subject.

(2) Where processing has been restricted under paragraph (1), the personal data affected, with the exception of storage, may be processed only:

(a) with the data subject’s consent;

(b) for the purposes set out in paragraph 12 of Schedule 2 (legal proceedings etc.);

(c) for the purposes set out in paragraph 3 or 9 of Schedule 2 (vital interests); or

(d) for the purposes set out in paragraph 14 of Schedule 2 (public interest).

(3) The controller must inform a data subject who has obtained restriction of processing under paragraph (1) before lifting the restriction of processing.

34.- Right to data portability

(1) Where paragraph (2) applies the data subject has the right:

(a) to receive the personal data concerning him or her that he or she has provided to a controller in a structured, commonly used and machine-readable format; and

(b) to transmit those data to another controller where technically feasible without hindrance from the controller to which the personal data have been provided.

(2) This paragraph applies where:

(a) the processing is based on consent under paragraph 1 or 6 of Schedule 2 or on a contract under paragraph 2 of that Schedule; and

(b) the processing is carried out by automated means.

(3) In exercising his or her right to data portability under paragraph (1), the data subject has the right to have the personal data transmitted directly from one controller to another, where technically feasible.

(4) The exercise of the right referred to in paragraph (1) does not affect the right to erasure under Article 32 save that the right to erasure does not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

(5) The right referred to in paragraph (1) does not apply to the extent that to comply with it would adversely affect the rights and freedoms of others.

35.- Right to object to processing for purpose of public functions or legitimate interests

(1) Where the processing of any personal data is based exclusively on the conditions in paragraph 4 (public functions) or 5 (legitimate interests) of Schedule 2, or any combination of those conditions:

(a) the data subject has the right to object to the processing; and

(b) the controller must notify the data subject of the processing and the data subject’s right to object to it.

(2) The notification required by paragraph (1)(b) must be given to the data subject:

(a) at or before the time of the controller’s first communication with the data subject;

(b)  explicitly; and

(c)  separately from any other matters notified to the data subject.

(3) Subject to paragraph (4), the controller must cease the processing if the data subject objects to the processing in accordance with paragraph (1)(a) by written notice to the controller, including, where the processing is in the context of information society services, by notice given by automated means and, if appropriate, using technical specifications to do so.

(4) Paragraph (3) does not apply where the controller demonstrates that there are compelling legitimate or public interests in continuing to process the data that:

(a) outweigh the interests, rights and freedoms of the data subject; or

(b) are necessary for the establishment, exercise or defence of legal claims.

36.- Right to object to processing for direct marketing purposes

(1) Where the processing of any personal data is for direct marketing purposes:

(a) the data subject has the right to object to the processing to the extent that it is related to that direct marketing; and

(b) the controller must notify the data subject of the processing and the right to object.

(2) The notification required by paragraph (1)(b) must be given to the data subject:

(a) at or before the time of the controller’s first communication with the data subject;

(b)  explicitly; and

(c) separately from any other matters notified to the data subject.

(3) The controller must cease the processing if the data subject objects to the processing in accordance with paragraph (1)(a) by written notice to the controller, including, where the processing is in the context of information society services, notice given by automated means and, if appropriate, using technical specifications to do so.

37.- Right to object to processing for historical or scientific purposes

(1) A data subject has the right to object to any processing of personal data where the lawfulness of the processing is based solely on the processing being necessary for any of the purposes set out in paragraph 17 of Schedule 2 (archiving and research).

(2) Where a data subject has objected in accordance with paragraph (1) to any processing, the controller must cease the processing unless:

(a) the purpose for which the personal data is processed relates to an objective that is in the public interest; and

(b) the public interest in the objective outweighs the data subject’s interests.

38.- Right regarding automated individual decision-making

(1) The data subject has the right not to be subject to a decision based solely on automated processing that produces legal effects or similarly significantly affects him or her.

(2) Paragraph (1) does not apply if the decision:

(a) is necessary for entering into, or performance of, a contract between the data subject and a controller;

(b) is authorized by the relevant law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

(c) is based on the data subject’s explicit consent.

(3) In the cases referred to in paragraph (2)(a) and (c), the controller must implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, including the right to obtain human intervention on the part of the controller, so that the data subject can express his or her point of view and contest the decision.

(4) Decisions referred to in paragraph (2) must not be based on special category data unless paragraph 6 (consent) or 14 (public interest) of Schedule 2 applies and appropriate safeguards of the data subject’s rights and freedoms and legitimate interests are in place.

39.- Certain contractual terms relating to health records void

(1)  A term or condition of a contract is void in so far as it purports to require an individual to supply, or produce, to any other person a record to which this Article applies, or with a copy of such a record or a part of such a record.

(2) This Article applies to any record that may be obtained by a data subject in the exercise of the right conferred by Article 28 and consists of the information contained in any health record.

PART 7.- EXEMPTIONS

DIVISION 1.- GENERAL AND WIDER EXEMPTIONS

40.- Effect of this Part

Except as provided by or under this Part, the transparency and subject rights provisions have effect despite any enactment or rule of law (whether an enactment or rule of law of Jersey or of another jurisdiction) prohibiting or restricting the disclosure, or authorizing the withholding, of information.

41.- National security

(1) The processing of personal data necessary for the purpose of safeguarding national security is exempt from:

(a) the data protection principles;

(b) the transparency and subject rights provisions;

(c) the offence in Article 71; and

(d) Parts 3 and 4 of the Authority Law.

(2) A certificate signed by the Minister for Home Affairs certifying that exemption from all or any of those provisions is or at any time was required for the purpose there mentioned in respect of any personal data is sufficient evidence of that fact.

(3) The certificate may identify the personal data to which it applies by means of a general description and may, but need not, be expressed to have prospective effect.

(4) A person directly affected by the issue of the certificate may apply to the Royal Court for review of the decision to issue the certificate.

(5) If, on such an application, the Court finds that the Minister for Home Affairs did not have reasonable grounds for the decision to issue the certificate, the Court may quash the decision and void the certificate.

(6) The certificate is conclusively presumed to apply unless a court determines otherwise.

(7) In proceedings under paragraph (4) a party may claim that a certificate identifying the personal data to which it applies by means of a general description does not apply to the personal data in question.

(8) A document purporting to be a certificate under this Article must be received in evidence and taken to be such a certificate unless the contrary is proved.

(9) A document that purports to be certified by or on behalf of the Minister for Home Affairs as a true copy of a certificate is evidence of the certificate in any legal proceedings.

(10) No power conferred by any provision of Part 9 of this Law or Part 4 of the Authority Law may be exercised in relation to personal data that are exempt from that provision under this Article.

42.- Criminal record certifications

Despite anything to the contrary in this Law a person may require another person to provide any criminal record certificate that may lawfully be obtained by, or in relation to, the data subject under any provision of the Police Act 1997 of the United Kingdom as it extends to Jersey.

43.- Manual data held by public authorities

Personal data falling within paragraph (d) of the definition “data” in Article 1(1) are exempt from the provisions of this Law except for Articles 28 to 31, this Part and Articles 68 and 71.

44.- Academic, journalistic, literary or artistic material

(1) Personal data that are processed only for special purposes are exempt from the provisions of this Law except for Articles 68 and 69 if:

(a) the processing is undertaken with a view to the publication by any person of any academic, journalistic, literary or artistic material;

(b) having regard in particular to the importance of freedom of expression, the publication of the data would be in the public interest; and

(c) that public interest outweighs the interests of the data subject and the application of those provisions.

(2) In considering whether publication would be in the public interest, regard may be had to the controller’s compliance with any code of practice that is relevant to the publication in question and the extent to which publication is regulated by any other body, whether in Jersey or not.

(3) Regulations may make such further provision as may be necessary or expedient as to the balancing of the rights of data subjects and the public interest in freedom of expression in relation to the processing of data for special purposes.

(4) In this Article “freedom of expression” means the right protected under Article 10 of the European Convention of Human Rights and Fundamental Freedoms as incorporated in the Human Rights (Jersey) Law 2000 [8].

DIVISION 2.- EXEMPTIONS FROM TRANSPARENCY AND SUBJECT RIGHTS PROVISIONS

45.- Crime and taxation

(1) The processing of personal data is exempt from the transparency and subject rights provisions where it is carried out for any of the following purposes:

(a) the prevention, detection, or investigation, anywhere of crime;

(b) the apprehension, or prosecution, anywhere of persons who have committed or are alleged to have committed, an offence anywhere;

(c) the assessment, or collection, anywhere of any tax or duty, or of any imposition of a similar nature, wherever due;

(d) the disclosure to a police officer under Article 32 or 34A, or any Order made under Article 37, of the Proceeds of Crime (Jersey) Law 1999 [9]; or

(e) the reporting of suspicious activities under any Tax Information Exchange Agreement, if the application of those provisions would be likely to prejudice any of those purposes.

(2) Personal data that:

(a) are processed for the purpose of discharging functions under any Law; and

(b) consist of information obtained for such a purpose from a person who had it in the person’s possession for any of the purposes referred to in paragraph (1)(a) to (e), are exempt from the transparency and subject rights provisions to the same extent as personal data processed for any of the purposes referred to in paragraph (1)(a) to (e) if the application of those provisions would be likely to prejudice any of those purposes.

(3) Personal data processed by a public authority are exempt from the transparency and subject rights provisions to the extent to which:

(a) they consist of a classification applied to the data subject as part of a system of risk assessment operated by that authority for any of the purposes set out in paragraph (4); and

(b) the exemption is required in the interests of the operation of the system.

(4) The purposes are:

(a) the assessment or collection of any tax or duty or any imposition of a similar nature;

(b) the prevention or detection of crime; or

(c) the apprehension or prosecution of persons who commit an offence, if the offence concerned involves any unlawful claim for any payment out of, or any unlawful application of, public funds.

46.- Corporate finance

(1) If personal data are processed for the purposes of, or in connection with, a corporate finance service provided by a relevant person:

(a) the data are exempt from the transparency and subject rights provisions in any case to the extent to which either:

(i)  the application of those provisions to the data could affect the price of any instrument already in existence or that is to be or may be created, or

(ii) the controller reasonably believes that the application of those provisions to the data could affect the price of any such instrument; and

(b) to the extent that the data are not exempt from the transparency and subject rights provisions by virtue of sub-paragraph (a), they are exempt from those provisions if the exemption is required for the purpose of safeguarding an important economic or financial interest of Jersey.

(2) For the purposes of paragraph (1)(b) a matter may adversely affect an important economic or financial interest of Jersey if it has an inevitable prejudicial effect on:

(a) the orderly functioning of financial markets whether in Jersey or elsewhere; or

(b) the efficient allocation of capital within an economy whether in Jersey or elsewhere, that would result from the application (whether on an occasional or on a regular basis) of the transparency and subject rights provisions to data to which paragraph (3) applies.

(3) The data to which this paragraph applies are any personal data to which the application of the transparency and subject rights provisions could, in the reasonable belief of the relevant person affect:

(a) a decision, in Jersey or elsewhere, of a person whether or not to deal in, subscribe for, or issue, an instrument that is already in existence or is to be or may be created; or

(b) a decision, in Jersey or elsewhere, of a person to act or not to act in a way that is likely to have an effect on a business activity including an effect on:

(i) the industrial strategy of a person (whether the strategy is, or is to be, pursued independently or in association with others),

(ii) the capital structure of a business, or

(iii) the legal or beneficial ownership of a business or asset.

(4)  In this Article:

“corporate finance service” means a service consisting in:

(a) underwriting in respect of issues of, or the placing of issues of, any instrument;

(b) advice to businesses on capital structure, industrial strategy and related matters and advice and service relating to mergers and the purchase of businesses; or

(c) services relating to such underwriting as is mentioned in paragraph (a);

“instrument” means an instrument listed in section B of the Annex to the European Council Directive on investment services in the securities field (93/22/EEC) or an investment within the meaning of the Financial Services (Jersey) Law 1998 [10];

“price” includes value;

“relevant person” means:

(a) a registered person within the meaning of the Financial Services (Jersey) Law 1998 (being a person registered under that Law in respect of investment business within the meaning of that Law) or a person who is exempted by that Law from the obligation to be registered under that Law in respect of such investment business;

(b) a person who is an authorized person under the Financial Services and Markets Act 2000 of the United Kingdom, or is an exempt person under that Act, in respect of such investment business;

(c) a person who may be prescribed by Regulations for the purposes of this Article;

(d) a person who, in the course of the person’s employment, provides to the person’s employer a service falling within paragraph (b) or (c) of the definition of “corporate finance service”; or

(e) a partner who provides to other partners in the partnership a service falling within either of those paragraphs.

47.- Trusts

Personal data in respect of a trust are exempt from the transparency and subject rights provisions to the extent that:

(a) in the case of a trust the proper law of which is the law of Jersey, the personal data consist of information the withholding of which by the relevant controller is permitted by Article 29 of the Trusts (Jersey) Law 1984 [11] or the disclosure, erasure or rectification of which by the relevant controller would be contrary to a prohibition or restriction under any rule of law of Jersey; or

(b) in the case of a trust the proper law of which is the law of a jurisdiction other than Jersey, the personal data consist of information the withholding of which by the relevant controller is permitted by or under the law of that jurisdiction or the disclosure, erasure or rectification of which by the relevant controller would be contrary to a prohibition or restriction under the law of that jurisdiction.

48.- Financial loss, charities, health and safety, maladministration and practices contrary to fair trading

(1) Personal data processed for the purposes of discharging any of the functions to which this Article applies are exempt from the transparency and subject rights provisions in any case to the extent to which the application of those provisions to the data would be likely to prejudice the proper discharge of the function.

(2) This Article applies to any function listed in paragraph (3) that is:

(a) conferred on any person by or under any enactment;

(b) conferred on the Crown or a public authority; or

(c) of a public nature and exercised in the public interest.

(3) The functions are:

(a) a function designed for protecting members of the public against:

(i) financial loss due to dishonesty, malpractice or other seriously improper conduct by, or the unfitness or incompetence of, persons concerned in the provision of banking, insurance, investment or other financial services or in the management of bodies corporate,

(ii) financial loss due to the conduct of discharged or undischarged bankrupts, or

(iii) dishonesty, malpractice or other seriously improper conduct by, or the unfitness or incompetence of, persons authorized to carry on any profession or other activity;

(b) a function designed for protecting charities against misconduct or mismanagement (whether by trustees or other persons) in their administration;

(c) a function designed for protecting the property of charities from loss or misapplication;

(d) a function designed for the recovery of the property of charities;

(e) a function designed for securing the health, safety or welfare of persons at work;

(f)  a function designed for protecting persons other than persons at work against risk to health or safety arising out of or in connection with the actions of persons at work.

(4) This Article applies to a function that is conferred by or under any enactment on a prescribed person, or body that is designed:

(a) to protect members of the public against:

(i) maladministration by public bodies,

(ii) failures in services provided by public bodies, or

(iii) a failure by a public body to provide a service which it was a function of the body to provide;

(b) to protect members of the public against conduct that may adversely affect their interests by persons carrying on a business;

(c) to regulate agreements, or conduct, that have as their object or effect the prevention, restriction or distortion of competition in connection with any commercial activity; or

(d) to regulate conduct on the part of one or more businesses that amounts to the abuse of a dominant position in a market.

(5)  This Article also applies to the following functions:

(a)  any function relating to an investigation by the Jersey Financial Services Commission under:

(i)  Article 22 of the Collective Investment Funds (Jersey) Law 1988 [12],

(ii)  Article 28 of the Banking Business (Jersey) Law 1991 [13],

(iii) Part 19 of the Companies (Jersey) Law 1991 [14],

(iv) Article 11 of the Insurance Business (Jersey) Law 1996 [15],

(v) Article 33 of the Financial Services (Jersey) Law 1998 [16],

(vi) Regulation 31 of the Alternative Investment Funds (Jersey) Regulations 2012 [17], including the functions of any inspector or competent person appointed under any of those provisions;

(b) any function conferred on the Jersey Resolution Authority under Article 7 of the Bank (Recovery and Resolution) (Jersey) Law 2017 [18];

(c) any function under the Proceeds of Crime (Supervisory Bodies) (Jersey) Law 2008 [19] of a supervisory body designated under Article 6 of that Law (including the functions of any competent person appointed under Article 31 of that Law);

(d) any function conferred on the Office of the Financial Services Ombudsman or on an Ombudsman, under the Financial Services Ombudsman (Jersey) Law 2014 [20];

(e) any function conferred on the Jersey Financial Services Commission by the Financial Services Commission (Jersey) Law 1998 [21];

(f) any function conferred on the registrar of companies appointed under Article 196 of the Companies (Jersey) Law 1991 [22], arising under that Law or any other enactment;

(g) any function (whether or not under any of the Laws referred to in this paragraph) that may be prescribed by Regulations.

49.- Management forecasts etc.

Personal data processed for the purposes of management forecasting or managing planning to assist the controller in the conduct of any business or other activity are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice the conduct of that business or other activity.

50.- Negotiations

Personal data that consist of records of the intentions of the controller in relation to any negotiations with the data subject are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice those negotiations.

51.- Information available to public by or under enactment

Personal data are exempt from the transparency and subject rights provisions if the data consist of information that the controller is obliged by or under any enactment to make available to the public, whether by making it available for inspection or publishing it in another manner, and whether gratuitously or on payment of a fee.

52.- Disclosure contrary to certain enactments

Personal data that consist of information the disclosure of which by the relevant controller would be contrary to a prohibition or restriction under any of the following enactments are exempt from the transparency and subject rights provisions:

(a) Articles 24(5), 27(12) and 30(4)(b) of the Adoption (Jersey) Law 1961 [23];

(b) Article 19B of the Misuse of Drugs (Jersey) Law 1978 [24];

(c) Article 35 of the Proceeds of Crime (Jersey) Law 1999 [25];

(d) Article 35 of the Terrorism (Jersey) Law 2002 [26].

53.- Confidential references given by the controller

Personal data are exempt from the transparency and subject rights provisions if they consist of a reference given or to be given in confidence by the controller for the purposes of:

(a) the education, training or employment, or prospective education, training or employment, of the data subject;

(b) the appointment, or prospective appointment, of the data subject to any office; or

(c) the provision, or prospective provision, by the data subject of any service.

54.- Examination scripts etc.

Personal data consisting of information recorded by candidates during an academic, professional or other examination are exempt from the transparency and subject rights provisions.

55.- Crown or judicial appointments and honours

Personal data are exempt from the transparency and subject rights provisions if processed for the purposes of assessing a person’s suitability for:

(a) employment by or under the Crown or any office to which appointments are made by Her Majesty;

(b) any judicial office or the office of Queen’s Counsel; or

(c) the conferring by the Crown of any honour or dignity.

56.- Armed forces

Personal data are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice the effectiveness in combat of any of the armed forces of the Crown.

57.- Legal professional privilege

Personal data are exempt from the transparency and subject rights provisions if the data consist of information in respect of which a claim to legal professional privilege could be maintained in legal proceedings.

58.- Self-incrimination

(1) Personal data are exempt from the transparency and subject rights provisions to the extent that compliance would, by revealing evidence of the commission of an offence (other than an offence under this Law or the Authority Law), expose the person to proceedings for that offence.

(2) Information provided in response to a request under the transparency and subject rights provisions or any order enforcing them is not admissible against the person in proceedings for an offence under this Law or the Authority Law.

59.- States Assembly privilege

(1) Personal data are exempt from the transparency and subject rights provisions to the extent required to avoid an infringement of the privileges of the States Assembly.

(2) Except as provided by paragraph (3), a certificate signed by the Greffier of the States certifying that such an exemption is required to avoid an infringement of the privileges of the States Assembly is conclusive evidence of that fact.

(3) A person aggrieved by the decision of the Greffier of the States to issue a certificate under paragraph (2) may appeal to the Royal Court on the grounds that the Greffier did not have reasonable grounds for issuing the certificate.

(4) The decision of the Royal Court on the appeal is final.

DIVISION 3.- EXCEPTIONS TO ARTICLE 27 OR 28

60.- Examination marks

(1) Where a request under Article 28 is made for or in relation to marking data, the application of Article 27 to the request is modified so that if the day when the controller receives the request under that Article falls before the publication day, for the period expressed as “within 4 weeks of receipt of the request” in Article 27(1) there is substituted the period set out in paragraph (2).

(2) The period is:

(a) within 20 weeks of the receipt of the request; or

(b) within 4 weeks of the publication day, whichever ends first.

(3) If by virtue of paragraph (2) a period longer than the period mentioned in Article 27(1) elapses before the request is complied with, the required information must be supplied both by reference to the data in question at the time when the request is received and (if different) by reference to the data as from time to time held in the period beginning when the request is received and ending when it is complied with.

(4) In this Article:

“marking data” means marks or other information processed by the controller:

(a) for the purpose of determining the results of an academic, professional or other examination of a candidate;

(b) for the purpose of enabling such a determination; or

(c) in consequence of such a determination;

“publication day”, in relation to any examination and examination candidate, means the day on which the results of the examination are first published or (if not published) when they are first made available or communicated to the candidate concerned.

61.- Health, education and social work

(1) Personal data are exempt from Article 28 if the data are processed by a court and consist of health, education or social work information that:

(a) is supplied in a report or other evidence given to the court in the course of proceedings relating to families or children; and

(b) the court directs should be withheld from the data subject on the ground that it appears to be:

(i) impracticable to disclose the report or other evidence having regard to the data subject’s age and understanding, or

(ii) undesirable to disclose the report or other evidence having regard to the serious harm that might thereby be suffered by the data subject.

(2) Personal data consisting of health, education or social work information are exempt from Article 28 in any case to the extent to which the application of that Article would be likely to cause serious harm to the physical or mental health of the data subject or any other person.

(3) Where a defined person is enabled by or under any enactment or rule of law to make a request under Article 28 on behalf of a data subject and has made such a request, personal data consisting of information specified in paragraph (4) are exempt from that Article to the extent mentioned in paragraph (4).

(4) The extent of the exemption is:

(a) in the case of information contained in a health record or social work information, the extent to which the application of Article 28 would result in the disclosure of information:

(i) provided by the data subject in the expectation that it would not be disclosed to the person making the request,

(ii) obtained as a result of any examination or investigation to which the data subject consented in the expectation that the information would not be so disclosed, or

(iii) that the data subject has expressly indicated should not be so disclosed;

(b) in the case of information constituting an educational record and being information whether the data subject, when a child, is or has been the subject of or may be at risk of abuse, the extent to which the application of that Article would not be in the interests of the data subject.

(5) Paragraph (4)(a)(i) or (ii) does not apply to the extent that the data subject has expressly indicated that he or she no longer has the expectation there referred to.

(6) In relation to personal data consisting of information contained in a health record, Article 28(4) has effect as if the following word and sub-paragraph were added at the end of that paragraph:

“; or

(c)  the information is contained in a health record and the other individual is a health professional who has compiled or contributed to the health record or has been involved in the care of the data subject in the health professional’s capacity as a health professional.”.

(7) In relation to personal data consisting of information constituting either an educational record or social work information:

(a) Article 28(4) has effect as if the following word and sub-paragraph were added at the end of that paragraph:

“; or

(c) the other individual is a relevant person.”;

(b) Article 28 has effect as if the following paragraph were added after paragraph (7):

“(8) A person is a relevant person for the purposes of paragraph (4)(c) if he or she:

(a) in the case of information constituting an educational record, is a teacher or other employee at a school, engaged by the proprietor of a school or working at a school under a contract for the provision of educational services; or

(b)  in the case of social work information, is or has been employed in an administration of the States in connection with functions that are or have been exercised in relation to data consisting of an educational record or social work information that relates to him or her or that he or she supplied in his or her official capacity.”.

(8) In this Article:

“abuse” in respect of a person when that person is a child:

(a) includes physical injury to, and physical neglect, emotional neglect, ill-treatment, and sexual abuse, of the person;

(b) does not include accidental injury;

“care” includes examination, investigation, diagnosis and treatment;

“defined person” means a person who:

(a) has parental responsibility for a child who is the data subject; or

(b) has been appointed by a court to manage the affairs of the data subject on account of the data subject being incapable of managing his or her own affairs;

“educational record” means a record of information that:

(a) is processed by or on behalf of the proprietor of, or a teacher at, a school;

(b) relates to a person who is or has been a pupil at the school; and

(c) originated from or was supplied by or on behalf of any of the following:

(i) a teacher or other employee at the school,

(ii) a person engaged by the proprietor of the school under a contract for the provision of educational services,

(iii) the pupil to whom the record relates,

(iv) a parent of that pupil;

“health, education or social work information” means:

(a) a health record;

(b) information constituting an educational record; or

(c) social work information;

parent” in relation to a pupil of a school, includes a guardian and every person who has actual custody of the pupil;

“proceedings relating to families or children” includes proceedings relating to adoption, matrimonial matters or guardianship;

“social work information” means personal data processed by the States (including an administration of the States) in relation to any of the following matters:

(a) the allocation of housing or other residential accommodation;

(b) the provision of any benefit paid by the Minister for Social Security;

(c) probation;

(d) school attendance;

(e) ensuring that children receive suitable education whether by attendance at school or otherwise;

(f) guardianship;

(g) a function under the Children (Jersey) Law 2002 [27] or any legislation relating to mental health.

62.- Credit reference agency as controller

(1) If a controller is a credit reference agency, Article 28 applies in relation to that controller subject to this Article.

(2) An individual may limit a request to a controller under Article 28 to personal data relevant to the financial standing of the individual, and is taken to have so limited the request unless the request shows a contrary intention.

(3) If personal data are being processed by or on behalf of a controller who receives a request under Article 28 from an individual who is the data subject of those data, the obligation to supply information under that Article includes an obligation to give the individual a statement of any other rights arising in respect of a credit reference agency in any other enactment in such form, and to such extent, as may be prescribed by Regulations.

(4) In this Article “credit reference agency” means a person who carries on the business of providing information about the financial standing of persons.

63.- Unstructured personal data held by scheduled public authorities

(1) A scheduled public authority is not obliged to comply with Article 28(1) in relation to any unstructured personal data unless the request under that Article contains a description of the data.

(2) Even if a request contains a description of data as referred to in paragraph (1), a scheduled public authority is not obliged to comply with Article 28(1) in relation to unstructured personal data if the authority estimates that the cost of complying with the request in so far as it relates to those data would exceed a prescribed limit.

(3) Paragraph (2) does not exempt the scheduled public authority from its obligation under Article 28(1) to inform an individual whether unstructured personal data of which that individual is the data subject are being processed by or on behalf of the controller unless the estimated costs of complying with that obligation alone in relation to those data would exceed a limit specified by the States in Regulations.

(4) Any estimate for the purposes of this Article must be made in accordance with Regulations under Article 16 of the Freedom of Information (Jersey) Law 2011 [28] (whether or not any limit specified in Regulations for the purposes of this Article is the same as any amount determined in accordance with Regulations under that Article).

(5) In this Article “unstructured personal data” means any personal data consisting of recorded information held by a scheduled public authority other than data that is:

(a) processed by automated means in response to instructions given for that purpose or recorded with the intention that it be so processed; or

(b) recorded as part of a filing system or with the intention that it should form part of a filing system.

DIVISION 4.- PERMISSIONS AND EXEMPTIONS BY REGULATIONS

64.- Permitted processing for law enforcement, legal proceedings and public records purposes

(1) Despite any provision of this Law the processing (including the disclosure) of personal data in either of the circumstances set out in paragraph (2) is permitted:

(a) for a purpose other than the purpose for which it was collected; and

(b) without the consent of the data subject.

(2) The circumstances are:

(a) that the processing is for the purposes set out in Article 45(1); or

(b) where disclosure is made for the purposes of paragraph 12 of Schedule 2 (legal proceedings etc.).

(3) Despite the data protection principles set out in Article 8(1)(c), (d) and (e), the processing (including disclosure) of personal data to which paragraph (4) applies is permitted.

(4) This paragraph applies to information that the controller is obliged to make available to the public by or under any enactment, whether by making it available for inspection or publishing it in another manner, and whether it is available gratuitously or on the payment of a fee.

65.- Exemptions by Regulations

(1) Regulations may exempt the processing (including disclosure) of personal data from any provision of this Law.

(2) However, the power to make Regulations under paragraph (1) may be exercised only to the extent that:

(a) it is considered necessary for particular purposes, or in particular circumstances, that are in the public interest; or

(b) the public interest is not outweighed by the public interest in protecting the rights and freedoms of data subjects.

(3) The power to make Regulations under this Article includes a power:

(a) to modify or amend any enactment (including this Law) to the extent that it might otherwise prevent the processing (including disclosure) of personal data; and

(b) to put in place particular safeguards for the rights of data subjects or any other persons with respect to any processing carried out in furtherance of any new permission to process such data.

(4) The States must consult the Authority before making any Regulations under paragraph (3).

PART 8.- CROSS-BORDER DATA TRANSFERS

66.- General principles for cross-border data transfers

(1) A controller or a processor must not transfer personal data for processing or in circumstances where the controller or processor knew or should have known that it will be processed after the transfer to a third country or an international organization, unless that country or organization ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data.

(2) The level of protection referred to in paragraph (1) is adequate if:

(a) the Commission has so decided, by means of an implementing act under Article 45 of the GDPR;

(b) there are appropriate safeguards in place that meet the requirements of Article 66; or

(c) the transfer falls within the exceptions set out in Schedule 3.

(3) Regulations may:

(a) amend Schedule 3;

(b) make further provision about international transfers of data.

67.- Transfer subject to appropriate safeguards

(1) In the absence of an adequacy decision under Article 45 of the GDPR, a controller or processor may transfer personal data to a third country or an international organization only if the controller or processor has provided appropriate safeguards in accordance with this Article, and on condition that enforceable data subject rights and effective legal remedies for data subjects comparable to those under this Law are available in that country or organization.

(2) The appropriate safeguards referred to in paragraph (1) may be provided for, without requiring any specific authorization from the Authority, by:

(a) a legally binding and enforceable instrument between public authorities;

(b) binding corporate rules approved by the Authority as complying with Schedule 4 or approved by another competent supervisory authority under Article 46 of the GDPR, or equivalent statutory provisions;

(c) standard data protection clauses adopted by the Authority or by a competent supervisory authority and approved by the Commission in accordance with the examination procedure referred to in Article 93(2) of the GDPR;

(d) a code or any other code approved by another competent supervisory authority under Article 40 of the GDPR or equivalent statutory provisions, together with binding and enforceable commitments of the controller, processor or recipient in the third country or international organization to apply the appropriate safeguards, including as regards data subjects’ rights; or

(e) the controller, processor or recipient in the third country having been certified in accordance with a certification mechanism either provided for in Regulations under Article 80 or approved by another competent supervisory authority under Article 42 of the GDPR.

(3) Subject to specific authorization from the Authority and where there is a mechanism for data subjects to enforce their data subject rights and obtain effective legal remedies against the controller, processor or recipient of that personal data in the jurisdiction concerned, the appropriate safeguards referred to in paragraph (1) may also be provided for by:

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organization; or

(b) where both the transferor and the controller, processor or recipient of the personal data in the third country or international organization concerned are public authorities, provisions in administrative arrangements between those public authorities that include enforceable and effective data subject rights.

(4) In determining whether to authorize a transfer under this Article, the Authority must have regard to factors that include, but are not limited to, any opinions or decisions of the European Data Protection Board under Article 64, 65 or 66 of the GDPR that appear to the Authority to be relevant.

PART 9.- REMEDIES AND ENFORCEMENT

68.- Proceedings against controllers

(1) A data subject who considers that the transparency and subject rights provisions have been or will be contravened, may bring proceedings against the controller responsible for the contravention in the Royal Court under this Article.

(2) Where the Royal Court is satisfied that those rights have been or will be contravened the court may make such order as it considers appropriate, including:

(a) an award of compensation for loss, damage or distress in respect of the contravention;

(b) an injunction (including an interim injunction) to restrain any actual or anticipated contravention;

(c) a declaration that the controller is responsible for the contravention or that a particular act, omission or course of conduct on the part of the controller would result in a contravention; and

(d) requiring the controller to give effect to the transparency and subject rights provisions.

(3) Nothing in this Article limits any other right or remedy that a data subject may have against a controller or processor.

(4) Where:

(a) a person has made a right of access request under Article 28; and

(b) the Royal Court is satisfied, on the application of a third party that compliance with that request is likely to cause the third party to suffer serious harm to his or her physical or mental health or condition, the court may order the controller not to comply with the request.

69.- Compensation

(1) Any person who suffers loss, damage or distress by reason of any contravention of this Law by a controller or processor is entitled to compensation.

(2) Controllers or processors against whom any claim for compensation is made under this Article or Article 30 of the Authority Law who prove that they are not responsible for the event giving rise to the loss, damage or distress are exempt from any liability to pay that compensation.

(3) A processor is exempt from liability for damages under any action for loss, damage or distress unless the processor:

(a) has contravened any obligation imposed on processors by this Law; or

(b) has acted outside or contrary to lawful instructions given by the controller.

(4) Where one or more controllers or processors are involved in the same processing that caused the loss, damage or distress, each such controller and processor is jointly and severally liable for the loss, damage or distress.

(5) A controller or processor is entitled to reimbursement, in respect of compensation paid out by that controller or processor from each of the other controllers or processors involved in the processing that gave rise to the liability for compensation, of that part of the compensation corresponding to that other controller or processor’s responsibility for the loss, damage or distress.

70.- Representation of data subjects

(1) Any person who has standing to make a complaint or commence proceedings under this Law or the Authority Law may authorize a data protection organization on that person’s behalf to:

(a) make a complaint against the Authority under Article 19 of the Authority Law; or

(b) bring proceedings (including any appeal proceedings) in respect of a contravention of this Law by a controller or processor, or for compensation, and represent the person in any proceedings arising from that complaint or those proceedings and to exercise any right of the data subject on his or her behalf.

(2) In this Article “data protection organization” means any non-profit association (as described in paragraph 10(a) of Schedule 2) properly constituted in accordance with relevant law that has objectives in the public interest and is active in the field of the protection of data subject rights.

71.- Unlawful obtaining etc. of personal data

(1) A person must not knowingly or recklessly, without the consent of the relevant controller:

(a) obtain or disclose personal data or the information contained in personal data; or

(b) procure the disclosure to another person of the information contained in personal data.

(2) A person who contravenes paragraph (1) is guilty of an offence.

(3) A person does not contravene paragraph (1) if the person shows that:

(a) the obtaining, disclosing or procuring was necessary for the purpose of preventing or detecting crime, or was required or authorized by or under any enactment, by any rule of law or by the order of a court;

(b) the person acted in the reasonable belief that the person had in law the right to obtain or disclose the data or information or, as the case may be, to procure the disclosure of the information to the other person;

(c) the person acted in the reasonable belief that the person would have had the consent of the controller if the controller had known of the obtaining, disclosing or procuring and the circumstances of it; or

(d) in the circumstances of the case, the obtaining, disclosing or procuring was justified as being in the public interest.

(4) A person who sells personal data is guilty of an offence if the person has obtained the data in contravention of paragraph (1).

(5) A person who offers to sell personal data is guilty of an offence if:

(a) the person has obtained the data in contravention of paragraph (1); or

(b) the person subsequently obtains the data in contravention of that paragraph.

(6) For the purposes of paragraph (5), an advertisement indicating that personal data are or may be for sale is an offer to sell the data.

(7) For the purposes of paragraphs (4) to (6), “personal data” includes information extracted from personal data.

72.- Requirement to produce certain records illegal

(1)  A person must not, in connection with:

(a) the recruitment of another person as an employee;

(b) the continued employment of another person; or

(c) any contract for the provision of services to the person by another person, require that other person or a third party to supply or produce a relevant record to the first person.

(2) A person concerned with the provision (for payment or not) of goods, facilities or services to the public (or a section of the public) must not, as a condition of providing or offering to provide any goods, facilities or services to another person, require that other person or a third party to supply or produce a relevant record to the first person.

(3) A person does not contravene paragraph (1) or (2) if the person shows that:

(a) the imposition of the requirement was required or authorized by or under any enactment, by any rule of law or by the order of a court; or

(b) in the particular circumstances the imposition of the requirement was justified as being in the public interest.

(4) A person who contravenes paragraph (1) or (2) is guilty of an offence and liable to a fine of level 3 on the standard scale.

(5) For the purposes of this Article, a record that states that a controller is not processing any personal data relating to a particular matter is taken to be a record containing information relating to that matter.

(6) In this Article (including the Table to this Article):

“caution” means a caution given to any person in Jersey in respect of an offence that, at the time when the caution is given, is admitted;

“conviction” has the same meaning as in the Rehabilitation of Offenders (Jersey) Law 2001 [29];

“employee” means an individual who works under a contract of employment, or holds any office, whether or not entitled to remuneration and “employment” shall be construed accordingly;

“relevant record” means any record that:

(a)  has been or is to be obtained by a data subject from a controller specified in the first column of the Table to this Article in the exercise of the rights conferred by the transparency and subject rights provisions; and

(b) contains information relating to a matter specified in relation to the controller in the second column of that Table, and includes a copy of such a record or a part of such a record.

(7) A record is not a relevant record to the extent that it relates, or is to relate, only to personal data falling within paragraph (d) of the definition “data” in Article 1(1).

(8)  Regulations may amend the Table to this Article and the definitions of “caution” and “conviction” in paragraph (6).

TABLE

Controller                                                                                          Subject-matter

1.   Chief Officer of the States of Jersey Police Force        Convictions, cautions

2.   A member of the honorary police of any of the 12

Parishes of Jersey                                                                          Cautions

3.   Minister for Home Affairs                                                    Convictions, cautions, functions of that Minister under the Prison (Jersey) Law 1957

4.   Minister for Social Security                                                 Convictions, cautions, functions of that Minister under any enactment of Jersey

73.- False information

(1) A person who knowingly or recklessly provides the Authority, or any other person entitled to information under this Law, the Authority Law or Regulations made under those Laws, with information that is false or misleading in a material particular, is guilty of an offence.

(2) However, no offence is committed under paragraph (1) unless the information is provided:

(a) in connection with an application under this Law or the Authority Law;

(b) in purported compliance with a requirement imposed under this Law, the Authority Law or under Regulations made under those Laws; or

(c) otherwise than as mentioned in paragraph (1) but in circumstances in which the person providing the information intends, or could reasonably be expected to know, that the information will be used by the Authority for the purpose of carrying out the Authority’s functions under this Law or the Authority Law.

(3) A person guilty of an offence under this Article is liable to imprisonment for a term of 2 years and to a fine.

74.- Obstruction

(1) A person must not do any of the following in relation to any person to whom this paragraph applies:

(a) intentionally obstruct or impede the person;

(b) interfere with, or cause or knowingly permit to be interfered with, anything done by the person;

(c) fail to give to the person any assistance or information that is reasonably required;

(d) fail to produce a record when required to do so by the person;

(e) fail to co-operate with the exercise of any power under Schedule 1 to the Authority Law.

(2) Paragraph (1) applies to the Authority and any other person acting in the execution or enforcement of this Law or the Authority Law.

(3) A person who contravenes paragraph (1) is guilty of an offence and in the case of an offence under paragraph (1)(a) or (b), is liable to imprisonment for a term of 2 years and to a fine.

75.- General provisions relating to offences

(1) A person guilty of an offence under this Law is liable to a fine except where this Law otherwise provides.

(2) Where an offence under this Law, or under Regulations made under this Law, committed by a limited liability partnership or body corporate or unincorporated body is proved to have been committed with the consent or connivance of, or to be attributable to any neglect on the part of:

(a) a person who is a partner of the limited liability partnership, or director, manager, secretary or other similar officer of the body corporate;

(b) in the case of any other partnership, any partner;

(c) in the case of any other unincorporated body, any officer of that body who is bound to fulfil any duty of which the offence is a breach or, if there is no such officer, any member of the committee or other similar governing body; or

(d) any person purporting to act in any capacity described in sub-paragraph (a), (b) or (c), the person is also guilty of the offence and liable in the same manner as the partnership or body corporate to the penalty provided for that offence.

(3) If the affairs of a body corporate are managed by its members, paragraph (2) applies in relation to acts and defaults of a member in connection with the member’s functions of management as if the member were a director of the body corporate.

(4) Where an offence under this Law is alleged to have been committed by an unincorporated body, proceedings for the offence must, without limiting paragraph (2), be brought in the name of the body and not in the name of any of its members.

(5) A fine imposed on an unincorporated body on its conviction for an offence under this Law must be paid from the funds of the body.

(6) A person who aids, abets, counsels or procures the commission of an offence under this Law is also guilty of the offence and liable in the same manner as a principal offender to the penalty provided for that offence.

76.- Proceedings concerning unincorporated bodies

Subject to Article 75, where a contravention of this Law is alleged to have been committed by an unincorporated body, any complaint, investigation, action, order or notice, or other proceedings, for or otherwise in relation to the contravention must be brought, issued or (as the case may be) served in the name of the body and not in the name of any of its members.

77.- Rules of Court

(1) The power to make Rules of Court under Article 13 of the Royal Court (Jersey) Law 1948 [30] includes the power to make Rules regulating the practice and procedure on any matter relating to the Royal Court under this Law.

(2) The Rules may, in particular, make provision enabling:

(a) directions to be given to withhold material or restrict disclosure of any information relevant to proceedings under this Law from any party (including any representative of any party) to the proceedings; and

(b) the court to conduct such proceedings in the absence of any person, including a party to the proceedings (or any representative of a party to the proceedings).

(3) In making the Rules, regard must be had to:

(a) the need to secure that the decisions that are the subject of such proceedings are properly reviewed; and

(b) the need to secure that disclosures of information are not made where they would be contrary to the public interest.

PART 10.- MISCELLANEOUS

78.- Codes of conduct

(1) The Authority may approve a code of conduct or an amendment or extension of a code of conduct, prepared by any person representing a category of controllers or processors for the purposes of:

(a) encouraging or facilitating compliance with this Law; or

(b) allowing controllers or processors that are not otherwise subject to this Law to demonstrate that they have appropriate safeguards for the protection of personal data, for the purposes of personal data transfers to third countries or international organizations under Article 67.

(2) A code may include any provisions relating to the following:

(a) fair and transparent processing;

(b) the legitimate interests pursued by controllers in specific contexts;

(c) the collection of personal data;

(d) the pseudonymization of personal data;

(e) the information provided to the public and to data subjects;

(f) the exercise of the rights of data subjects;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the persons with parental responsibility for children is to be obtained;

(h) any steps or measures required to be established, taken or carried out by controllers or processors under this Law;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

(j)  the transfer of personal data to third countries or international organizations;

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without affecting the rights of data subjects under this Law; or

(l) any other matter relating to compliance with this Law or appropriate safeguards for the protection of personal data.

(3) An approval under paragraph (1) is effected by the Authority’s registering and publishing the code in any manner that the Authority considers fit.

(4) The Authority must not approve a code unless:

(a) the code provides for a person accredited by the Authority (or another competent supervisory authority) to monitor compliance with the code by controllers and processors who purport to apply or implement the code;

(b) the code requires any controller or processor established in a third country that purports to apply or implement the code to enter into legally binding and enforceable commitments to apply or implement provisions of the code;

(c) where the code relates to processing operations in a Member State, the Commission has, by way of an implementing act under the GDPR, stated that the code has general validity within the EU; and

(d) The Authority considers that:

(i) the contents of the code comply with this Law, and

(ii) the code provides appropriate safeguards for the protection of personal data.

(5) In determining whether or not to approve a code, the Authority must take into account:

(a) the particular circumstances of the various sectors in which processing or personal data takes place and to which the code relates; and

(b) the needs of different sizes of enterprises or establishments that are controllers or processors to which the code applies.

79.- Accreditation and duties of accredited person

(1) For the purposes of Article 78(4)(a), the Authority may accredit any person (the “accredited person”) to monitor compliance with a code if the Authority considers that the person has:

(a) adequate expertise and independence in relation to the subject-matter of the code;

(b) established procedures that allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to review periodically the implementation of the code;

(c) established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and

(d) no conflict of interests in connection with the discharge or performance of its other tasks and duties.

(2) In cases of infringement of the code by any controller or processor that purports to apply or implement the code, the accredited person must:

(a) take appropriate action including suspension or exclusion from the code where appropriate; and

(b) notify the Authority of any action taken by the person and the reasons for the action.

(3) The Authority may suspend or revoke an accreditation under paragraph (1) if:

(a) the conditions for accreditation are not, or are no longer, met; or

(b) the accredited person contravenes paragraph (2).

80.- Regulations establishing certification mechanism

(1) Regulations may provide for the establishment of mechanisms, seals or marks to certify or signify:

(a) that particular processing operations by controllers or processors comply with this Law; or

(b) the existence of appropriate safeguards for the protection of personal data provided by controllers or processors established in a third country for the purposes of personal data transfers to third countries or international organizations as provided for by Article 66.

(2)  Regulations made under paragraph (1) may amend the Authority Law so as to confer or impose functions on the Authority in consequence of the Regulations.

81.- Application to public sector

(1) This Law binds the Crown.

(2) The application of this Law extends to the States and any Minister, department, or administration, of the States, and each such department, or administration is taken to be a separate person.

(3) For the purposes of this Law, if an order, requirement, direction, notice or other instrument is imposed or served on the head of a department of the States or the head of an administration of the States:

(a) it is taken to have been imposed or served on the department or administration of which that person is the head; and

(b) if it requires compliance, the head must ensure that it is complied with.

82.- Service of notices etc.

(1) A notice required by this Law to be given to the Authority is not regarded as given until it is in fact received by the Authority.

(2) A notice or other document required or authorized under this Law or under Regulations made under this Law to be given to the Authority may be given by electronic or any other means by which the Authority may obtain or recreate the notice or document in a form legible to the naked eye.

(3) Any notice, direction or other document required or authorized by or under this Law to be given to or served on any person other than the Authority may be given or served:

(a) by delivering it to the person;

(b) by leaving it at the person’s proper address;

(c) by sending it by post to the person at that address; or

(d) by sending it to the person at that address by electronic or any other means by which the notice, direction or document may be obtained or recreated in a form legible to the naked eye.

(4) Without limiting the generality of paragraph (3), any such notice, direction or other document may be given to or served on a partnership, company incorporated outside Jersey or an unincorporated association by being given to or served:

(a) in any case, on a person who is, or purports (under whatever description) to act as, its secretary, clerk or other similar officer;

(b) in the case of a partnership, on the person having the control or management of the partnership business;

(c)  in the case of a partnership or company incorporated outside Jersey, on a person who is a principal person in relation to it (within the meaning of the Financial Services (Jersey) Law 1998); or

(d) by being delivered to the registered or administrative office of a person referred to in sub-paragraph (a), (b) or (c) if the person is a body corporate.

(5) For the purposes of this Article and of Article 7 of the Interpretation (Jersey) Law 1954 [31], the proper address of any person to or on whom a notice, direction or other document is to be given or served by post is the person’s last known address, except that:

(a) in the case of a company (or person referred to in paragraph (4) in relation to a company incorporated outside Jersey) it is the address of the registered or principal office of the company in Jersey; and

(b) in the case of a partnership (or person referred to in paragraph (4) in relation to a partnership) it is the address of the principal office of the partnership in Jersey.

(6) If the person to or on whom any notice, direction or other document referred to in paragraph (3) is to be given or served has notified the Authority of an address within Jersey, other than the person’s proper address within the meaning of paragraph (5), as the one at which the person or someone on the person’s behalf will accept documents of the same description as that notice, direction or other document, that address is also treated for the purposes of this Article and Article 7 of the Interpretation (Jersey) Law 1954 as the person’s proper address.

(7) If the name or the address of any owner, lessee or occupier of premises on whom any notice, direction or other document referred to in paragraph (3) is to be served cannot after reasonable enquiry be ascertained it may be served by:

(a) addressing it to the person on whom it is to be served by the description of “owner”, “lessee” or “occupier” of the premises;

(b) specifying the premises on it; and

(c) delivering it to some responsible person resident or appearing to be resident on the premises or, if there is no person to whom it can be delivered, by affixing it, or a copy of it, to some conspicuous part of the premises.

83.- Regulations: disclosure of information to improve public service delivery

(1) Where they consider that to do so would improve the delivery of public services, the States may by Regulations prescribe the following matters:

(a) the prescribed persons, whether individually or by description, who may disclose to any other prescribed person information held in connection with any function;

(b) the purposes for which any prescribed person, or particular prescribed person may disclose data either to any other prescribed person or to particular prescribed persons;

(c) the safeguards and restrictions on the disclosure of the data by any or all prescribed persons and on the use of the information by any prescribed person;

(d) the circumstances in which information may be disclosed by a prescribed person to a person who is not a prescribed person and the safeguards and restrictions that may be imposed in respect of such disclosures, or further disclosures, as may be necessary or expedient to protect the rights of any person, whether natural or legal.

(2) Before Regulations under paragraph (1) that permit the processing of personal data as part of the information disclosed may be made, the proposer of the Regulations:

(a) must prepare a data protection impact assessment under Article 16; and

(b) where the processing would pose a high risk to rights and freedoms of data subjects, consult the Authority in accordance with Article 17(2).

(3) Regulations under this Article may amend or modify any enactment to the extent that it is necessary or expedient for the purposes of, or will enable the disclosure of, information intended to improve public service delivery other than:

(a) this Law or the Authority Law;

(b) the Police Procedures and Criminal Evidence (Jersey) Law 2003 [32]; or

(c) the Regulation of Investigatory Powers (Jersey) Law 2005 [33].

(4) A person who discloses or uses any information in contravention of Regulations under this Article is guilty of an offence and liable to imprisonment for a term of 2 years and to a fine.

(5) For the purposes of paragraph (1):

“function”, in the case of a person who is a prescribed person only because the person exercises the function of providing services to a public authority, means only that function;

“information” includes personal data and any other information, whether or not relating to identifiable corporate bodies;

“prescribed persons” means public authorities or States’ employees.

84.- Regulations – constitution of Information Board

(1) Regulations may provide that a public authority, States’ employee or any other person providing services to a public authority may individually or collectively constitute an Information Board for the purposes of:

(a) co-ordinating the disclosure of data by prescribed persons to improve the delivery of public services; and

(b) ensuring that the requirements of this Law and any Regulations made under it in relation to the disclosure of information are met.

(2) The Regulations may:

(a) provide for the incorporation of the Information Board; and

(b) confer such rights, obligations and powers on the Board or on any person responsible for operating the Board as may be required to improve the delivery of public services and ensure the requirements of this Law and any Regulations made under it are met.

85.- Regulations and Orders – general

(1) The States may by Regulations and the Minister may by Order make provision for the purpose of carrying this Law into effect and including for or with respect to any matter that may be prescribed under this Law by Regulations or Orders as the case may be.

(2) Without limiting the generality of paragraph (1) the States may by Regulations make any provision they think fit for any or all of the following purposes:

(a) requiring or authorizing a social security number or any other identification number issued by any public authority to be processed in a specified manner;

(b) requiring or authorizing the personal data of employees to be processed in a specified manner in the context of employment, including for the following purposes:

(i)  recruitment,

(ii) the performance of a contract of employment, including discharge of obligations laid down by law,

(iii) management, planning and organization of work,

(iv) equality and diversity in the workplace,

(v) health and safety at work,

(vi) protection of the property of employers or customers,

(vii) the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, or

(viii) the termination of the employment relationship;

(c) prohibiting a social security number or any other identification number issued by any public authority to be processed in a specified manner; or

(d) prohibiting the personal data of employees from being processed in a specified manner in the context of employment, including for any of the purposes specified in sub-paragraph (b).

(3) Regulations made under paragraph (2) may include:

(a) safeguards for the rights and freedoms of data subjects;

(b) provisions relating to the transparency of processing;

(c) provisions relating to the transfer of personal data within a group of undertakings or within a group of enterprises engaged in a joint economic activity; or

(d) provisions relating to the monitoring of the application of the Regulations.

(4) Regulations and Orders made under this Law may contain such transitional, consequential, incidental or supplementary provisions as appear to the States to be necessary or expedient for the purposes of the Regulations.

(5) The power in paragraph (2), and in paragraph (4) in respect of Regulations, includes power to:

(a) repeal, revoke or amend any provision of an enactment (including this Law); and

(b) make any other consequential amendments to any other enactment as the States think fit.

(6) Regulations made under this Law may create an offence punishable by a fine of up to level 3 on the standard scale.

86.- Savings and transitional arrangements

(1) Schedule 5 has effect.

(2) Regulations may make provisions of a saving or transitional nature consequent on the enactment of this Law or the Authority Law.

(3) Any provision of Regulations made under this Article may, if the Regulations so provide, come into force on the day on which Schedule 5 comes into force or on a later day.

87.- Repeals and consequential and miscellaneous amendments

(1) The Data Protection (Jersey) Law 2005 [34] is repealed.

(2) Schedule 6 contains amendments to other enactments.

88.- Citation and commencement

(1) This Law may be cited as the Data Protection (Jersey) Law 2018 and subject to paragraphs (2) and (3) comes into force on 25th May 2018.

(2) Part 5 comes into force on 25th November 2018 and Articles 17 and 18 come into force on 25th May 2019.

(3) The modifications in paragraph 11 of Schedule 1, in so far as they relate to the insertion of paragraphs (3B), (3C) and (3D) into the modified version of Article 21, come into force on 6th May 2023.

L.-M. HART

Deputy Greffier of the States

SCHEDULE 1

(Article 4(5))

MODIFICATIONS OF LAW IN CASES OF PROCESSING BY COMPETENT AUTHORITIES

1.- List of competent authorities

The following are the competent authorities for the purposes of Article 4(7)(a):

Andium Homes

Department of the Environment: Environmental Health, Marine Resources, Planning and Building Control, Sea Fisheries, States Vet, Water Resources.

Health and Social Services: Social Services Department

Department for Infrastructure: Driver and Vehicle Standards, Parking Control

Social Security Department

Health & Safety Inspectorate

Income Tax Department

Jersey Customs & Immigration Service

Jersey Financial Services Commission

Jersey Fire and Rescue Service

Jersey Gambling Commission

Jersey Police Complaints Authority

Jersey Probation Service

Judicial Greffe

The Law Officers’ Department

Any Parish

Ports of Jersey

States of Jersey Police

Trading Standards

Viscount’s Department.

2.- Application and power to prescribe time limits

(1) This Schedule applies to the processing of personal data by a controller that is a competent authority for a law enforcement purpose.

(2) This Law applies to that processing subject to the modifications set out in this Schedule.

(3) The Minister may prescribe specific time limits for the erasure or periodic review of the storage by competent authorities of data that are processed for law enforcement purposes.

3.- Article 8 modified

In Article 8:

(a) for paragraph (1)(a) there is substituted the following sub-paragraph:

“(a)  processed lawfully and fairly (‘lawfulness and fairness’);”;

(b) after paragraph (2) there is added the following paragraph:

“(3) Contravention of any Order prescribing specific time limits for the erasure or periodic review of the storage by competent authorities of data that are processed for law enforcement purposes is taken to be a breach of the data protection principle relating to storage limitation.”.

4.- Article 9 substituted

For Article 9 there is substituted the following Article:

“9.- Lawful processing

(1)  The processing of personal data is lawful only if and to the extent that it is permitted by law and either:

(a) the data subject has given consent to the processing for that purpose; or

(b) the processing is necessary for the performance of a task carried out by a controller for a law enforcement purpose.

(2) The processing of special category data (other than data relating to a natural person’s criminal record or an alleged criminal activity) is lawful only if and to the extent that it is permitted by law and:

(a) is strictly necessary, subject to appropriate safeguards for the rights and freedoms of the data subject;

(b) serves to protect the vital interests of the data subject or another individual; or

(c) the processing relates to data that are manifestly made public by the data subject.

(3)  For the purposes of paragraph (2)(a) processing is strictly necessary where it is necessary:

(a) for the purposes of the administration of justice;

(b) for the performance of a function conferred on a person by any enactment;

(c) for the establishment, exercise or defence of a legal claim or whenever a court is acting in its judicial capacity;

(d) for the purposes of preventing any kind of fraud; or

(e) for any of the purposes set out in paragraph 17 of Schedule 2 (archiving and research).

(4) In the case of any of the purposes mentioned in paragraph (3)(e) processing is not permitted if it is carried out:

(a) for the purposes of, or in connection with, measures or decisions with respect to a particular data subject; or

(b) it is likely to cause substantial damage or substantial distress to an individual.”.

5.- Article 10 modified

In Article 10(3) the words “and transparently” are omitted.

6.- Article 12 substituted

For Article 12 there is substituted the following Article:

“12.- Information to be provided to data subject

(1) The controller must make available to data subjects the following information (whether by making the information generally available to the public or in any other way):

(a) the identity and the contact details of the controller;

(b) where applicable, the contact details of the data protection officer;

(c) the purposes for which the controller processes personal data;

(d) the existence of the right to lodge a complaint with the Authority and the contact details of the Authority; and

(e) the existence of the rights of data subjects to request from the controller:

(i) access to personal data,

(ii) rectification of personal data, and

(iii) erasure of personal data or the restriction of its processing.

(2) Except in relation to the processing of relevant personal data in the course of a criminal investigation or criminal proceedings, including proceedings for the purpose of enforcing a criminal penalty, the controller must also, in specific cases for the purpose of enabling the exercise of a data subject’s rights under this Part, give to the data subject the following further information to enable the exercise of his or her rights:

(a) the legal basis for the processing;

(b) the period for which the personal data will be stored, or where that is not possible, the criteria used to determine that period;

(c) where applicable, the categories of recipients of the personal data, including third countries or international organizations;

(d) any further information that is necessary, having regard to the specific circumstances in which the data are or are to be processed, to enable processing in respect of the data subject to be fair.

(3) The information required to be provided under this Article must be provided in an intelligible form using clear language.

(4) The controller may delay, restrict or omit giving any of the information required by paragraph (2) to the extent that, and for as long as, it considers it necessary and proportionate to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms or others.

(5) In paragraph (2), ‘relevant personal data’ means personal data contained in a judicial decision or in other documents relating to the investigation or proceedings which are created by or on behalf of a court or other judicial authority.”.

7.- Article 13 substituted

For Article 13 there is substituted the following Article:

“13.- Purposes of processing

(1) Personal data collected for a law enforcement purpose may be processed for any other law enforcement purpose (whether by the controller that collected the data or by another controller) provided that:

(a) the controller is authorized by law to process the data for the other purpose; and

(b) the processing is necessary and proportionate to that other purpose.

(2) Personal data collected for any of the law enforcement purposes may not be processed for a purpose that is not a law enforcement purpose unless the processing is authorized by law.

(3) The controller must process personal data in a way that makes appropriate distinctions between data relating to different categories of data subjects, including persons suspected of committing, or convicted of, an offence and victims and witnesses, whose data may be processed for different purposes.”.

8.- Article 15 modified

After Article 15(5) there are added the following paragraphs:

“(6) The controller, as far as practicable, must:

(a) verify the quality of personal data before they are transmitted or made available;

(b) when transmitting the data, add such information as is necessary to enable the receiving authority to assess the degree of accuracy, completeness and reliability of that data.

(7) Where incorrect personal data have been transmitted or personal data have been transmitted unlawfully the controller must notify the recipient and must rectify or erase the personal data or restrict processing without the need for any request from the data subject under Article 31 or 32.”.

9.- Article 17 modified

At the end of Article 17(1) there are added the words “and the processing in question consists of a new collection of personal data”.

10.- Article 20 modified

After Article 20(8) there is added the following paragraph:

“(9).- The communication to the data subject referred to in paragraph (6) may be delayed, restricted or omitted to the extent that, and for as long as, the restriction (whether whole or partial) is necessary and proportionate having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the enforcement of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms or others.”.

11.- Article 21 modified

After Article 21(3) there are inserted the following paragraphs:

“(3A) In respect of automated processing, the controller, having evaluated the risks, must implement measures designed to:

(a) deny unauthorized persons access to processing equipment used for processing (‘equipment access control’);

(b) prevent the unauthorized reading, copying, modification or removal of data media (‘data media control’);

(c) prevent the unauthorized input of personal data and the unauthorized inspection, modification or deletion of stored personal data (‘storage control’);

(d) prevent the use of automated processing systems by unauthorized persons using data communication equipment (‘user control’);

(e) ensure that persons authorized to use an automated processing system have access only to the personal data covered by their access authorization (‘data access control’);

(f) ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’);

(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the personal data were input (‘input control’);

(h) prevent the unauthorized reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (‘transport control’);

(i) ensure that installed systems may, in the case of interruption, be restored (‘recovery’);

(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’).

(3B) The controller must keep logs for processing operations in automated processing systems consisting of collection, alteration, consultation, disclosure including transfers, combination and erasure of personal data, and in the case of logs of consultation and disclosure, must enable:

(a) the establishment of the justification, date and time of such operations; and

(b) as far as possible, the identification of the person who consulted or disclosed personal data, and the identity of the recipients of such personal data.

(3C) The logs may be used solely for verification of the lawfulness of processing, self-monitoring, ensuring the integrity and security of the personal data, and for criminal proceedings.

(3D) The controller and the processor must make the logs available to the Authority on request.”.

12.- Article 27 modified

In Article 27:

(a)     the words in paragraph (1) after the word “undue delay” are omitted;

(b)     paragraph (2) is omitted;

(c)     in paragraph (4) the words “and at the latest within 4 weeks of receipt of the request” are omitted.

13.- Article 28 modified

In Article 28:

(a)     paragraph (1)(h) and (3)(b) are omitted;

(b)     after paragraph (7) there are added the following paragraphs:

“(8)  The data subject’s right of access is restricted to the extent that, and for as long as, the restriction (whether whole or partial) is necessary and proportionate having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms of others.

(9) The controller must assess, according to individual circumstances, the extent to which a data subject’s rights should be restricted under paragraph (8) and any such restriction must be notified in writing to the data subject with the factual or legal reasons for the restriction.”.

14.- Article 31 modified

After Article 31(4) there are added the following paragraphs:

“(5) The controller must inform the data subject in writing of any refusal of rectification of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms of others.

(6) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.

(7)  The controller must communicate the rectification of inaccurate personal data to the controller from which the inaccurate personal data originate.

(8) Where personal data has been rectified under this Article the controller must notify the recipients of the data and those recipients must rectify the personal data under their responsibility.

(9) Where the controller would be required to rectify personal data under this Article but the personal data must be maintained for the purposes of evidence, the controller must (instead of rectifying the personal data) restrict its processing.”.

15.- Article 32 modified

In Article 32:

(a) for paragraph (1) there is substituted the following paragraph:

“(1) Where so required by the data subject the controller must erase personal data without undue delay where the processing breaches any of the data protection principles.”;

(b) after paragraph (3) there are inserted the following paragraphs:

“(3A) The controller must inform the data subject in writing of any refusal of erasure of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms of others.

(3B) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.

(3C)  Where personal data has been erased under this Article the controller must notify the recipients of the data and those recipients must erase the personal data under their responsibility.

(3D)  Where the controller would be required to erase personal data under this Article but the personal data must be maintained for the purposes of evidence, the controller must (instead of erasing the personal data) restrict its processing.”.

16.- Article 33 modified

After Article 33(3) there are added the following paragraphs:

“(4) The controller must restrict processing instead of erasing personal data where:

(a) the accuracy of the personal data is contested by the data subject and the extent of the data’s accuracy cannot be ascertained;

(b) the personal data must be maintained for the purposes of evidence.

(5) Where paragraph (4)(a) applies the controller must inform the data subject before lifting the restriction on processing.

(6) The controller must inform the data subject in writing of any refusal of restriction of processing of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect public security;

(d) protect national security; or

(e) protect the rights and freedoms of others.

(7) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.

(8) Where the processing of personal data has been restricted under this Article the controller must notify the recipients of the data and those recipients must restrict processing of the personal data under their responsibility.”.

17.- Articles 34 to 37 omitted

Articles 34 to 37 are omitted.

18.- Article 38 modified

For Article 38(1) to (4) there are substituted the following paragraphs:

“(1) A decision based on automated processing that produces an adverse legal effect concerning the data subject or significantly affects the data subject, is prohibited unless:

(a) the decision is authorized by the relevant law to which the controller is subject; and

(b) that law provides adequate safeguards for the rights and freedoms of the data subject, in particular the right to obtain human intervention on the part of the controller.

(2) A decision mentioned in paragraph (1) must not be based on special category data as mentioned in Article 10(2) unless suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.”.

19.- Part 8 substituted

For Part 8 there is substituted the following Part:

“PART 8.- CROSS-BORDER DATA TRANSFERS

66.- General principles for cross-border data transfers

(1)  A controller must not transfer personal data to a third country or to an international organization unless:

(a)  the transfer is necessary for any of the law enforcement purposes;

(b) the conditions set out in paragraph (2) are met; and

(c) in a case where the personal data was originally transmitted or otherwise made available to the controller or another competent authority by a Member State, that Member State, or any person based in that Member State that is a competent authority for the purposes of the Law Enforcement Directive, has authorized the transfer in accordance with the law of the Member State.

(2) The conditions are:

(a) that the transfer is based on:

(i) an adequacy decision in accordance with Article 67,

(ii) there being appropriate safeguards as set out in Article 67A, or

(iii) the special circumstances set out in Article 67B; and

(b) the intended recipient is:

(i) a relevant authority in a third country or an international organization that is a relevant international organization, or

(ii) any other person and the additional conditions in Article 67C are met.

(3) Authorization is not required as mentioned in paragraph (1)(c) if:

(a) the transfer is necessary for the prevention of an immediate and serious threat either to the public security of Jersey or a Member State or a third country or to the essential interests of a Member State; and

(b) the authorization cannot be obtained in good time.

(4) Where a transfer is made without the authorization mentioned in paragraph (1)(c), the authority in the Member State which would have been responsible for deciding whether to authorize the transfer must be informed without delay.

(5)  In this Article:

‘relevant authority’, in relation to a third country, means any person based in a third country that has (in that country) functions comparable to those of a competent authority;

‘relevant international organization’ means an international organization that carries out functions for any of the law enforcement purposes.

67 .- Transfers on the basis of an adequacy decision

A transfer of personal data to a third country or an international organization is based on an adequacy decision where:

(a) the European Commission has decided, in accordance with Article 36 of the Law Enforcement Directive, that the third country or a territory or one or more specified sectors within that third country, or (as the case may be) the international organization, ensures an adequate level of protection of personal data; and

(b) that decision has not been repealed or suspended, or amended in a way that demonstrates that the Commission no longer considers there to be an adequate level of protection of personal data.

67A .- Transfers on the basis of appropriate safeguards

(1) A transfer of personal data to a third country or an international organization is based on there being appropriate safeguards where:

(a) a legal instrument containing appropriate safeguards for the protection of personal data binds the intended recipient of the data; or

(b) the controller, having assessed all the circumstances surrounding transfers of that type of personal data to the third country or international organization, concludes that appropriate safeguards exist to protect the data.

(2) The controller must inform the Authority about the categories of data transfers that take place in reliance on paragraph (1)(b).

(3) Where a transfer of data takes place in reliance on paragraph (1):

(a) the transfer must be documented;

(b) the documentation must be provided to the Authority on request;

(c) the documentation must include, in particular:

(i) the date and time of the transfer,

(ii) the name of and any other pertinent information about the recipient,

(iii) the justification for the transfer, and

(iv) a description of the personal data transferred.

67B.- Transfers on the basis of special circumstances

(1) A transfer of personal data to a third country or international organization is based on special circumstances where the transfer is necessary:

(a) to protect the vital interests of the data subject or another person;

(b) to safeguard the legitimate interests of the data subject;

(c) for the prevention of an immediate and serious threat to the public security of Jersey, a Member State or a third country;

(d) in individual cases for any of the law enforcement purposes; or

(e) in individual cases for a legal purpose.

(2) But paragraph (1)(d) and (e) do not apply if the controller determines that fundamental rights and freedoms of the data subject override the public interest in the transfer.

(3) Where a transfer of data takes place in reliance on paragraph (1):

(a)  the transfer must be documented;

(b) the documentation must be provided to the Authority on request; and

(c) the documentation must include, in particular:

(i)  the date and time of the transfer,

(ii) the name of and any other pertinent information about the recipient,

(iii) the justification for the transfer, and

(iv) a description of the personal data transferred.

(4) For the purposes of this Article, a transfer is necessary for a legal purpose if:

(a) it is necessary for the purpose of, or in connection with, any legal proceedings (including prospective legal proceedings) relating to any of the law enforcement purposes;

(b) it is necessary for the purpose of obtaining legal advice in relation to any of the law enforcement purposes; or

(c) it is otherwise necessary for the purposes of establishing, exercising or defending legal rights in relation to any of the law enforcement purposes.

67C .- Transfers of personal data to persons other than relevant authorities

(1) The additional conditions referred to in Article 66(2)(b)(ii) are that:

(a) the transfer is strictly necessary in a specific case for the performance of a task of the transferring controller as provided by law for any of the law enforcement purposes; and

(b) the transferring controller:

(i) has determined that there are no fundamental rights and freedoms of the data subject concerned that override the public interest necessitating the transfer,

(ii) considers that the transfer of the personal data to a relevant authority (within the meaning of Article 66) in the third country would be ineffective or inappropriate (for example, where the transfer could not be made in sufficient time to enable its purpose to be fulfilled), and

(iii) informs the intended recipient of the specific purpose or purposes for which the personal data may, so far as necessary, be processed.

(2) Where personal data are transferred to a person in a third country other than a relevant authority, the transferring controller must inform a relevant authority in that third country without undue delay of the transfer, unless this would be ineffective or inappropriate.

(3) The transferring controller must:

(a) document any transfer to a recipient in a third country other than a relevant authority; and

(b) inform the Authority of the transfer.

(4) This Article does not affect the operation of any international agreement in force in respect of Jersey in the field of judicial co-operation in criminal matters and police co-operation.”.

SCHEDULE 2.-

(Article 9).-

CONDITIONS FOR PROCESSING

PART 1.- CONDITIONS FOR PROCESSING PERSONAL DATA

1.- Consent

The data subject has consented to the processing of his or her data for one or more specific purposes.

2.- Contract

The processing is necessary for:

(a) the performance of a contract to which the data subject is a party; or

(b) the taking of steps at the request of the data subject with a view to entering into a contract.

3.- Vital interests

The processing is necessary to protect the vital interests of the data subject or any other natural person.

4.- Public functions

The processing is necessary for:

(a) the administration of justice;

(b) the exercise of any functions conferred on any person by or under any enactment;

(c) the exercise of any functions of the Crown, the States or any public authority; or

(d) the exercise of any other functions of a public nature with a legal basis in Jersey law to which the controller is subject and exercised in the public interest by any person.

5.- Legitimate interests

(1) The processing is necessary for the purposes of legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, unless:

(a) the processing is unwarranted in any particular case by reason of prejudice to the rights and freedoms or legitimate interests of the data subject, in particular where the subject is a child; or

(b) the controller is a public authority.

(2) The States may by Regulations specify particular circumstances in which the condition set out in sub-paragraph (1)(a) is, or is not, to be taken to be satisfied.

PART 2.- CONDITIONS FOR PROCESSING PERSONAL DATA AND SPECIAL CATEGORY DATA

6.- Consent

The data subject has given explicit consent to the processing for one or more specific purposes.

7.- Other legal obligations

The processing is necessary for compliance with a legal obligation, other than one imposed by contract, to which the controller is subject.

8.- Employment and social fields

The processing is necessary for the purposes of exercising or performing any right, obligation or public function conferred or imposed by law on the controller in connection with employment, social security, social services or social care.

9.- Vital interests

The processing is necessary in order to protect the vital interests of:

(a) the data subject or another person, in a case where consent cannot be given by or on behalf of the data subject, or the controller cannot reasonably be expected to obtain the consent of the data subject; or

(b)  another person, in a case where consent by or on behalf of the data subject has been unreasonably withheld.

10.- Non-profit associations

The processing:

(a) is carried out in the course of its legitimate activities by any body, or association, that is not established or conducted for profit, and exists for political, philosophical, religious or trade union purposes;

(b) is carried out with appropriate safeguards for the rights and freedoms of data subjects;

(c) relates only to individuals who are members of the body or association or have regular contact with it in connection with its purposes; and

(d) does not involve disclosure of the personal data to a third party without the consent of the data subject.

11.- Information made public

The information contained in the personal data has been made public as a result of steps deliberately taken by the data subject.

12.- Legal proceedings, etc.

The processing is necessary for the purposes of:

(a) any legal proceedings;

(b)  obtaining legal advice; or

(c)  establishing, exercising or defending legal rights.

13.- Public functions

The processing is necessary for:

(a) the administration of justice;

(b) the exercise of any functions conferred on any person by or under an enactment; or

(c)  the exercise of any functions of the Crown, the States, any administration of the States or any public authority.

14.- Public interest

The processing is necessary for reasons of substantial public interest provided for by law and is subject to appropriate protections to protect the rights and interests of the data subject.

15.- Medical purposes

(1) The processing is necessary for medical purposes and is undertaken by:

(a) a health professional; or

(b) a person who in the circumstances owes a duty of confidentiality equivalent to that which would arise if that person were a health professional.

(2) In paragraph (1) “medical purposes” includes the purposes of preventative medicine, medical diagnosis, medical research, the provision of care and treatment, the management of healthcare services, occupational medicine and the assessment of the working capacity of the employee.

16.- Public health

The processing is necessary for reasons of public interest in the area of public health, including (but not limited to) protecting against cross border threats to health and ensuring a high standard of quality and safety of health care or social care where they are provided for by law and the processing is carried out with appropriate safeguards for the rights and freedoms of data subjects.

17.- Archiving and research

The processing:

(a) is in the public interest;

(b) is necessary for the purposes of archiving or for statistical, scientific or historical research;

(c) does not support measures or decisions with respect to any particular data subject otherwise than with the explicit consent of the data subject; and

(d) is carried out with appropriate safeguards for the rights and freedoms of data subjects.

18.- Avoidance of discrimination

(1) The processing:

(a) consists of information as to:

(i) any protected characteristic within the meaning of the Discrimination (Jersey) Law 2013 [35], or

(ii) a person’s disability, or

(iii) a person’s religious beliefs;

(b) is necessary for the purpose of identifying or keeping under review the existence or absence of equality of opportunity or treatment of persons on grounds of any characteristic described in clause (a)(i) to (iii) with a view to enabling such equality to be promoted or maintained;

(c) does not support measures or decisions with respect to any particular data subject otherwise than with the explicit consent of the data subject; and

(d) is carried out with appropriate safeguards for the rights and freedoms of data subjects.

(2) The processing is not contrary to any notice in writing that an individual has given to the controller requiring the controller to cease processing personal data in respect of which the individual is the data subject, such notice taking effect at the end of a period that is reasonable in the circumstances or, if longer, the period specified in the notice.

19.- Prevention of unlawful acts

The processing:

(a) is in the substantial public interest;

(b) is necessary for the purposes of the prevention or detection of any unlawful act or unlawful omission; and

(c) in order not to prejudice those purposes, is required to be carried out without the controller’s seeking the explicit consent of the data subject.

20.- Protection against malpractice and mismanagement

The processing:

(a) is in the substantial public interest;

(b) is necessary for the discharge of any function that is designed for protecting members of the public against:

(i) dishonesty, malpractice, or other seriously improper conduct by, or the unfitness or incompetence of, any person, or

(ii) mismanagement in the administration of, or failures in services provided by, any body or association; and

(c) in order not to prejudice the discharge of that function, is required to be carried out without the controller’s seeking the explicit consent of the data subject.

21.- Publication about malpractice and mismanagement

(1) The processing:

(a) takes the form of disclosure;

(b) is in the substantial public interest;

(c) is in connection with:

(i) the commission by any person of any unlawful act, or unlawful omission, whether alleged or established,

(ii) dishonesty, malpractice, or other seriously improper conduct by, or the unfitness or incompetence of, any person, whether alleged or established, or

(iii) mismanagement in the administration of, or failures in services provided by, any body or association, whether the mismanagement or failures are alleged or established;

(d) is for the special purposes; and

(e) is made with a view to the publication of those data by any person.

(2) The person who is the controller in relation to the processing reasonably believes that the publication would be in the public interest.

22.- Counselling

(1) The processing:

(a) is in the substantial public interest; and

(b) is necessary for the discharge of any function designed for the provision of confidential counselling, confidential advice, confidential support or a similar confidential service.

(2) One or more of the following conditions is satisfied:

(a)  the data subject cannot give consent to the processing;

(b) the controller cannot reasonably be expected to obtain the consent of the data subject to the processing; or

(c) the processing must, in order not to prejudice the discharge of the function referred to in sub-paragraph (1)(b), be carried out without the controller’s seeking the explicit consent of the data subject.

23.- Insurance and pensions: general determinations

(1) The processing:

(a) is necessary for the purpose of:

(i) carrying on insurance business falling within Class I, III or IV of Part 1 of Schedule 1 to the Insurance Business (Jersey) Law 1996 [36] , or within Class 1 or 2 of Part 2 of that Schedule, or

(ii) making determinations in connection with eligibility for, or benefits payable under, an occupational pension scheme, being a scheme, or arrangement, that is constituted in one or more instruments or agreements and has, or is capable of having, effect in relation to one or more descriptions or categories of employments so as to provide benefits, in the form of pensions or otherwise, payable on termination of service, or on death or retirement, to or in respect of earners with qualifying service in an employment of any such description or category; and

(b) does not support measures or decisions that relate in particular to the person who is the data subject in respect of the personal data.

(2) The controller cannot reasonably be expected to obtain the explicit consent of that data subject to the processing and the controller is not aware of the data subject’s withholding his or her consent to the processing.

(3) The personal data consists of information relating to the physical or mental health or condition of a data subject who is the parent, grandparent, great-grandparent or sibling of:

(a) in the case of processing for the purpose referred to in sub-paragraph (1)(a)(i), a person insured (or seeking to be insured) in the course of the insurance business; or

(b) in the case of processing for the purpose referred to in sub-paragraph (1)(a)(ii), a person who is a member of the scheme or seeking to become a member of the scheme.

24.- Insurance and pensions: current processing

(1) The processing:

(a) was already under way in relation to the same data subject and by or on behalf of the same controller immediately before the coming into force of this Schedule; and

(b) is necessary for the purpose of:

(i) carrying on insurance business falling within Class I, III or IV of Part 1 of Schedule 1 to the Insurance Business (Jersey) Law 1996, or

(ii) establishing or administering an occupational pension scheme, being a scheme, or arrangement, that is constituted in one or more instruments or agreements and has, or is capable of having, effect in relation to one or more descriptions or categories of employments so as to provide benefits, in the form of pensions or otherwise, payable on termination of service, or on death or retirement, to or in respect of earners with qualifying service in an employment of any such description or category.

(2) One or both of the following conditions is satisfied:

(a) the controller cannot reasonably be expected to obtain the explicit consent of the data subject to the processing and has not been informed by the data subject that the latter refuses consent to the processing;

(b) the processing must, in order not to prejudice the purpose referred to in sub-paragraph (1)(b), be carried out without the controller’s seeking the explicit consent of the data subject.

25.- Functions of a police officer

The processing is necessary for the exercise of any function conferred on a police officer by or under any enactment or other law.

26.- Regulations

Regulations may:

(a) specify further circumstances in which special category data are processed;

(b) exclude the application of this Schedule in such cases as may be specified;

(c) provide that, in such cases as may be specified, any condition in this Schedule is not to be regarded as satisfied unless such further conditions as may be specified in the Regulations are also satisfied; or

(d) specify circumstances in which processing falling within paragraph 17(a) and (b) is, or is not, to be taken for the purposes of paragraph 17(d) to be carried out with appropriate safeguards for the rights and freedoms of data subjects.

SCHEDULE 3

(Article 66(2)(c))

EXCEPTIONS TO ADEQUACY REQUIREMENTS

1.- Order of court, public authorities etc.

The transfer is specifically required by:

(a) an order or judgment of a court or tribunal having the force of law in Jersey;

(b) an order or judgment of a court or tribunal of a country other than Jersey or a decision of a public authority of such a country having the force of law in Jersey that is based on an international agreement imposing an international obligation on Jersey; or

(c) a decision of a public authority in Jersey that is based on such an international agreement.

2.- Consent

The data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision under Article 45 of the GDPR and appropriate safeguards.

3.- Contract between data subject and controller

The transfer is necessary for:

(a) the performance of a contract between the data subject and the controller; or

(b) the implementation of pre-contractual measures taken at the data subject’s request.

4.- Third-party contract in interest of data subject

The transfer is necessary for the conclusion or performance of a contract between the controller and a person other than the data subject.

5.- Transfer by or on behalf of JFSC

The transfer is necessary for reasons of substantial public interest, which is taken to be the case if all the following circumstances apply:

(a) the transfer is a disclosure that is permitted or required under an enactment in force in Jersey;

(b) the transfer is made by or on behalf of the Jersey Financial Services Commission (the “JFSC”); and

(c) the JFSC has taken reasonable steps to ensure that the transferee will not transfer the personal data to another person except:

(i) with the consent of the JFSC, or

(ii) in order to comply with an order of a court (whether or not a Jersey court) that directs the transferee to transfer the personal data to the other person.

6.- Legal proceedings etc.

The transfer:

(a) is necessary for the purpose of, or in connection with, any legal proceedings (including prospective legal proceedings);

(b) is necessary for the purpose of obtaining legal advice; or

(c) is otherwise necessary for the purposes of establishing, exercising or defending legal rights.

7.- Vital interests

The transfer is necessary in order to protect the vital interests of the data subject or of other persons, where:

(a) the data subject is physically or legally incapable of giving consent;

(b) the data subject has unreasonably withheld consent; or

(c) the controller or processor cannot reasonably be expected to obtain the explicit consent of the data subject.

8.- Public register

(1) The transfer is made from a register that:

(a) according to the relevant law is intended to provide information to the public; and

(b) is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest.

(2) However, a transfer under this paragraph:

(a) may take place only to the extent that the conditions laid down by the relevant law for consultation are fulfilled in the particular case;

(b) must not involve the entirety of the personal data or entire categories of the personal data contained in the register; and

(c)  where the register is intended for consultation by persons having a legitimate interest, may be made only at the request of those persons or where they are to be the recipients of the data.

9.- Other exceptions

(1) Where a transfer cannot be based on any other provision of this Law, a transfer to a third country or an international organization may take place only if:

(a) the transfer is not repetitive;

(b) the transfer concerns only a limited number of data subjects;

(c) the transfer is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject; and

(d) the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided appropriate safeguards with regard to the protection of personal data.

(2) Where a transfer is to take place under this paragraph, the controller must:

(a) inform the Authority of the transfer as soon as practicable; and

(b) in addition to providing the information referred to in Article 12, inform the data subject of the transfer and the compelling legitimate interests pursued.

10.- Public authorities

Paragraphs 2, 3, 4 and 9 do not apply to activities carried out by public authorities in the exercise of their public powers.

11.- Recording of assessment

The controller or processor must document the assessment as well as the suitable safeguards referred to in paragraph 9(1)(d) in the records maintained under Article 14(3) or 22(1)(e).

SCHEDULE 4

(Article 67(2)(b))

BINDING CORPORATE RULES

(1) The Authority must approve binding corporate rules, if those rules:

(a) are legally binding and apply to and are enforced by every member concerned of the group, including their employees;

(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

(c) fulfil the requirements laid down in paragraph (2).

(2) The rules must include the following content:

(a) the structure and contact details of the group and of each of its members;

(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

(c) a statement of their legally binding nature, both internally and externally;

(d) the application of the data protection principles, in particular those mentioned in Article 8(1)(b), (c) and (e), matters covered by Articles 15 and 21 and provisions relating to data quality, the legal basis for processing, processing of special categories of personal data and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right:

(i) not to be subject to decisions based solely on automated processing, in accordance with Article 38,

(ii)  to lodge a complaint with the Authority under Article 19 of the Authority Law and to bring proceedings under Article 68 of this Law, and

(iii)  to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member of the group, the controller or the processor being exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the breach;

(g) how the information on the binding corporate rules, in particular on the provisions referred to in sub-paragraphs (d), (e) and (f) is provided to the data subjects in addition to the matters required by Article 12;

(h) the functions of any data protection officer appointed under Article 24 or any other person or entity in charge of monitoring compliance with the binding corporate rules within the group, as well as monitoring training and complaint-handling;

(i) the complaint procedures;

(j) the mechanisms within the group for ensuring the verification of compliance with the binding corporate rules, which mechanisms must include the following actions:

(i) data protection audits,

(ii) methods for ensuring corrective actions to protect the rights of the data subject,

(iii) communicating the results of such actions to the person or entity referred to in sub-paragraph (h) and to the board of the controlling undertaking of the group, and

(iv) making those results available upon request to the Authority;

(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the Authority;

(l)  the mechanism for co-operating with the Authority to ensure compliance by any member of the group, in particular by making available to the Authority the results of the actions referred to in sub-paragraph (j)(i) and (ii);

(m) the mechanisms for reporting to the Authority any legal requirements to which a member of the group is subject in a third country that are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

(n) the appropriate data protection training to personnel having permanent or regular access to personal data.

(3) In this Schedule “group” means the group of undertakings, or group of enterprises engaged in a joint economic activity to which the binding corporate rules apply.

(4) Regulations may amend the content that the rules must include under this Schedule.

SCHEDULE 5

(Article 86)

SAVINGS AND TRANSITIONAL ARRANGEMENTS

1.- Interpretation

In this Schedule “2005 Law” means the Data Protection (Jersey) Law 2005 [37].

2.- Processing underway at time of commencement of this Law

(1) Where, at the time of commencement of Article 87, consent to the processing of personal data was obtained in compliance with the requirements of the 2005 Law, that consent, to the extent that it was not given in a manner that complies with this Law, has effect up to and including 25th May 2019.

(2) Where, at the time of commencement of Article 87, the specified information (within the meaning of Article 12(4)) was provided by the controller to the data subject in compliance with the requirements of paragraph 2 of Part 2 of Schedule 1 to the 2005 Law, to the extent that the such compliance is not compliance with Article 12 of this Law, the controller is nevertheless treated as complying with it until 25th May 2019.

3.- Request for information and copy of personal data

A request for information and a copy of personal data under Article 7 of the 2005 Law that has not been complied with on the commencement of Article 28 of this Law is treated as a request under Article 28 of this Law save that:

(a) the controller has 40 days to answer the request; and

(b) no fee paid is refundable.

4.- Right to compensation for inaccuracy, loss or unauthorized disclosure

A claim for compensation under Article 13 of the 2005 Law that remains outstanding on the commencement of Article 69 of this Law is treated as if that Article 13 continued in force.

5.- Application for rectification, blocking, erasure or destruction

An application for rectification, blocking, erasure or destruction under Article 14 of the 2005 Law that remains outstanding on the commencement of Articles 31 and 32 of this Law is treated as if that Article 14 continued in force.

6.- Self-incrimination, etc.

(1) In Article 58 of this Law and paragraph 1(9) of Schedule 1 to the Authority Law, any reference to an offence under this Law or the Authority Law includes a reference to an offence under the 2005 Law.

(2) In Article 43(9), Article 44(10) and paragraph 11 of Schedule 7 of the 2005 Law, any reference to an offence under that Law includes a reference to an offence under this Law or the Authority Law.

7.- General: references to Data Protection Commissioner

(1) This paragraph is subject to any express provision, or implication, to the contrary in or under this Law or any other enactment, or in any agreement or other document.

(2) A reference in any enactment, agreement or other document to the Data Protection Commissioner shall, on and from the commencement of the Authority Law, become a reference to the Data Protection Authority.

(3) Accordingly, any application made to the Data Protection Commissioner, any proceedings commenced with the Data Protection Commissioner as party, or anything else involving the Data Protection Commissioner, being an application, proceedings or thing that has not been finally determined, or finished, when the Authority Law comes into force may be determined or continued by the Authority.

(4) Furthermore, any record or requirement made by, any information given to, any document deposited with, any record kept by, or any statement made to, the Data Protection Commissioner in the exercise of any of the Commissioner’s functions before the commencement of Article 2 of the Authority Law is taken, on and from that time, to have been made by, given to, deposited with, kept by or made to, the Authority.

8.- General saving (except for Regulations, Rules or Orders)

(1) Except as provided otherwise in this Schedule and Article 16(7) of, or Schedule 2 to, the Authority Law, anything made or done by any person under any provision of the 2005 Law (being a thing that still had force or effect immediately before the repeal of that provision by this Law), if there is a provision under this Law that gives power to make or do such a thing, is taken to have been made or done under the latter provision.

(2) Subject to paragraph (1), Regulations, Rules, or any Order made under the 2005 Law cease to be in force when this paragraph comes into force.

SCHEDULE 6

(Article 87(2))

CONSEQUENTIAL AND MISCELLANEOUS AMENDMENTS

1.- Consequential amendments to various enactments

(1) In the following provisions for the words “Data Protection (Jersey) Law 2005[38]” there are substituted the words “Data Protection (Jersey) Law 2018 [39]”:

(a) in Article 20(8) of the Civil Aviation (Jersey) Law 2008 [40];

(b) in paragraph 7.5 of the Code set out in Schedule 3 to Regulation of Investigatory Powers (Codes of Practice) (Jersey) Order 2006 [41];

(c) in Articles 12(3)(h)(iii), (4)(f) and 16(3)(a) of the Gambling (Jersey) Law 2012 [42];

(d) in Article 113P(8) of the Companies (Jersey) Law 1991 [43];

(e) in Article 8(9) of the Companies (Takeovers and Mergers Panel) (Jersey) Law 2009 [44];

(f) in Article 133(1) of the Bank (Recovery and Resolution) (Jersey) Law 2017 [45];

(g) in Article 3(7) of the Register of Names and Addresses (Jersey) Law 2012 [46];

(h) in Article 25(2)(a) of the Freedom of Information (Jersey) Law 2011 [47];

(i) in Regulation 48(13) of the EU Legislation (Payment Services: SEPA) (Jersey) Regulations 2015 [48];

(j) in paragraph 15(a)(i) and (b) of the EU Legislation (Information Accompanying Transfers of Funds) (Jersey) Regulations 2017 [49];

(k) in Article 27(2)(a) of the Terrorist Asset-Freezing (Jersey) Law 2011 [50];

(l) in paragraph 2(6) of Schedule 6 to the Medical Practitioners (Registration) (Responsible Officers) (Jersey) Order 2014 [51];

(m) in the definition “health record” in Article 1(1) of the Medicines (Prescription Only) (Jersey) Order 1997 [52];

(n) in Article 3(7) of the Planning and Building (Island Plan) (Jersey) Order 2009 [53];

(o)  in Articles 7(8) and 27(4) of the Sex Offenders (Jersey) Law 2010 [54];

(p) in Article 69(5) of the Goods and Services Tax (Jersey) Law 2007 [55];

(q) in Article 1(1) (wherever occurring) and in Articles 20B(9), 27A(9) and 30(7) of the Health Insurance (Jersey) Law 1967 [56];

(r)  in Regulation 17(3) of the Health Insurance (Performers List for General Medical Practitioners) (Jersey) Regulations 2014 [57].

(2) In the following provisions for the words “sensitive personal data” there are substituted the words “special category data”:

(a) in paragraph 2(6) of Schedule 6 to the Medical Practitioners (Registration) (Responsible Officers) (Jersey) Order 2014 [58];

(b) in Articles 1(1), 20B(9), 27A(9) and 30(7) of the Health Insurance (Jersey) Law 1967 [59];

(c) in Regulation 17(3) of the Health Insurance (Performers List for General Medical Practitioners) (Jersey) Regulations 2014 [60].

(3) In Article 1(1) of the Health Insurance (Jersey) Law 1967 [61] the definition “special category data” is moved to its correct alphabetical order following the definition “Social Security Tribunal”.

2.- Public Records (Jersey) Law 2002

Article 39 of the Public Records (Jersey) Law 2002 [62] is repealed.

3.- Freedom of Information (Jersey) Law 2011

After Article 25(2) of the Freedom of Information (Jersey) Law 2011 [63]  there is added the following paragraph:

“(3) In determining for the purposes of this Article whether the lawfulness principle in Article 8(1)(a) of the Data Protection (Jersey) Law 2018 [64] would be contravened by the disclosure of information, paragraph 5(1) of Schedule 2 to that Law (legitimate interests) is to be read as if sub-paragraph (b) (which disapplies the provision where the controller is a public authority) were omitted.

4.- Medical Practitioners (Registration) (Jersey) Law 1960

In Article 10C(9) of the Medical Practitioners (Registration) (Jersey) Law 1960 [65] for the words “a disclosure of personal data which is exempt from the non-disclosure provisions of the Data Protection (Jersey) Law 2005, by virtue of Article 35(1) of that Law” there are substituted the words “permitted by Article 63 of the Data Protection (Jersey) Law 2018 [66]”.

5.- Firearms (General Provisions) (Jersey) Order 2011

In the forms in Schedules 1 and 2 of the Firearms (General Provisions) (Jersey) Order 2011 [67] for the first sentence there is substituted the following text:

“The Parish is registered with the Data Protection Authority and all information is collected and used in compliance with the Data Protection (Jersey) Law 2018 [68] and the Firearms (Jersey) Law 2000 [69].”.

6.- Goods and Services Tax (Jersey) Law 2007

In Article 69(3) of the Goods and Services Tax (Jersey) Law 2007 [70], the words “, in the Data Protection (Jersey) Law 2005, in Regulations made under that Law,” are deleted.

7.- Health Insurance (Jersey) Law 1967

For Article 20B(3)(e) of the Health Insurance (Jersey) Law 1967 [71] there is substituted the following sub-paragraph:

“(e) require the contractor to make returns to the Minister of data concerning health as defined in Article 1(1) of the Data Protection (Jersey) Law 2018 [72];”.

8.- Miscellaneous amendment: Electronic Communications (Jersey) Law 2000

For Article 2 of the Electronic Communications (Jersey) Law 2000 [73] there is substituted the following Article:

“2.-  Power for Regulations to modify legislation

(1) The States may make Regulations amending or extending the interpretation of any expression defined in this Law or defining any expression used in this Law if the States considers it necessary to do so to take into account a change or advancement in technology.

(2) The States may by Regulations modify the provisions of:

(a) any enactment; or

(b) any scheme, licence, authorization or approval issued, granted or given by or under any enactment, in such manner as they may think fit for the purpose of authorizing or facilitating the use of electronic communications or electronic storage (instead of other forms of communication or storage) for any purpose mentioned in paragraph (3).

(3) Those purposes are:

(a) the doing of anything which under any such provisions is required to be or may be done by post or other specified means of delivery;

(b) the doing of anything which under any such provisions is required to be or may be authorized by a person’s signature or seal, or is required to be delivered as a deed or witnessed;

(c) the making of any statement or declaration which under any such provisions is required to be made under oath or to be contained in a statutory declaration;

(d) the keeping, maintenance or preservation, for the purposes or in pursuance of any such provisions, of any account, record, notice, instrument or other document;

(e) the provision, production or publication under any such provisions of any information or other matter;

(f) the making of any payment that is required to be or may be made under any such provisions.

(4) The power to make Regulations under this Article includes, in particular, the power to provide for:

(a) the electronic form to be taken by any electronic communications or electronic storage the use of which is authorized by the Regulations;

(b) the conditions subject to which the use of electronic communications or electronic storage is so authorized;

(c) in relation to cases in which any such conditions are not satisfied, for treating anything for the purposes of which the use of such communications or storage is so authorized as not having been done;

(d) in connection with anything so authorized, a person to be able to refuse to accept receipt of something in electronic form except in such circumstances as may be specified in or determined under the Regulations;

(e) in connection with any use of electronic communications so authorized, intermediaries to be used, or to be capable of being used, the transmission of any data or for establishing the authenticity or integrity of any data;

(f) in connection with any use of electronic storage so authorized, persons satisfying such conditions as may be specified in or determined under the Regulations to carry out functions in relation to the storage;

(g) in relation to cases in which the use of electronic communications or electronic storage is so authorized, the determination of any of the matters mentioned in paragraph (5), or as to the manner in which they may be proved in legal proceedings;

(h) in relation to cases in which fees or charges are or may be imposed in connection with anything for the purposes of which the use of electronic communications or electronic storage is so authorized, different fees or charges to apply where use is made of such communications or storage;

(i) in relation to any criminal or other liabilities that may arise (in respect of the making of false or misleading statements or otherwise) in connection with anything for the purposes of which the use of electronic communications or electronic storage is so authorized, corresponding liabilities to arise in corresponding circumstances where use is made of such communications or storage;

(j) persons to prepare and keep records in connection with any use of electronic communications or electronic storage which is so authorized;

(k) the production of the contents of any records kept in accordance with the Regulations;

(l) a requirement imposed by virtue of sub-paragraph (j) or (k) to be enforceable at the suit or instance of such person as may be specified in or determined in accordance with the Regulations.

(5) The matters referred to in paragraph (4)(g) are:

(a) whether a thing has been done using an electronic communication or electronic storage;

(b) the time at which, or date on which, a thing done using any such communication or storage was done;

(c) the place where a thing done using such communication or storage was done;

(d) the person by whom such a thing was done; and

(e) the contents, authenticity or integrity of any electronic data.

(6) Regulations under this Article may:

(a) provide for any conditions or requirements imposed by the Regulations to be framed by reference to the directions of such persons as may be specified in or determined in accordance with the Regulations;

(b) provide that any such condition or requirement is to be satisfied only where a person so specified or determined is satisfied as to specified matters; and

(c) make such incidental, supplemental, consequential and transitional provision as the States think fit, and the provision that may be made by virtue of sub-paragraph (c) includes provision modifying any enactment or any scheme, licence, authorization or approval issued, granted or given by or under any enactment.”.

[1]                                    L.4/2018

[2]                                    chapter 12.200

[3]                                    chapter 16.300

[4]                                    chapter 16.330

[5]                                    chapter 16.325

[6]                                    chapter 16.800

[7]                                    chapter 16.800.15

[8]                                    chapter 15.350

[9]                                    chapter 08.780

[10]                                   chapter 13.225

[11]                                   chapter 13.875

[12]                                   chapter 13.100

[13]                                   chapter 13.075

[14]                                   chapter 13.125

[15]                                   chapter 13.425

[16]                                   chapter 13.225

[17]                                   chapter 17.245.51

[18]                                   L.10/2017

[19]                                   chapter 08.785

[20]                                   chapter 13.255

[21]                                   chapter 13.250

[22]                                   chapter 13.125

[23]                                   chapter 12.050

[24]                                   chapter 08.680

[25]                                   chapter 08.780

[26]                                   chapter 17.860

[27]                                   chapter 12.200

[28]                                   chapter 16.330

[29]                                   chapter 08.840

[30]                                   chapter 07.770

[31]                                   chapter 15.360

[32]                                   chapter 23.750

[33]                                   chapter 08.830

[34]                                   L.2/2005 (chapter 15.240)

[35]                                   chapter 15.260

[36]                                   chapter 13.425

[37]                                   chapter 15.240

[38]                                   chapter 15.240

[39]                                   L.3/2018

[40]                                   chapter 03.530

[41]                                   chapter 08.830.10

[42]                                   chapter 11.300

[43]                                   chapter 13.125

[44]                                   chapter 13.145

[45]                                   L.10/2017

[46]                                   chapter 15.660

[47]                                   chapter 16.330

[48]                                   chapter 17.245.54

[49]                                   R&O.57/2017

[50]                                   chapter 17.861

[51]                                   chapter 20.600.80

[52]                                   chapter 20.625.95

[53]                                   chapter 22.550.30

[54]                                   chapter 23.815

[55]                                   chapter 24.700

[56]                                   chapter 26.500

[57]                                   chapter 26.500.20

[58]                                   chapter 20.600.80

[59]                                   chapter 26.500

[60]                                   chapter 26.500.20

[61]                                   chapter 26.500

[62]                                   chapter 15.580

[63]                                   chapter 16.330

[64]                                   L.3/2018

[65]                                   chapter 20.600

[66]                                   L.3/2018

[67]                                   chapter 23.200.60

[68]                                   L.3/2018

[69]                                   chapter 23.200

[70]                                   chapter 24.700

[71]                                   chapter 26.500

[72]                                   L.3/2018

[73]                                   chapter 04.280

03Abr/19

Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.

Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.

TÍTULO V.- PROTECCIÓN DE DATOS PERSONALES (1)

CAPTÍTULO PRIMERO.- DERECHO DE HÁBEAS DATA PARA INFORMACIÓN FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES

El ámbito de aplicación de las siguientes instrucciones se contrae a lo dispuesto en el artículo 2 de la Ley Estatutaria 1266 de 2008, de conformidad con lo establecido por la Corte Constitucional en la sentencia C-1011 de 2008, respecto de los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países vigilados por esta Superintendencia.

1.1 Circulación de la información

1.1.1. Entrega de la información a los titulares, a las personas autorizadas por éstos y a sus causahabientes

De conformidad con lo establecido en el literal a) del artículo 5 de la Ley 1266 de 2008, las Entidades que administren bases de datos deben tomar todas las medidas de seguridad razonables para garantizar que la información personal contenida en ellas, sea suministrada, únicamente, a los titulares, a las personas debidamente autorizadas por éstos o a sus causahabientes.

Para tal efecto y como mínimo, los operadores deben tener en cuenta las siguientes reglas al momento de atender las peticiones o consultas que aquellos presenten:

a) Verificar la calidad de titular de quien formula verbalmente una petición o consulta, así:

(i) Si la petición o consulta se realiza personalmente, deberá dejarse constancia de la exhibición de cualquier documento idóneo que permita su identificación.

(ii) Si la petición o consulta se realiza telefónicamente, siempre que el operador de información tenga habilitada esta opción, deberá validarse una información del titular que permita su identificación y conservarse un registro de la conversación.

b) Verificar que las peticiones o consultas escritas estén debidamente suscritas por el titular, quien debe acreditar su calidad así:

(i) Mediante la exhibición de cualquier documento idóneo que permita su identificación; o,

(ii) A través de la presentación de documento que se encuentre debidamente autenticado mediante diligencia notarial de reconocimiento de contenido y firma (presentación personal); o

(iii) Por cualquier otro medio que permita su identificación.

c) Verificar que se allegue el respetivo poder, otorgado con las formalidades de ley, cuando la petición o consulta se presente por escrito, a través de mandatario, apoderado o persona autorizada.

d) Verificar la calidad de causahabiente del titular de la información cuando la petición se presente por escrito por éstos.

e) Verificar que las peticiones o consultas relacionadas con las personas jurídicas se encuentren debidamente suscritas por su representante legal, quien deberá probar su condición con el respectivo documento que acredite la existencia y representación legal de la misma y la exhibición de cualquier documento idóneo que permita su identificación.

No será necesario acompañar el documento que acredite la existencia y representación legal de la persona jurídica cuando el operador ya cuente con éste o cuando la información esté disponible a través del acceso a las bases de datos de las Entidades públicas o privadas que tengan a su cargo el deber de certificarla.

1.1.2. Entrega de información personal a las Entidades públicas del poder ejecutivo, a los órganos de control y demás dependencias de investigación disciplinaria, fiscal o administrativa cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.

De conformidad con lo establecido en los literales d) y e) del artículo 5 de la Ley 1266 de 2008, las entidades públicas del poder ejecutivo y los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa que soliciten información a un operador, deberán indicar en la correspondiente solicitud, de manera expresa e inequívoca, la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que les han sido conferidas por la ley relacionadas con dicha finalidad. Estas entidades, órganos y dependencias estarán sujetas al cumplimiento de los deberes de los usuarios de información, previstos en la ley.

1.2 Deberes de los operadores

1.2.1. Deber de garantizar en todo tiempo al titular de la información el pleno y efectivo ejercicio del derecho de hábeas data

Los operadores deben informar a los titulares de la información los derechos que la Ley 1266 de 2008 consagra en su favor y el procedimiento para la atención de peticiones, consultas y reclamos.

Para tal efecto, deben publicar tal información en sus sedes, en un lugar visible ubicado en las áreas de atención al público, y en su página web. La información se publicará en lenguaje sencillo de forma que pueda ser comprendida fácilmente por los titulares.

1.2.2. Deber de adoptar una manual interno de políticas y procedimientos, para garantizar el adecuado cumplimiento de la ley, en especial, para la atención de consultas y reclamos por parte de los titulares.

Con el objeto de verificar el cumplimiento de la obligación establecida en el numeral 4 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben remitir a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio una copia del manual de políticas y procedimientos que hayan adoptado, dentro de los treinta (30) días siguientes a la entrada en vigencia de la presente resolución y, posteriormente, cada vez que realicen cualquier modificación al mismo.

La Superintendencia de Industria y Comercio podrá, en cualquier momento, hacer las observaciones pertinentes para que, si es del caso, el operador de información, en el término establecido por la Entidad, proceda a realizar los ajustes necesarios en aras de garantizar el adecuado cumplimiento de la ley así como el pleno y efectivo ejercicio de los derechos de hábeas data y de petición por parte de los titulares de información.

1.2.3. Deber de solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular.

Con el fin de verificar el cumplimiento de lo dispuesto en el numeral 5 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben cumplir las siguientes instrucciones:

a) Dentro de los diez (10) primeros días hábiles de los meses de febrero y agosto de cada año deben enviar a la Delegatura para la Protección de Datos Personales de esta Superintendencia una constancia, con corte a 31 de diciembre y 30 de junio, suscrita por su representante legal, en la que se manifieste expresamente que cumplieron con el deber de solicitar a las fuentes de información la certificación semestral de la existencia de la autorización previa y expresa para el reporte de información en sus bases de datos.

b) Dentro de los diez (10) primeros días hábiles de los meses de marzo y septiembre de cada año deben remitir a la Delegatura para la Protección de Datos Personales de esta Superintendencia, en medio magnético, editable, en formatos de Excel, la relación de las fuentes que no cumplieron con la obligación de certificar la existencia de la autorización previa y expresa para el reporte de información de sus titulares. La citada relación debe contener, por lo menos:

(i) El nombre y/o razón social de la fuente de información incumplida.

(ii) El número de identificación.

(iii) La última dirección registrada por la fuente.

(iv) La fecha en la cual se envió la solicitud de remisión de la certificación de la existencia de la autorización previa y expresa.

c) En caso de que las fuentes no envíen la certificación semestral establecida en el numeral 5 del artículo 7 de la Ley 1266 de 2008, dentro del término previsto en el literal a) anterior, los operadores deberán bloquear toda la información reportada sobre la cual la fuente no haya remitido la certificación de que cuenta con autorización. Los operadores procederán a efectuar el bloqueo de la información en un término máximo de veinte (20) días hábiles siguientes al vencimiento del plazo respectivo. Una vez la fuente de información aporte la certificación semestral, el operador deberá desbloquear la información.

1.2.4. Deber de indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte del titular Con fundamento en el deber establecido en el numeral 9 del artículo 7 de la Ley 1266 de 2008 y teniendo en cuenta que la información que reposa en las bases de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, los operadores deben incluir en el historial crediticio de los titulares todas las leyendas relacionadas con la discusión sobre su información.

Las leyendas de advertencia relacionadas con la discusión sobre la existencia y condiciones de la obligación a cargo del titular y la posible suplantación de su identidad, deben permanecer en el historial crediticio hasta que exista pronunciamiento definitivo de la autoridad judicial competente o de la Superintendencia de Industria y Comercio, cuando sea el caso, o cuando caduque el reporte negativo, lo que ocurra primero.

1.3 Deberes de las fuentes de información

1.3.1. Deber de garantizar la calidad de la información que las fuentes suministran a los operadores de los bancos de datos y/o a los usuarios

Las fuentes de información deberán observar los siguientes lineamientos, tendientes a garantizar la calidad de la información que suministran a los operadores de los bancos de datos y/o a los usuarios:

a) Las personas, entidades u organizaciones que actúen como fuentes de información deben tener un vínculo comercial, de servicio o de cualquier otra índole con el titular cuya información reporta y, además, tener disponibles las pruebas necesarias para demostrarlo.

b) La información que reporten a los operadores debe corresponder a las condiciones reales de la obligación al momento del reporte, por lo que la información suministrada debe ser veraz, completa, exacta, actualizada y comprobable y estar sustentada mediante los soportes que permitan demostrar la existencia y las condiciones de la obligación a su favor. No puede reportarse información que carezca de los soportes que demuestren el origen, existencia y condiciones de la obligación. En caso de haberse efectuado el reporte sin contar con los soportes que permitan acreditar la existencia y condiciones de la obligación, deberá eliminarse la información una vez surtido el trámite del reclamo respectivo.

1.3.2. Deber de rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores

La fuente de información que establezca que en las bases de datos de los operadores es incorrecta la información reportada, deberá rectificarla o eliminarla directamente dentro de los cinco (5) días hábiles siguientes contados a partir del momento en que evidenció el error, o instruir al operador en dicho término para que rectifique o elimine dentro de los cinco (5) días siguientes de recibida la instrucción, sin perjuicio de las sanciones a que haya lugar.

1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado

Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:

a) Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del titular.

b) Ser previa, esto es, otorgada con antelación al reporte de la información.

La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:

(i) Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.

(ii) Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.

(iii) Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.

(iv) En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas aplicables.

(v) Que se conserve copia de la misma. En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.

Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.

En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación.

1.3.4. Deber de certificar semestralmente al operador que la información se encuentra en discusión por parte de su titular

La certificación a la que se refiere el numeral 6 del artículo 8 de la Ley 1266 de 2008 puede ser emitida en forma general por las fuentes, manifestando que la información suministrada a los operadores cuenta con la respectiva autorización. Previamente a la expedición de la certificación, la fuente debe verificar la existencia de las correspondientes autorizaciones para cada uno de los datos que informa a los operadores.

1.3.5. Deber de informar al operador que determinada información se encuentra en discusión por parte de su titular

Con fundamento en el deber establecido en el numeral 8 del artículo 8 de la Ley 1266 de 2008, corresponde a las fuentes informar al operador que determinada información se encuentra en discusión por parte de su titular para que incluya la leyenda de “reclamo en trámite”. Si la fuente de información resuelve el reclamo presentado por el titular de información dentro de los dos (2) días hábiles siguientes a la fecha de radicación, no habrá lugar a informar al operador que el reporte se encuentra en discusión.

Al informar al operador sobre la discusión de la información por parte del titular, las fuentes de información deben indicarle la causa de la discusión, de acuerdo al cuadro de tipologías establecido en el numeral 1.9.2 del Capítulo Primero del Título V de esta Circular.

Cuando la Superintendencia de Industria y Comercio comunique a la fuente el inicio de una actuación administrativa o le notifique la apertura de una investigación tendiente a determinar la procedencia de la eliminación, actualización o rectificación del dato de un titular específico, ésta deberá informar al operador dentro de los dos (2) días hábiles siguientes para que éste incluya la leyenda de “actuación administrativa o investigación en trámite”, la cual permanecerá hasta que quede en firme la decisión de la Entidad.

En los casos en que el titular reclame por suplantación de identidad, la fuente debe informar al operador para que incluya la leyenda respectiva respecto del titular y de la obligación u obligaciones que afectan a éste con la suplantación. En todo caso, la fuente debe adelantar el trámite correspondiente con el fin de establecer si hay indicios que lleven a eliminar el reporte de información, tanto positiva como negativa, en el historial crediticio. Si como resultado del trámite determina que no procede la eliminación de la información, el titular podrá acudir a la Superintendencia de Industria y Comercio para que ésta se pronuncie.

1.3.6. Deber de comunicar al titular de la información previamente al reporte En caso de que la Superintendencia de Industria y Comercio requiera a la fuente para que allegue la prueba del envío de la comunicación previa a que hace referencia el artículo 12 de la Ley 1266 de 2008, ésta debe aportar lo siguiente:

a) Copia de la comunicación escrita enviada al titular de la información con la certificación de haber sido remitida a la última dirección registrada ante la fuente y la fecha de envío, o copia del extracto o de la factura enviada al titular de la información, en el cual se incluyó la comunicación previa al reporte, con la certificación de haber sido remitido a la última dirección registrada ante la fuente y la fecha de envío. En este último evento, cuando la comunicación previa se incluya en el extracto o en la factura, el texto de la misma debe ser claro, legible, fácilmente comprensible y ubicarse en un lugar visible del documento.

b) En los casos en que se utilicen otros mecanismos de remisión de la comunicación, se debe allegar la prueba que acredite que la fuente acordó previamente con el titular un mecanismo diferente para informar sobre el eventual reporte negativo a efectuar.

c) En los casos en los que las fuentes de información hayan adquirido la obligación objeto de reporte mediante compraventa, subrogación, cesión de derechos o cualquier otra forma de transferencia del derecho de dominio, se tendrá como válida la comunicación previa remitida por el cedente u originador del crédito, siempre que la información haya continuado en el tiempo y el vendedor de la obligación no la haya eliminado del historial crediticio. En los casos en los cuales el reporte efectuado por el cedente u originador del crédito haya sido realizado antes de la entrada en vigencia de la Ley 1266 de 2008, no se les exigirá dicha comunicación previa.

Cuando la Superintendencia de Industria y Comercio profiera una orden de eliminación de un reporte, como resultado de una actuación administrativa o de una investigación en la que no se haya acreditado la remisión al titular de la comunicación previa, la fuente deberá informar al operador que no cumplió con este requisito y eliminar el reporte negativo hasta tanto se cumpla con él. Cuando la eliminación del reporte tenga como causa el incumplimiento del deber de remitir la comunicación previa, la fuente no podrá reportar esa obligación con información positiva y, en consecuencia, las casillas o vectores correspondientes deberán aparecer sin información.

1.4 Deberes de los usuarios de información

El usuario de información sólo podrá consultar la historia crediticia de un titular en cumplimiento de los principios de finalidad y circulación restringida de la administración de datos personales, establecidos en los literales b) y c) del artículo 4 de la Ley 1266 de 2008. Si la finalidad para la cual consulta la información es diferente al cálculo del riesgo crediticio, deberá acreditar que cuenta con la correspondiente autorización previa y expresa del titular.

1.5 Principio de favorecimiento a una actividad de interés público

Para permitir la consulta gratuita de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, al menos una (1) vez cada mes calendario, los operadores tendrán en cuenta las siguientes instrucciones:

a) Informar, de manera clara y precisa, a través de la línea de atención al cliente, la página web y en las áreas de servicio para la atención de peticiones, consultas y reclamos, los canales con los que cuenta el titular para acceder de manera gratuita a su información.

b) Los operadores podrán habilitar un canal electrónico, como la página web, para que los titulares puedan acceder a su historia de crédito, siempre y cuando cuenten con las debidas seguridades para verificar la identidad del titular e impedir la pérdida, alteración o uso no autorizado o fraudulento de los registros almacenados.

1.6 Permanencia de la información negativa

La permanencia de la información negativa está sujeta a las siguientes reglas:

a) El término de permanencia de la información negativa no podrá exceder el doble de la mora reportada, cuando la misma sea inferior a dos (2) años.

b) En el caso en que la mora reportada sea igual o superior a dos (2) años, el dato negativo permanecerá por cuatro (4) años más, contados a partir de la fecha en que se extinga la obligación por cualquier modo.

c) En los casos en que la obligación permanezca insoluta, el término de caducidad de los datos negativos de un titular de información será de catorce (14) años contados a partir de la fecha de exigibilidad de la obligación.

Cuando el titular de información presente un reclamo, corresponderá a la fuente pronunciarse dentro del término legal establecido para ello. Si el titular de información no está de acuerdo con la respuesta de la fuente podrá presentar su reclamo ante la Superintendencia de Industria y Comercio para que ésta se pronuncie.

1.7 Peticiones, consultas y reclamos

En el procedimiento para atender las peticiones, consultas y reclamos, los operadores y las fuentes de información deberán atender las siguientes instrucciones:

a) Los operadores de información deben contar en sus sedes con un área de servicios para la atención de peticiones, consultas y reclamos e implementar mecanismos adicionales, como líneas de atención telefónica o medios virtuales, que garanticen la recepción de las peticiones, consultas y reclamos, de modo ágil y eficaz.

b) Las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser resueltas de fondo. La respuesta correspondiente debe ser clara, precisa y congruente con lo solicitado.

c) Las respuestas a las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser comunicadas al titular de la información, dentro del término establecido en la ley.

Tales respuestas deben ser remitidas a la dirección señalada por el titular en el momento de presentar su solicitud y, en el caso de que no la haya especificado, a la última dirección registrada.

En caso de que las peticiones o los reclamos se presenten por medios electrónicos o verbalmente, podrán resolverse por el mismo medio, para lo cual se debe conservar copia de la respuesta o la grabación respectiva.

De acuerdo con lo señalado en el literal b) del numeral 1.5 del Capítulo Primero del Título V de esta Circular, las consultas podrán atenderse por canales electrónicos, siempre y cuando sea posible verificar la identidad del titular y garantizar la seguridad de la información.

La remisión de las peticiones, consultas y reclamos por parte de los operadores a las fuentes de información no exime a los operadores del deber de responder al titular todas y cada una de las cuestiones planteadas dentro del término señalado en la ley. En tal sentido, los operadores deben informar al titular todo lo manifestado por la fuente expresamente.

Parágrafo Primero: Para garantizar el ejercicio del derecho de los titulares a solicitar rectificaciones, actualizaciones o eliminaciones de sus datos contenidos en las bases de datos, los operadores y fuentes de información deben implementar un sistema para presentar reclamos utilizando diferentes medios informáticos, como internet o correo electrónico y crear formularios claros y sencillos para dicha presentación. En este sistema, además, deberá generarse un número de radicación y una confirmación automática de recepción del reclamo presentado para que el ciudadano pueda hacer seguimiento a su solicitud.

Parágrafo Segundo: Las adecuaciones ordenadas deben realizarse dentro de los seis (6) meses siguientes a la incorporación de las modificaciones introducidas al presente Título.

1.8 Administradores de cartera y afianzadores

Para efectos de dar aplicación a las instrucciones contenidas en el presente Capítulo, se entienden como administradores de cartera las personas naturales y jurídicas de derecho público o privado encargadas de la administración y recaudo de cartera, por cuenta del legítimo acreedor. Por su parte, son afianzadores las personas naturales y jurídicas de derecho público o privado encargadas de garantizar el cumplimiento de todas las obligaciones derivadas de un contrato a través de una fianza.

Con el fin de que los reportes realizados por un administrador de cartera o una entidad afianzadora cumplan con el deber de veracidad del dato, los operadores de información deberán incluir en la respectiva historia crediticia la siguiente información:

a) El nombre o razón social de la fuente de información que deberá corresponder al acreedor actual de la obligación, es decir, a quien adquirió la cartera o a quien realizó el pago de la obligación en calidad de afianzador y se subrogó en la misma por virtud de la ley.

b) El nombre o razón social del administrador de la cartera o el afianzador, si fuera una entidad diferente.

c) El nombre o razón social del acreedor originador de la cartera, en el caso de administradores de cartera.

1.9 Calidad en atención al ciudadano

1.9.1. Remisión de información por parte de los operadores

Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, los operadores de información deben remitir a la Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio un informe en medio magnético, editable, en Excel, en el que suministren la siguiente información, relacionada con el semestre calendario inmediatamente anterior (enero – junio y julio – diciembre):

a) El número de reclamos presentados por los titulares directamente ante el operador, especificando el nombre e identificación de la fuente y/o el usuario de información y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.

b) El número de reclamos presentados por los titulares directamente ante las fuentes y/o usuarios de información y registrados en el sistema del operador, especificando el nombre e identificación de la fuente y/o usuario y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.

Para la remisión a la Superintendencia de Industria y Comercio de la información a que se refiere el literal b), el operador deberá adaptar su sistema de información con el fin de que las fuentes y/o usuarios puedan indicar la causa de la reclamación presentada por el titular ante ellos, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.

Parágrafo: El primer informe que los operadores de información deberán presentar a la Superintendencia de Industria y Comercio será el correspondiente al semestre comprendido entre el 1 de enero y el 30 de junio de 2013 y deberá ser entregado a más tardar dentro de los diez (10) días hábiles siguientes del mes de agosto. A partir del primero (1) de enero de 2013 las fuentes deberán empezar a reportar a los operadores los reclamos presentados ante éstas de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.

1.9.2. Tipología de reclamos

Las fuentes informarán a los operadores los reclamos que les sean presentados de acuerdo con la siguiente tipología, de manera discriminada por subtipología y código numérico, con el fin de que los operadores puedan remitir a la Superintendencia de Industria y Comercio la información solicitada en los literales a) y b) del numeral 1.9.1 anterior:

TIPOLOGÍA DE RECLAMOS   SUBTIPOLOGÍA DE RECLAMOS   CÓDIGO

NUMÉRICO

Actualizar información    No actualización de la información          01

No reporte de información oportuno             02

Reporte de información incompleta o parcial     03

No inclusión de las respectivas leyendas              04

Inconformidad con la permanencia de la

información negativa                                                05

Rectificar la información   No rectificación de información errónea           06

Inexistencia de la obligación reportada

o negación de la relación contractual                  07

No contar con los documentos soporte

de la obligación                                              08

No contar con la autorización previa y

expresa del titular para reportar información    09

No certificar semestralmente al operador

que la información suministrada cuenta

con la respectiva autorización del titular             10

No remitir la comunicación previa al reporte     11

Conocer la información      Negación de acceso a la información                  12

No atender las peticiones y reclamos

presentados por los titulares de fondo

y oportunamente                                             13

No adoptar las medidas de seguridad

adecuadas sobre la información obtenida

en las bases de datos de los operadores              14

Utilizar la información para una finalidad

diferente a aquella para la cual fue entregada   15

Consulta de información no autorizada por

el titular, cuando esta sea requerida                     16

No contar con medidas adecuadas de

seguridad                                                                     17

No informar al titular sobre la utilización que

se le está dando a su información                            18

No informar al titular la finalidad de la

recolección de la información                                   19

No guardar reserva sobre la información

obtenida en las bases de datos de los

operadores                                                                     20

Otros (Describir el motivo)                                         21

CAPTÍTULO SEGUNDO.- REGISTRO NACIONAL DE BASES DE DATOS –RNBD(2)(3)

2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD

Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015:

a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:

(i) Reclamos presentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero – junio y julio – diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.

(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.

2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD(4)(5)

Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales o superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos -RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co.

La inscripción se realizará en línea en el portal Web de esta entidad (6).

De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la Sección 3 del Capítulo 26 del Decreto 1074 de 2015 (7), dicha inscripción se llevará a cabo en los siguientes plazos:

a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.

b) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.

c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.

A cada base de datos se le asignará un número de radicado, una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.

2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD(8)

Los responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:

(i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.

(ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2020.

Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre del 2019.

Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.

2.4. Consulta del Registro Nacional de Bases de Datos RNBD

La consulta del RNBD se encuentra habilitada en el portal web de esta entidad, con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD.

2.5. ELIMINADO(9)

2.6. ELIMINADO(10)(11)

2.7. ELIMINADO(12)(13)

CAPTÍTULO TERCERO.- TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES (14)

3.1. Estándares de un nivel adecuado de protección del país receptor de la información personal El análisis para establecer sí un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:

a) Existencia de normas aplicables al tratamiento de datos personales.

b) Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

c) Consagración normativa de derechos de los Titulares.

d) Consagración normativa de deberes de los Responsables y Encargados.

e) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.

f) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones.

3.2. Países que cuentan con un nivel adecuado de protección de datos personales (15)(16)

Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Australia, Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Japón; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea.

La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.

Parágrafo Primero: Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.

Parágrafo Segundo: Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar sí la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, sí ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la transferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

Parágrafo Tercero: El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al simple paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.

Parágrafo Cuarto: Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales.

3.3. Declaración de conformidad

Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la Entidad, o a través del correo electrónico [email protected], en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.

Este trámite se rige por el Procedimiento Administrativo General establecido en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

En todos los casos, la Superintendencia está facultada para requerir información adicional y adelantar las diligencias que considere necesarias, tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

Parágrafo: Cuando los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato con el Responsable del Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.

En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a realizar y declaren que han suscrito el contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar.

———————————————————————————————————-

(1) Resolución nº 76434 del 4 de diciembre de 2012. Publicada en el Diario Oficial nº 48635 del 5 de diciembre de 2012. “por la cual se deroga el contenido del Título V de la Circular Única de la Superintendencia de Industria y Comercio, sobre Acreditación, y se imparten instrucciones relativas a la protección de datos personales, en particular, acerca del cumplimiento de la Ley 1266 de 2008, sobre reportes de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, las cuales se incorporan en el citado Título”.

(2) Circular Externa nº 02 del 3 de noviembre de 2015. Publicada en el Diario Oficial nº 49686 del 4 de noviembre de 2015 que “Adiciona el Capítulo Segundo en el Título V de la Circular Única, sobre el Registro Nacional de Bases de Datos –RNBD.

(3) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.

(4) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(5) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.

(6) www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior y luego por “Registro Bases de Datos”.

(7) Modificado por el Decreto 1759 del 8 de noviembre de 2016.

(8) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(9) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.5. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos RNBD, del Capítulo Segundo del Título V de la Circular Única.

(10) Circular Externa nº. 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(11) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.6. Procedimiento de inscripción en el Registro Nacional de Bases de Datos – RNBD-, del Capítulo Segundo del Título V de la Circular Única.

(12) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.

(13) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.7. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD-, del Capítulo Segundo del Título V de la Circular Única.

(14) Circular Externa nº 05 del 10 de agosto de 2017. Publicada en el Diario Oficial nº 50321 del 10 de agosto de 2017. “Que adiciona un Capítulo Tercero al Título V de la Circular Única”

(15) Circular Externa nº 08 del 15 de diciembre de 2017. Publicada en el Diario Oficial nº 50448 del 15 de diciembre de 2017. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única.

(16) Circular Externa nº 02 del 23 de marzo de 2018. Publicada en el Diario Oficial nº 50544 del 23 de marzo de 2018. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única con el fin de incluir el país de “Australia” dentro de la lista de países contenida en este numeral.

03Abr/16

La visión legal del habeas data en latinoamerica y europa

La visión legal del habeas data en latinoamerica y europa

 

CAPITULO PRIMERO

  1. El HÁBEAS DATA EN ALGUNOS ESTADOS DE AMERICA LATINA

 

 

  1. ANOTACIONES PRELIMINARES

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

2.1.                  Ley de Protección de datos personales en la República  de Argentina

2.1.1.               Estructura formal de la Ley

2.1.2.               Comentarios sucintos a la Ley

 

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

2.2.1.               Estructura formal de la Ley

2.2.2.               Comentarios sucintos a la ley

2.3.                  La Ley de protección de los datos personales de la Provincia de Neuquen

2.3.1.               Estructura formal de la ley

2.3.2.               Breves comentarios a la ley

 

  1. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

3.1.                             Notas preliminares: «The right to privacy»

3.2.                  Estructura formal de la ley

3.3.                  Breves comentarios a la LPVP o PDP

 

  1. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

4.1.                  Estructura de la LTGP y HD

4.2.                  Breves comentarios de la ley

 

  1. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

5.1.                  Estructura de la LPDP_HDU

5.2.                  Breves comentarios a la LPDP_HDU de 2004

 

  1. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

6.1.                  Notas preliminares

6.2.      Estructura de la Ley nº 28237 o Código Procesal Constitucional del Perú

6.3.                  Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

 

 

 

 

 

 

 

CAPITULO PRIMERO

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS Y EN LAS TRANSPARENCIA Y ACCESO DE LA INFORMACION PÚBLICA, EN ALGUNOS ESTADOS DE AMERICA LATINA

         

  1. ANOTACIONES PRELIMINARES

 

Hoy por hoy, las normas de desarrollo y reglamentación del Hábeas Data en los Estados de Latinoamérica, previamente a haber sido éste elevado a rango constitucional ha sobrevenido en algunos casos inmerso en las Leyes de protección de los datos o informaciones personales, cuya norma modelo es la regulada por en el derecho continental europeo, especialmente en las leyes teutonas de la década de los setenta, en forma general y las leyes protectoras de los datos de España, en forma particular. En otros eventos, la ley origen para el desarrollo legislativo del Hábeas Data, son las leyes denominadas de «transparencia y acceso a la información pública»; y otras pocas eventualidades, se regula el Hábeas Data separado de las leyes de protección de datos como de las leyes de transparencia y acceso a la información pública.

 

En el presente ensayo jurídico, abordaremos ejemplos típicos de legislaciones del Hábeas data perteneciente a cada uno de estas subdivisiones de origen que hemos planteado. No sobra advertir que si bien la Constitucionalización del Hábeas Data en Latinoamérica comenzó a finales de la década de los ochenta, en algunos pocos casos (v.gr. Brasil) y principios  (v.gr. Colombia, Perú, Argentina y Ecuador) y finales de los noventa (v.gr. Bolivia y Venezuela; así como también principios del dos mil (v.gr. Panamá y Honduras),  el desarrollo y reglamentación legal de la institución jurídico constitucional de igual forma se ha dado en diferentes períodos de tiempo por variopintas razones que van desde las político-jurídicas (razones de seguridad de Estado y de las personas), pasando por la culturales, libertad de expresión, opinión y pensamiento hasta las de índole financiero, económico, comercial o bancario. Esas diferencias temporales en algunos casos han sido cortas desde la constitucionalización hasta la reglamentación de tipo legislativo, entre cinco y seis años (v.gr. caso Argentino); entre seis a diez años (v.gr. El caso de Brasil, Perú, Panamá, Uruguay, México y Honduras); y, de más de diez años (Casos en los cuales se tienen presentados varios proyectos de ley orgánica o estatutaria de Hábeas Data, pero que todavía no acaban de concretarse en leyes de cada Estado, v.gr. El Caso de Colombia, Ecuador, Bolivia, Venezuela; entre otros).

 

  1. EL HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE LA REPUBLICA ARGENTINA

 

En la Argentina con una forma de Estado sui géneris: República Federal, existe normatividad general para la «nación», como ordenamiento jurídico para las regiones y ciudad autónoma de Buenos Aires. En tal virtud, veremos a continuación la Ley General de Protección de datos para la República Argentina, y las Leyes especiales de protección de datos para la ciudad autónoma de Buenos Aires y para la Provincia del Neuquem.

 

2.1.      Ley de Protección de datos personales en la República  de Argentina

2.1.1.   Estructura formal de la Ley

 

La Ley 25.326 de Octubre 4 de 2000, que regula la protección de los datos personales en Argentina, tiene la siguiente estructura formal:

 

Capítulo I, relativo a las Disposiciones Generales, compuesto por un objetivo de la ley (artículo 1º); unas definiciones utilizadas en el contexto de la ley y eminentemente técnicas, pero aplicables al derecho informático, tales como: Datos personales, Datos sensibles, Tratamiento de Datos, responsable del archivo, Datos informatizados, Titular de los Datos, Usuario de los Datos, Disociación de los Datos (artículo 2º).

 

Capítulo II, referente a los Principios generales relativos a la protección de datos, que son los que guían y orientan todo el proceso informatizado de datos de la persona humana y caracterizan a la ley como una norma especial aplicable a las personas físicas o naturales. Estos principios son: a) Licitud del archivo de datos (artículo 3º); b) Calidad de los datos (artículo 4º); c) Consentimiento (artículo 5º); d) Información (artículo 6º); e) categoría de los datos (artículo 7º); f) Datos relativos a la Salud (artículo 8º); g) Seguridad de los datos (artículo 9º); h) Deber de confidencialidad (artículo 10º ); i) Cesión (artículo 11); j) Transferencia internacional (artículo 12).

 

Capítulo III, relativa a los Derechos de los titulares de datos, que no son otros que las facultades inherentes al Hábeas Data que denominamos administrativa y el consecuente Hábeas Data jurisdiccional en el que desemboca. En efecto, se menciona en principio el derecho a la información que tiene toda persona para consultar sus datos (artículo 13); el derecho de acceso de sus propios datos recabados en bancos de datos públicos o privados (artículo 14º); contenido de la información, la cual debe ser clara, accesible, amplia, no vinculante de terceros y podrá suministrarse por escrito, medios electrónicos, de imagen u otro idóneo (artículo 15º); Derecho de rectificación, actualización o supresión de los datos, como derecho trípode y alternativo de toda persona que se hace efectivo frente al incumplimiento de los organismos o responsables de los bancos de datos, a través de la «acción de protección de datos o de habeas data» (artículo 16º); excepciones al acceso, rectificación, actualización o supresión de datos, por protección de la defensa nacional, orden y seguridad públicos, o de protección de derechos o intereses de terceros (artículo 17º); Comisiones legislativas de seguridad Interior e Inteligencia del Congreso (artículo 18º); se  establece un principio adicional y concreto: el de gratuidad en las gestiones de rectificación, actualización o supresión de datos (artículo 19º); Impugnación de valoraciones personales contenidas en decisiones judiciales o actos administrativos, si revelan un perfil o personalidad del interesado (artículo 20º).

 

Capítulo IV, sobre los Usuarios y responsables de archivos, registros y bancos de datos. Relaciona la inscripción en el Registro de datos, ante el cual debe realizarse por parte de todo responsable de archivos, registros o bancos de datos públicos o privados (artículo 21º); Archivos, registros o bancos de datos públicos (artículo 22º); bancos de datos especiales de particulares con fines administrativos para la seguridad nacional o pública: fuerzas armadas, de seguridad, organismos policiales y de inteligencia (artículo 24º); prestación de servicios informatizados de datos personales por cuenta de terceros (artículo 25º); prestación de servicios de información crediticia (artículo 26º); Archivos, registros o bancos de datos con fines de publicidad (artículo 27º); Archivos, registros o bancos de datos relativos a encuestas. En las encuestas de opinión, mediciones y estadísticas se aplica la Ley 17.622 (artículo 28º);

 

Capítulo V, sobre el Control de los datos personales del concernido. Contiene normas referentes al órgano de control, sus facultades, deberes y derechos frente a los titulares, usuarios y responsables del procesamiento de datos. Es un órgano con autonomía funcional y actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. Se designará por cuatro años, por el ejecutivo (artículo 29º); Códigos de conducta para asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada (artículo 30º).

 

Capítulo VI, relativo a las Sanciones. Las sanciones administrativas son imponibles por el organismo de control, sin perjuicio de las penales o las de responsabilidad por daños y perjuicios derivados de la inobservancia de la ley (artículo 31º); Sanciones penales: se incorpora a la ley dos tipos penales al Código Penal Argentino (artículo 32º).

 

Capítulo VII, relativo a la Acción de protección de datos personales. Se relaciona la procedencia de la acción en dos casos: a) Para tomar conocimiento de los datos almacenados en bancos de datos públicos o privados; b) Cuando se presuma falsedad, inexactitud, desactualización, o durante el tratamiento de la información, para exigir la rectificación, supresión, confidencialidad o actualización (artículo 33º); legitimación activa de acción por parte del «afectado», tutores o curadores o sucesores de las personas físicas directamente o por apoderado. La Legitimación de «personas ideales», se hace por representante legal o apoderado. Coadyuva el Ministerio Público (artículo 34º); legitimación por pasiva. La acción se dirige contra los responsables y usuarios de los bancos de datos públicos y privados (artículo 35º); Competencia: Juez del domicilio del actor. La competencia federal, cuando se interponga en contra de archivos de datos públicos de organismos nacionales, o cuando los archivos de datos se encuentren interconectados interjurisdicciones, nacionales o internacionales (artículo 36º); Procedimiento aplicable a la acción de hábeas data, el del procedimiento de amparo común (artículo 37º); Requisitos de la demanda escrita (artículo 38º); Trámite: Admisión de la demanda, requerimiento a demandado, solicitud de informes, sí procede y resolución en 5 días (artículo 39º); Confidencialidad de la información, salvo en fuentes de información periodística y excepciones de ley (artículo 40º); contestación del informe: razones de su aceptación o negativa (artículo 41º); Ampliación de la demanda: 3 días (artículo 42º); Sentencia (artículo 43º); Ámbito de aplicación: De orden público y se aplica a todo el territorio nacional (artículo 44º); El ejecutivo reglamentará la ley (artículo 45º); Disposiciones transitorias (artículo 46º )

 

2.1.2.               Comentarios sucintos a la Ley

 

2.1.2.1.            Aspectos preliminares

 

Si bien la estructura de la norma especial argentina revela una cohesionada y bien intencionada ley de protección de los datos personales, dirigida a eliminar, restringir o minimizar la alta permeneabilidad que hoy por hoy, tienen los medios TIC y la informática en el pleno de derechos y libertades constitucionales y legales y especialmente del derecho a la intimidad, la imagen, el honor y la buena reputación. No es menos cierto, que dicha  estructura normativa como las finalidades, objetivo, principios, mecanismos administrativos y jurisdiccionales para protegerlos, así como las autoridades creadas para tales fines y loables propósitos no pertenecen a la cultura y experiencia jurídica argentina, pues como duramente lo sostiene Moeykens,  la ley nº 25.326 de noviembre de 2000, «no es mas que una triste copia mal efectuada de la vieja LORTAD española» [1].

 

En efecto, la Ley de protección de datos argentina o de Hábeas Data para la época en que fue expedida debió el legislador, si esa era su técnica y estilo, apegarse al texto ya no de la LORTAD de 1992 que tantas críticas estructurales y de contenido había recibido en el derecho ibérico y en el comparado [2], sino a la nueva Ley de protección de datos personales de 1999  (L.O.15/99 o LOPDP) que corregía defectos de forma y fondo evidenciados por las varias demandas de constitucionalidad de personas, asociaciones o del propio defensor del pueblo español ante el Tribunal

 

_____________________

(1)        MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

(2)         Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.30 y ss.

__________________

Constitucional;  llenaba unos vacíos protuberantes sobre facultades efectivas de los titulares de derechos frente al tratamiento como al almacenamiento de datos, recabados, almacenados o comunicados («transferidos» o «cedidos») en bancos de datos (sinónimos de bases, archivos, registros o ficheros de datos); reestructuraba las vías previas y procesales del procedimiento originado en la acción de Hábeas Data; así como también reedificaba la aplicabilidad de la normatividad sobre protección de datos tanto los bancos de datos de titularidad pública como de titularidad privada, con las pertinentes excepciones para unos y otros; entre otros aspectos que brevemente analizaremos ut infra.

 

Ante este proceder del legislador argentino, podemos decir, que la Ley de protección de datos argentina (LPDA) de 2000, acusa los mismos defectos y falencias de la LORTAD de 1992, y por supuesto, lo más gravé que desconoció las actualizaciones que la LOPDE de 1999 de España debió transponer como obligación de Estado miembro de la UE y previstas en  las Directivas Europeas 95/46/CE y 97/66/CE.

 

Sin embargo y paradójicamente a nivel latinoamericano se pone a la vanguardia en legislación específica sobre la materia, pues acoge el modelo normativo europeo sobre protección de datos personales, al transliterar la LORTAD de 1992 al derecho argentino. Efectivamente la LORTAD recoge normativamente hablando, los lineamientos, objetivos, principios y normas procedimentales sobre protección de los datos personales contra los abusos del «poder informático» previstos en las normas aplicables a la Unión Europea, entre ellos, El Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981 y las recomendaciones de la OCDE de 1980, así como también de las normas alemanas y suizas de la década de los años setenta, sobre protección de datos personales.

 

2.1.2.2.            En relación al objeto y aplicabilidad de la ley

 

En relación al objeto de la ley, la LORTAD especificaba en el artículo 1º que ésta tenía por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. Con lo cual, el objeto resulta mucho más amplio que el propuesto por la Ley de protección de datos argentino. Objeto que fue parcialmente mutilado.

 

El Objeto de la nueva Ley orgánica de protección de datos española (LO.15/99), aclara de una buena vez, lo que en la LORTAD era objeto de interpretación y discusiones doctrinales y jurisprudenciales, vale decir que ésta sólo se dirige a proteger los derechos fundamentales de las personas naturales o físicas [3] «y especialmente de su honor e intimidad personal y familiar», derechos personalísimos que se reputan del ser humano, pero no de las personas jurídicas, morales o «ideales», como se denominan en el derecho argentino.

 

La LPDA de 2000, estipula en el inciso segundo del artículo 1º,  que la ley también será aplicable a las «personas de existencia ideal«, previendo que también existe una especie de derecho al honor y la intimidad de las personas jurídicas que eventualmente pudieran ser vulnerados por los abusos del «poder informático» o los tratamientos informatizados de los datos de aquellas. Precisamente para evitar esa discusión que se dio en el derecho ibérico y ahora la revive el derecho argentino, la nueva ley española de protección de datos enfatizó en la protección de derechos fundamentales de la persona humana. Quizá la jurisprudencia de la Corte Suprema Argentina, examine a fondo este aspecto y pueda declarar inconstitucional, la extensión de la ley a las personas ideales.

__________________

(3)        Ob., ut supra cit.

___________________

 

 

2.1.2.3.            En lo referente a las definiciones técnico-jurídicas de la ley

 

La LORTAD de 1992, tal como lo recoge la LPD argentina en el artículo 2º  y lo mantiene la LOPDP de 1999, en el artículo 3º,  se suministran unas definiciones técnico-jurídicas aplicables al tratamiento de datos personales y al mejor entendimiento del objeto y fines de la Ley de Protección de Datos. La principal diferencia entre la LPD de Argentina, es que considera dato personal, toda información concerniente a personas físicas e ideales, cuando la LORTAD de 1992 y la LOPDP española de 1999, solo consideran a los efectos de la ley, la información de las personas físicas.

 

El  término  «Archivo, registro, base o banco de datos«, como el conjunto organizado de  datos personales que son objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso que relaciona el artículo 2º, inciso 3º de la LPD argentina, resulta más amplio y comprensible que término «fichero automatizado« [4]  que traía el artículo 3º, literal b, de la LORTAD, pues como observábamos en su momento el tratamiento de datos no sólo puede darse por medios electrónicos, informáticos o telemáticos, sino también por medios mecánicos, escritos o tradicionales. La LOPDP española, en el artículo 3º, literal b, corrigió dicho error y sólo mención al término «fichero» (del francés «fichiers», sinónimo de banco o base de datos).

 

La LPD argentina en el artículo 2º, inciso 7º,  define el término «titular de los datos«, como toda persona física o persona de existencia ideal…cuyos datos sean objeto del tratamiento previsto en la ley. Esto en concordancia a lo dicho anteriormente que son sujetos destinatarios de la ley, no solo las personas físicas sino también las jurídicas.

 

La LORTAD de 1992, en su momento ya era criticada porque definía el solo el término «afectado», como a  la Persona física titular de los datos que fueran objeto del tratamiento informatizado (electrónico o manual) previsto en dicha ley. Se cuestionaba la acepción negativa utilizado por la LORTAD para identificar al titular de algún derecho y por eso la LOPDP española adicionó a dicho término el calificativo de «o interesado«, para incluir el lado positivo del concepto de titular de los datos.

 

La LPD argentina en el artículo 2º, inciso 2º,  define una institución jurídica altamente permeable y de difícil concreción en una definición, como son los «datos sensibles». Así lo entendió la LORTAD de 1992 y lo ratificó la LOPDP de 1999, las cuales prefirieron regular la institución sin nominarla expresamente en diferentes normas relativas a los niveles  potenciados de protección de ciertos datos especiales y en tal virtud, reglamentar lo relativo a la limitación, restricción o prohibición de aquellos, según la fase del tratamiento informatizado o no de los «datos especialmente protegidos» y como consecuencia ineludible de la aplicación del principio rector del tratamiento de datos, cual es el «consentimiento» de titular de los datos («afectado o interesado», según la LOPD).

 

La LPD Argentina definió los «datos sensibles», como aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

______________________

(4)        La LORTAD de 1992, definía así: «Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso«.

__________________________

 

La Exposición de Motivos de la LORTAD de 1992, sobre el tema propuesto, manifestaba:

 

Por su parte, el principio de consentimiento, o de autodeterminación, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento consciente e informado del afectado para que la recogida de datos sea lícita; sus contornos, por otro lado, se refuerzan singularmente en los denominados «datos sensibles», como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2- y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España.

 

Los demás términos definidos por el artículo 2º de la LPDA de 2000, son de idéntica transliteración a los relacionados en la LORTAD de 1992.

 

 

2.1.2.4.            Los principios que orientan el tratamiento de datos

 

Los principios instituidos en toda ley o norma jurídica obedecen a la utilidad suprema que de estos se hace en el contexto de la norma y las finalidades que prestan para entender, interpretar o aplicar al caso concreto un inciso, artículo, capítulo o título de la ley. Estos principios sirven de guía y orientación al operador jurídico y por ello la denodada construcción del legislador al comienzo de cada norma jurídica.

 

Los principios o directrices interpretativas o integradoras de la protección de los datos personales en el derecho argentino se plasman en los artículos 3º a 12º de la Ley 25326 de 2000. Estos son: (i) licitud de las bases de datos, (ii) Calidad de los datos, (iii) consentimiento, (iv) Deber de información, (v) Categoría de datos, (vi) Datos relativos a la Salud, (vii) Seguridad de los datos, (viii) Deber de confidencialidad, (ix) Cesión, (x) Transferencia Internacional.

 

La LPD Argentina en estos temas  transcribe en su integridad y extensión lo previsto en los artículos 4 a 11º de La LORTAD de 1992. Sin embargo, existen algunas diferencias, particularmente sobre lo siguiente:

 

  1. a) La LPD individualiza el principio de la licitud de los «Archivos de datos» que la LORTAD lo incluye en el principio de la calidad de datos. La Ley Argentina, estima que tanto en la formación, como en el tratamiento y las finalidades las bases de datos no deben ser contrarios a la leyes o «a la moral pública«.

 

  1. b) Si bien el principio del consentimiento se establece como regla general en todo procedimiento o tratamiento de datos personales en la LPD Argentina, como en la LORTAD de 1992, en la primera se instituyen unas excepciones numerus clausus, en los que no se requiere dicho consentimiento, al punto que la LORTAD enfatizó en las excepciones relativas a las fuentes accesibles al público, cuando se recolecte información para el ejercicio de las funciones de las «Administraciones Públicas» y las que surgen en las relaciones laborales [ 5 ].

 

Por su parte, la LPD Argentina, manifiesta en el artículo 5º , numeral 2º , que no se requerirá el consentimiento del concernido cuando: (i) los datos se obtengan de fuentes de acceso irrestricto, (ii) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal, (iii) Se trate de listados cuyos datos se limitan a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio, (iv) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento, (v) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

 

El consentimiento en la LORTAD de 1992, según el numeral 3º del artículo 6º, podrá ser revocado cuando exista causa justificada para ello y no se le atribuya efectos retroactivos. Este derecho de capital importancia para el titular de los datos no fue previsto en la LPD Argentina.

 

  1. c) El deber de la confidencialidad prevista en el artículo 10º de la LPD Argentina, se diferencia tan solo en el nombre utilizado por el artículo 10º de la LORTAD de 1992, pues en ésta se denomina «Deber de secreto». En cuanto al contenido son idénticos. Resulta una adición válida la hecha por la LPD Argentina, cuando estipula en el numeral 2º del artículo mencionado, que «el obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública«.

 

  1. d) La LPD Argentina de 2000, instituye como principio importante del tratamiento de datos personales, «la transferencia internacional» que por regla general esta prohibida, si los países u organismos internacionales no ofrecen niveles de protección adecuada (y agregamos, y niveles de seguridad tecnológica y jurídica pertinentes). Se exceptúa en los siguientes casos: (i) Colaboración judicial internacional; (ii) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se aplique un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables; (iii) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicables; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; y, (v) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

 

La LORTAD de 1992, le dedica a este tema el Título V, relativo al «Movimiento Internacional de datos«, y en el artículo 32, se establece la regla general de no podrán realizarse transferencias temporal ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento automatizado o

____________________

(5)        El artículo 6º, numeral 2º de la LOPDP Española de 1999, amplia el listado en el cual no se requerirá el consentimiento del concernido,  (i) cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; (ii) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (iii) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley (Es decir, los datos de la salud para diagnóstico y prevención que afecte la vida del interesado); (iv) o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

_______________________

hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. En cuanto a las excepciones a la regla, son de idéntico tenor a las previstas en el artículo 12º numeral 2º de la LPDA de 2000.

 

La LOPDP de 1999, acogiendo las críticas hechas a la LORTAD en su momento, reestructuró la norma y en el numeral 2º del artículo 33, agregó sobre el movimiento Internacional de Datos para estar acorde con las Directivas 95/46/CE y 97/66/CE, que el carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. Así mismo, aumento el listado de excepciones al previsto en la LORTAD de 1992 y que ut infra precisaremos.

 

2.1.2.5.            Los derechos de los titulares de los datos personales

 

La doctrina ha clasificado los derechos y deberes [6] de las personas frente a la recolección, el almacenamiento, el tratamiento propiamente dicho y la comunicación («circulación» o «transferencia») de datos, tal como lo confirma Tanús, al recoger un clasificación de Cifuentes de la siguiente manera: (i) Derecho oposición, (ii) derecho de información, (iii) Derecho de acceso, (iv) derecho de rectificación, cancelación o supresión; (v) Derecho de tutela, (vi) Derecho a la impugnación de valoraciones; y, (vii) Derecho de consulta. Y agregamos, el primero el derecho a conocer la información por parte del concernido, y el último en esta clasificación, el derecho a la oposición a la comunicación de los datos sensibles o a aquellos en donde no ha dado su consentimiento, siendo que éste se requiere expresamente.

 

Sin embargo, a efectos de nuestro ensayo nos referiremos a los derechos que aparecen en la ley. La LPDA, en los artículos 13 a 20, expresa que estos son: (i) Derecho a la Información, (ii) Derecho de acceso, (iii) Derecho de rectificación, actualización o supresión; y (iv) Derecho a la impugnación de valoraciones personales. Estos derechos son de idéntico tenor a los previstos en los artículos 12 a 17 de la LORTAD, con mínimas diferencias.

 

El Derecho a la información, es aquél que tiene toda persona para solicitar información al organismo de control (autónomo y descentralizado del ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, en el derecho argentino) relativa a la existencia de bancos de datos personales, sus finalidades y la identidad de sus responsabilidades. Igual contenido tiene el artículo 13 de la LORTAD de 1992. La diferencia estriba en que la información se ha de solicitar al Registro Nacional de Datos Personales dependiente de la Agencia de Protección de Datos española (APDE), que es el organismo de control general de datos en todo el territorio español

 

_______________________

(6)        Como deberes se establece: (i) Deber de secreto, (ii) Deber de inscripción, (iii)  Deber de información, (iv) Deber de seguridad, (v) Deber de velar por la calidad de datos, (vi) Deber de dar acceso a los datos, (vii) Deber de rectificación, cancelación y supresión, (viii) Deber de bloqueo, (ix) Deber de controlar la cesión de datos a terceros, (x) Deber de información al cesionario. Cfr. TANUS, Gustavo D. Protección de datos personales: principios, derechos, deberes y obligaciones.  En: http://www.protecciondedatos.com.ar

___________________________

 

 

La información que suministre (en forma escrita o por medios electrónicos, teléfono, telemedia o cualquier otro medio idóneo) el organismo competente argentino debe ser clara, exenta de codificaciones y fuera necesario   acompañada  de  una  explicación,  en lenguaje accesible a todos. Así mismo, la información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el interesado.

 

El Derecho de acceso de datos, lo tienen: (i) El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes; y (ii) El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

 

Vencido el plazo estipulado en el numeral (ii), sin que se satisfaga solicitud de información, o si se expidiera el informe, éste no es completo, quedará expedita la acción de protección de datos o de Hábeas Data. Esta acción es gratuita y se ejerce a intervalos no inferiores a  seis meses (12 meses en la LORTAD), salvo que se acredite un interés legítimo al efecto.

 

El derecho de rectificación, actualización, supresión («cancelación» dice la LORTAD y así lo reconoce la doctrina argentina [ 7 ] ) y de confidencialidad  son aquellos derechos que tienen todas las personas, cuando sea concernidas con datos o informaciones que se hayan recabado, almacenados o administrados en bancos de datos de carácter público como de carácter privado. En tal virtud, el responsable o usuario del banco de datos, procederá a rectificar, actualizar, suprimir o conservar la confidencialidad de los datos personales del concernido, realizando las operaciones necesarias para conseguir dichos fines, dentro del plazo de cinco días hábiles a la recepción del reclamo o de detectado el error o la falsedad en los datos. Si se incumple éste término, habilita al titular de los datos para que ejerza la acción de protección de los datos o Hábeas Data.

 

En el evento de cesión o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.

 

La supresión de datos no procede cuando pudiera causar perjuicios a terceros, o cuando existiera una obligación legal de conservar los datos.

 

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que encuentra sometida a revisión.

 

______________________

(7)        El derecho de cancelación permite eliminar del archivo o base de datos a aquellos datos personales que, por diversas circunstancias, no deben figurar en el mismo. Es importante poner de manifiesto que el término «cancelación» debe ser entendido en forma amplia como la acción tendiente a hacer irreconocibles los datos archivados, ya sea anulando, destruyendo, borrando, tornando ilegibles o declarando su nulidad. La metodología empleada diferirá de acuerdo a las circunstancias. Demás está decir que existen casos en los que, por cuestiones de interés público, será imposible eliminar completamente una información. Prueba de ello es la excepción a la destrucción física de los datos que la ley contempla en artículos al referirse al mecanismo de bloqueo de datos.  Cfr. TANUS, Gustavo D. Protección de datos personales… Ob., ut supra cit.

_____________________

 

Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

 

La LPDA de 2000, establece unas excepciones al derecho de acceso y de rectificación, actualización y supresión, por parte de los responsables o usuarios de los datos personas, mediante «decisión fundada» (o mejor, motivada y notificada) en los siguientes casos: (i) Cuando se trate de la función de protección de la defensa de la Nación, del orden y la seguridad públicas, o de la protección de los derechos o intereses de terceros; (ii) Cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. El derecho de acceso se permitirá en el evento que el titular del dato lo requiera para su defensa.

 

El derecho a la impugnación de valoraciones personales consiste en la facultad que tiene toda persona para impugnar una decisión judicial o un acto administrativo, cuando estas impliquen apreciación o valoración de la conducta humana y a la cual sólo se llegue como y único fundamento sea el resultado de un tratamiento informatizado de datos personales y configure un banco de datos público o privado. Será nulas las decisiones o actos que contravengan este derecho.

 

Sobre el tema en particular, el artículo 12 de la LORTAD, fue transvasado por la LPDA de 2000, hasta el punto que sólo se hace referencia a los actos administrativos o «decisiones privadas», las que pueden impetrarse por el titular de los datos mediante los recursos administrativos o particulares pertinentes, pero no de las «decisiones judiciales», pues éstas tienen otro tratamiento e impugnación jurídicos dentro de cada proceso jurisdiccional y que por su puesto no será pertinente o idóneo el recurso administrativo o particular. Igualmente se transvasa la LORTAD, cuando determina que los actos que contravengan las disposiciones de la LPDA, artículo 20, serán «insanablemente nulos«, pues esto no esta previsto en la LORTAD y jurídicamente resultaría improcedente el declaratoria de nulidad de una decisión judicial en la que se haga una valoración del comportamiento de una persona (que no «conducta humana», como dice el artículo 20) que suministre un «perfil o personalidad del interesado».

 

En efecto, el artículo 12 de la LORTAD, sostiene: «El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad». La LOPDP española de 1999, amplia los supuestos en los que pudiera valorarse el comportamiento de una persona y el efecto jurídico que podría dársele a éstas en el artículo 13, pero en ningún caso la declaratoria de nulidad por una autoridad que no sería la competente para hacerlo. El numeral 4º del artículo 13 sostiene: la valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

 

Bien sea por vía reglamentaria de la LPDA de 2000, o por vía de aplicación supletoria de la Ley de procedimiento Administrativa Argentina, el ejecutivo debería prever el procedimiento administrativo que se desata para ejercer los derechos de información, acceso y oposición, así como de rectificación, actualización y cancelación de los datos y  igual forma del derecho a impugnación de la valoración del comportamiento humano mediante un tratamiento de datos, pues hasta que esto no se clarifique el titular de estos derechos y la autoridad competente que debe conferir y decidir, si fuere presentado un derecho de petición en concreto, pueden proceder conforme a derecho.

 

El ejercicio de estos derechos ante el organismo de control de la protección de datos, bien podría instituir lo que llamamos el Hábeas Data administrativo, pues una vez agotado los trámites, procedimientos o términos procesales, podrá acudirse al Hábeas Data jurisdiccional, que en la LPD Argentina de 2000, se posibilita no por agotamiento previo de esas vías administrativas, sino por incumplimiento de las autoridades competentes del control a resolver en el término prefijado por la LPDA, o por el simple transcurso del tiempo, sin resolución alguna, es decir, por la configuración de una especie de silencio administrativo negativo de plazo brevísimo: (i) Diez (10) días para ejercer la acción de Hábeas Data, cuando no se hace efectivo el derecho de acceso a la información del titular de los datos; (ii) Cinco (5) días para ejercer el Hábeas Data, cuando no se hace efectivo el derecho de rectificación, actualización o cancelación de los datos.

 

2.1.2.6.            Sobre la prestación de servicios de solvencia patrimonial o crediticia

 

La LPDA de 2000, regula el tema de la «prestación de servicios de información crediticia» en el artículo 26 de parecida redacción al artículo 28 de la LORTAD y artículo 29 de la LOPDE de 1999, sobre la prestación de servicios de solvencia patrimonial o crediticia.

 

El  dato   financiero,   como   hemos  tenido  oportunidad  de decirlo  en  otro  de nuestros trabajos[8], se entiende aquella información concerniente a una persona determinada o determinable tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público, se puede decir genéricamente que el dato es financiero, pues según el diccionario el término financiero puede definirse como lo «perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles» [ 9 ], con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

 

Las Leyes de protección de datos española de 1992 y 1999, regulan esta clase especial de datos de la persona humana tan solo desde el ámbito privado, tal como lo confirma la ubicación de los artículos 28 y 29, respectivamente. En efecto, las normas hacen parte integrante del Título IV, relativo a la «Disposiciones Sectoriales», Capítulo II, «Ficheros de titularidad privada«.  En cambio, la LPDA al no ubicar formalmente bajo un título o capítulo de la ley que determine qué clase de información financiera regula, deberá entenderse que lo hace en el ámbito privado y público, indistintamente, aunque los contenidos sigan siendo de la información financiera de carácter privado de la norma origen: la LORTAD.

 

La LPDA de 2000, expone en el artículo 26, que en la prestación de servicios de información crediticia sólo pueden tratarse los siguientes datos personales: (i) Los de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público (vale decir, los de dominio público, sin restricción o limitación alguna que no sea un pago por la contraprestación [10] ) o procedentes de informaciones facilitadas por el interesado o con su consentimiento; y, (ii) Los relativos al cumplimiento o incumplimiento de las obligaciones de carácter patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

___________________

(8)        RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

(9)        Ob., ut supra cit.

(10)       AA.VV. Microsoft® Encarta® 2007. © 1993-2006 Microsoft Corporation. Reservados todos los derechos.

_____________________

 

 

El tratamiento o procesamiento de estos datos financieros, en el derecho argentino deberán observar las siguientes reglas: (i) A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión; (ii)  Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económica financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación debiéndose hacer constar dicho hecho; y (iii) La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

 

Los datos personales de carácter privados recabados en los correspondientes bancos de datos, tanto en la legislación española de 1992  como en la legislación argentina de 2000, hacen énfasis en los realizados con fines de publicidad, los relativos a encuestas o investigaciones y los destinados a la prestación de servicios de información de solvencia patrimonial y crediticia. La LORTAD de 1992, incluía también los relativos a los abonados a los servicios de las telecomunicaciones y otros servicios prestados a la comunidad. Por su parte, la LOPD española de 1999, se ratifica los anteriores, reestructura los bancos de datos en los que se incluye información de acceso al público e incluye entre ellos, a los que figuren en el censo promocional, las listas de personas o grupos profesionales, los colegios profesionales, entre otros. Así como también los tratamientos con fines de publicidad y prospección comercial y censo promocional.

 

Sin embargo, es innegable que los asuntos que más nutren la jurisprudencia de la Corte Suprema de Justicia de la República argentina son los de índole financiero, especialmente en la labor crediticia de las entidades o instituciones bancarias privadas más que públicas, como tuvimos oportunidad de ponerlo en evidencia en el trabajo ut supra citado [ 11 ]. Todo por cuanto desde el nacimiento mismo de los proyectos de ley que trataban de regular el Hábeas Data como derecho y garantía constitucional previsto en las respectivas constituciones, el énfasis que se marcaba por la alta sensibilidad de los destinatarios de la información (usuarios, responsables de los bancos de datos  y con mayor razón el titular de los datos personales), consistía en la información financiera [12]. Aunque también hay que reconocer que en unos Estados Latinoamérica, más que en otros, se ha convertido en un obstáculo real a la hora de desarrollar y reglamentar legislativamente el Hábeas Data [13].

 

_____________________

(11)       Según el artículo 3º de la LOPD de España de 1999, para evitar confusiones terminológicas definió a las fuentes accesibles al público en el literal j), así: «Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación«.

(12)       RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

(13)       La historia legislativa  sur y centro americana cuando de la reglamentación del derecho y garantía constitucional del Hábeas Data se trata, ha mostrado la propensión a reglamentarlo haciendo énfasis en el dato financiero, fiscal, tributario, tarifario o de servicios públicos más que en cualquier otra arista del dato personal. Así se demuestra en los variopintos proyectos de ley orgánica o especial que en su momento los Estados de Argentina, Perú, Chile, Uruguay, Paraguay, excepto el Brasil cuya motivación e inspiración constitucional del Hábeas Data hunde sus raíces en el Constitucionalismo Portugués y en el ámbito de la seguridad e información ciudadana, los secretos de Estado y las actividades desbordantes, por decirlo menos, de la policía política, a juicio de DE ABREU DALLARI, Dalmo. En: RIASCOS GOMEZ, Libardo O. Los datos personales de carácter financiero… Ob., ut supra cit.

______________________

 

 

En Colombia por ejemplo, quizá el dato financiero haya sido la mayor piedra en el zapato, a la hora de expedir una Ley relativa a la reglamentación integral del Hábeas Data, aunque los diversos proyectos de ley de diferentes orígenes (parlamentario, gubernamental, defensoría del pueblo, entre otros), algunos no logren hacer el tránsito legislativo inicial, otros se queden en la etapa de control constitucional previo, por vicios de forma (por ser proyectos de ley estatutaria que tienen un procedimiento legislativo especial) y los últimos no logren el puntillazo legislativo final por errores o vicios de trámite legislativo, pero ninguno de ellos por estudio del contenido total o parcial. Esta labor la ha hecho la doctrina al develar los contenidos con muchas falencias, parcializados, descontextuados, con transliteraciones y mutilaciones de leyes extranjeras, o con exagerados énfasis de un solo tipo de dato personal: el financiero.

 

2.2.      Ley de protección de datos personales de la Ciudad Autónoma de Buenos Aires

 

Mediante la Ley nº 1845, se reglamenta la protección de datos personales de la ciudad autónoma de Buenos Aires, la cual ha sido «vetada parcialmente» por el Decreto 1914 de 2006, de 29 de Diciembre.

 

2.2.1.   Estructura formal de la Ley

La estructura formal de la ley es la siguiente:

 

Título I, relativo a las «Disposiciones Generales«: El Objeto de la ley: la regulación del tratamiento informatizado de los datos de las personas físicas e «ideales» dentro de la ciudad de Buenos Aires (artículo 1º);  Ámbito de aplicación: Se extiende a los bancos de datos públicos de entidades y organismos nacionales y descentralizados presentes en la ciudad de Buenos Aires, bien pertenezcan  al poder ejecutivo, legislativo y judicial (artículo 2º); Definiciones de términos técnico jurídicos de: Datos personales, Datos sensibles, Archivos, Registros, Bases o Bancos de Datos, Tratamiento de datos, Titular de los datos, Responsable del Archivo, Registro, Base o Banco de Datos, Encargado del Tratamiento, Usuario de Datos, Fuentes de Acceso Público Irrestricto (artículo 3º)

 

Título II, referente al «Régimen de los Archivos, registros o bases o bancos de datos» Creación de archivos, registros, bases o bancos de datos, con fines y propósitos lícitos y socialmente aceptados (artículo 4º); Tratamiento de datos personales efectuados por terceros. Vetados incisos 1º y 2º  por del Decreto1914/05. El inciso 3º hace referencia a los contratos de prestación de servicios de tratamiento de datos personales deben contener niveles de seguridad exigidos por la ley (artículo 5º).

 

Título III, sobre los «Principios Generales de la protección de los datos personales»: (i) Calidad de los datos; (ii) consentimiento; (iii) Datos sensibles; (iv) Datos relativos a la salud; (v) Cesión de Datos; (vi) Transferencia interprovincial; (vii) Transferencia internacional, artículos 6º a 12º.

 

Título IV, relativo a «Los derechos de los titulares de los datos personales», estos son: (i) Derecho de información; (ii) Derecho de acceso; (iii) Derecho de rectificación, actualización y supresión; (iv) Excepciones: Orden o Seguridad pública, derechos o intereses de terceros. Artículos 13º  a 15º.

 

Título V, referente a «Las obligaciones relacionadas con los datos personales asentados en archivos, registros o bancos de datos» Son: (i) confidencialidad; (ii) Seguridad; (iii) Obligaciones del responsable del banco de datos; (iv) obligaciones del encargado del tratamiento de datos; (v) Obligaciones del usuario de datos; (vi) valoraciones. Artículos 16º a 21º.

 

Título VI, concerniente al «Control»: El defensor del Pueblo (artículo 22) Funciones de registro de la Defensoría: (i) Incisos 1º, 2º y 13º  vetados por el decreto mentado; (ii) La demás vigentes (artículo 23). Conocimiento de los bancos de datos por toda persona (artículo 24º).

 

Titulo VII, concerniente a las «Infracciones»: infracciones administrativas que desconozcan los principios, obligaciones y derechos del tratamiento de datos personales por usuarios y responsables de los datos (artículo 25º).

 

Titulo VIII,  relativa a las «Sanciones»: (i) Responsabilidad de los responsables, usuarios o cesionarios de los bancos de datos del sector público de la ciudad de buenos Aires. (ii) Inmovilización de archivos, registros o bancos de datos. Artículos 26º y 27º

 

Titulo IX,  sobre la «Acción de Protección de Datos»: procede: (i) conocer los datos almacenados en bancos de datos del sector público en la ciudad de Buenos Aires; y (ii) En caso de infracción de la ley y la ley 25236, solicitar la rectificación, actualización, confidencialidad y supresión de datos. Exceptúan las fuentes periodísticas (Artículo 28º); Legitimación por activa: todo «afectado», curador, tutor y sucesores de las personas físicas; las personas «ideales», por representación legal o apoderado (artículo 29º); La legitimación por pasiva. Vetada por el decreto citado (artículo 30º); Jurisdicción y procedimiento aplicado (artículo 31º); Requisitos de la demanda (artículo 32º); Trámite (artículo 33º); confidencialidad de la información (artículo 34º); contestación del informe (artículo 35º); ampliación de la demanda (artículo 36º); Sentencia (artículo 37º).

 

Titulo X, concerniente a «Las disposiciones particulares»: (i) Prestación de servicios sobre solvencia patrimonial y crediticia; (ii) Privacidad laboral en el ámbito del sector público de la ciudad de Buenos Aires; (iii) Disposiciones transitorias.

 

2.2.2.   Comentarios sucintos a la ley

 

La Ciudad Autónoma de Buenos aires, reguló la protección de los datos en la Ley nº 1.845 de 2005 o LPD de CABA, siguiendo los parámetros y estructura de la Ley de protección de los datos de Argentina: Ley nº 25.326 de Octubre 4 de 2000. En tal virtud, los comentarios realizados a ésta ley son válidos para la presente. Sin embargo, se debe aclarar que la LPD de CABA, se expidió con el propósito claro de reglamentar el Hábeas Data solo en el sector público, tal como quedó plasmado en el objetivo y campo de aplicación de la ley (artículos 1º y 2º).

 

En efecto, la LPD de CABA, tiene por objeto y dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad Buenos Aires.

 

Cuando los datos se refieran a información pública y no a datos personales será de aplicación la ley 104 de la Ciudad de Buenos Aires, es decir, Ley nº 104 de 1998, relativa al acceso a la información pública, pues toda persona tiene derecho, de conformidad con  el principio de publicidad de los actos de gobierno, a solicitar y a recibir información completa, veraz, adecuada y oportuna, de cualquier órgano del estado presente en la ciudad de Buenos Aires.

 

A efectos de los comentarios de la presente ley nos referiremos a dos temas no tratados en la LPDA de 2000. Estos son: (i) El organismo de control previsto en la ley para la protección y garantía del Hábeas Data y los derechos fundamentales vinculados con éste; y (ii) Sanciones e Infracciones con motivo del tratamiento de datos.

 

2.2.2.1.            La Defensoría del Pueblo como organismo de control de la protección de datos

 

La Ley de Protección de datos personales de la ciudad Autónoma de Buenos Aires (LPD de CABA, designa como organismo de control de los datos personales a la Defensoría del Pueblo.

 

Según el artículo 137 de la Constitución de la Ciudad Autónoma de Buenos Aires, de 1º de Octubre de 1996, la Defensoría del Pueblo es uno de los organismos de Control de la ciudad autónoma de carácter unipersonal e independiente con autonomía funcional y autarquía financiera, que no recibe instrucciones de ninguna autoridad.

 

Es su misión la defensa, protección y promoción de los derechos humanos y demás derechos e intereses individuales, colectivos y difusos tutelados en la Constitución Nacional, las leyes y esta Constitución, frente a los actos, hechos u omisiones de la administración o de prestadores de servicios públicos.

 

Por su parte,  el artículo 22 de la LPD de CABA, al designar como organismo de control a la Defensoría del Pueblo le confiere unas atribuciones específicas sobre la protección de los datos personales, aparte de las funciones constitucionales previstas en el transcrito artículo.

 

Estas funciones  son: (i) Llevar un Registro de los archivos, registros, bases o bancos datos creados por el Sector Público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrán presentar sus reclamos, de conformidad con lo establecido en el art.4 inc.3 de la presente Ley; (ii) Garantizar el acceso gratuito al público de toda la información contenida en su Registro; (iii) Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las personas; (iv) Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y cumplimiento a los principios contenidos en la presente Ley; (v) Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen establecido por la presente Ley; (vi) Recibir denuncias; (vii) Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires; (viii) Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el archivo, registro, base o banco de datos; (ix) Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad de Buenos Aires; (x) Elaborar informes sobre los proyectos de Ley de la Ciudad de Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos personales; (xi) Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Ciudad de Buenos Aires; (xii) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

 

Por su parte, el Decreto 1914 de 29 de diciembre de 2006, vetó las siguientes funciones: (i) Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del Sector Público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley; (ii) Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así como demás extremos pertinentes; (iii) Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el Sector Público de la Ciudad de Buenos Aires.

 

Estas funciones vetadas a la Defensoría del pueblo corresponden a los incisos 2º, 3º y penúltimo del artículo 22 de la LPD de CABA. Las razones jurídico constitucionales que suministra el Decreto 1914 para el veto, estriban en explicar que la Defensoría del Pueblo si bien es un organismo de control (no ejecutivo ni reglamentario) que no pertenece a las tres ramas del poder público, tiene su autonomía funcional y autarquía financiera y no recibe de instrucciones de ninguna autoridad.   Además, se considera:

 

  1. a) Que la gestión de gobierno en general hace indispensable la utilización de herramientas registrales o de bases de datos conforme lo permite el desarrollo tecnológico alcanzado, por lo que buena parte del instrumental que utilizan los tres poderes de Gobierno se nutre de la generación de bases de datos que, compartiendo con el espíritu de la ley, necesariamente deben ser controladas para evitar un avance estatal sobre la privacidad y derechos que la Constitución de la Ciudad garantiza a las personas que habitan en nuestro territorio, independientemente de la protección que otorga la Constitución y Ley Nacional;

 

  1. b) Que no obstante lo expuesto, del análisis de los párrafos 2°, 3° y penúltimo del referido artículo se advierte que la norma ha conferido a la Defensoría del Pueblo de la Ciudad de Buenos Aires facultades propias del Poder Ejecutivo que exceden la natural esfera de control que debe ejercer el citado organismo, para incursionar en las correspondientes a la administración activa, relacionadas con la implementación y ejecución de las políticas gubernamentales;

 

  1. c) Que las estipulaciones del mismo, al otorgar facultades ejecutivas al órgano de control -la Defensoría del Pueblo de la Ciudad de Buenos Aires-, a través de la creación del Registro de Datos Personales que funcionaría en su órbita, devienen exorbitantes, toda vez que el referido registro concentra la capacidad de autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad; estableciendo los requisitos y procedimientos que deberán cumplimentar dichos archivos, registros, bases y bancos de datos personales, relativos al proceso de recolección de datos, diseño general del sistema, mecanismos de seguridad y control, etc.;

 

  1. d) Que en este aspecto, la ley que se analiza avanza sobre la competencia natural del órgano ejecutivo, al atribuir a la Defensoría del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la normativa reglamentaria, vulnerando de esta manera flagrantemente lo normado por el art. 102 de la Constitución de la Ciudad de Buenos Aires, que ha otorgado en forma expresa dicha atribución al Poder Ejecutivo;

 

  1. e) Que según surge del artículo referido el registro que se crea, no sólo determinaría eventualmente qué conformación técnica deberían tener los registros o bases de datos del sector público de la Ciudad, sino que además debería habilitar su funcionamiento;

 

  1. f) Que de no observarse el artículo 23 en los párrafos señalados, la Defensoría del Pueblo debería autorizar, sólo a modo de ejemplo el funcionamiento de las constancias de datos del Padrón de Contribuyentes y el Registro de Contribuyentes de la Dirección General de Rentas, las bases de prestatarios de servicios de taxis y remises; el Sistema de Seguimiento de Juicios de la Procuración General (SISEJ); las bases de permisionarios en cementerios; el Registro Único de Proveedores (RUP), todas las bases de datos del Registro Civil, el sistema único de mesa de entradas (SUME), etc.;

 

  1. g) Que ello implicaría supeditar todo el funcionamiento de la administración a la autorización de un órgano de control independiente, la Defensoría del Pueblo;

 

  1. h) Que si bien se comparte el espíritu de la ley sancionada, en cuanto al necesario control que debe instrumentarse en esta materia sobre la actividad administrativa del subsector estatal, e independientemente del poder de gobierno que esté a cargo de su implementación, corresponde señalar que tanto la actividad de reglamentación del sistema, como la de habilitación de los registros o bases, atribuida a un «Registro» creado en la órbita de la Defensoría del Pueblo, podría subvertir el orden constitucional.

 

Sin embargo, la Defensoría del Pueblo, a tenor del artículo 24 de la LPD de CABA, está habilitada, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales: (i) legalidad de la recolección o toma de información personal; (ii) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos; (iii) legalidad en la cesión propiamente dicha; y, (iv) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

 

Todo lo anterior,  por cuanto toda persona podrá conocer la existencia de archivos, registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los derechos del titular de los datos así como toda otra información registrada.

 

2.2.2.2.            Infracciones y Sanciones en el tratamiento de datos

 

A tenor del artículo 25 de la LPD de CABA, se consideran infracciones en el tratamiento de los datos personales, las siguientes de carácter administrativo:

 

1)         Realizar el tratamiento de datos desconociendo los principios rectores del tratamiento, ut supra analizados en la Ley de Protección de Datos Argentina, que son los mismos de la presente ley, artículos 6º a 12º .

 

2)         Incumplir las obligaciones de confidencialidad, seguridad, obligaciones del responsable del banco de datos, obligaciones del encargado del tratamiento de datos, obligaciones del usuario y valoraciones (artículos 16 a 21 de la ley)

 

3)         No proceder a solicitud del titular de los datos, o del Organismo de Control a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.

 

4)         Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al Organismo de Control en los supuestos, tiempo y forma que la misma estipula.

 

5)         Ceder datos personales en infracción a los requisitos que se establecen en el artículo 10º de la LPD de CABA.

6)         Crear archivos, registros, bases o bancos de datos, ponerlos en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en la LPD de CABA.

 

7)         No cumplimentar los demás extremos o requisitos que esta ley establece, así como aquellos que el organismo de control establezca en ejercicio de su competencia.

 

8)         Obstruir las funciones que la LPD de CABA, le reconocen al organismo de control.

 

9)         Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así como cualquier otro derecho de que sean titulares las personas físicas o de existencia ideal.

 

Estas sanciones, serán aplicadas de conformidad  con las condiciones y procedimientos que al efecto se establezca en la reglamentación a la LPD de CABA. Dichas infracciones  deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso.

 

Por su parte, el artículo 26 de la LPD de CABA, establece un régimen sancionador correctivo y preventivo de carácter administrativo, cuando se constituya una de las infracciones anteriormente enlistadas.

 

Como régimen general de responsabilidad se establece que los responsables, usuarios, encargados o cesionarios de archivos, registros, bases o bancos de datos del Sector Público de la Ciudad de Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le reconoce a los ciudadanos serán considerados incursos en falta grave.

 

Consecuentemente, el régimen sancionatorio administrativo correspondiente deviene de la comisión de alguna de las infracciones tanto previstas en el LPD de CABA, como en las previstas en la Ley de Protección de Datos de Argentina (Ley 25.326). Esto sin perjuicios de las responsabilidades administrativas, por daños y perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera verificado la infracción: (i) La adopción de las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo, registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos personales; y (ii) La aplicación de las pertinentes sanciones administrativas a los responsables de la infracción individualizando al responsable, los hechos y los perjudicados.

 

Si el que comete la infracción a la LPD de CABA, es un tercero encargado de realizar tratamientos de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5º de la LPD de CABA [14], de acuerdo al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor, las sanciones establecidas por la Ley Nacional Nº 25.326, su reglamentación y/o sus modificaciones.

 

Finalmente, aclara la LPD de CABA, que cumplida la recomendación del Organismo de Control, el Poder Ejecutivo deberá abrir un sumario administrativo para determinar si existió o no una infracción a la presente ley y dicha conclusión deberá ser informada a la Defensoría del Pueblo.

 

En los eventos constitutivos de  infracción 5º  y 6º, anteriormente relacionados (sobre cesión de datos y creación de bases de datos sin requisitos legales), según el artículo 27 de LPD de CABA, el organismo de control podrá requerir al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la infracción, la cesación en la utilización o cesión ilícita de los datos personales y, en caso de corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los derechos de los titulares de datos afectados.

 

Esta inmovilización de bases de datos, técnica y jurídicamente constituye una especie de medida cautelar que podrá ser adoptada por el organismo de control del cual dependa jerárquicamente el administrador o responsable del banco de datos.

 

2.3.      La Ley de protección de los datos personales de la Provincia de Neuquen

 

Mediante la Ley nº 2.307 de 7 de Diciembre de 1999, se regula el «Régimen de la Acción de Hábeas Data» en la Provincia Argentina de Neuquen. Ley fue promulgada el 30 de Diciembre de 1999 y se publicó el 4 de febrero de 2000, fecha en la cual entró en vigencia

 

2.3.1.   Estructura formal de la ley

El Régimen jurídico de la Acción de Hábeas Data, como intitula la ley, se halla reglamentado a nivel provincial, haciendo énfasis en el objeto primordial de la ley, por el cual sostiene que la acción de hábeas data procederá cuando se requiera conocer los datos de una persona que consten en forma de registro, archivo o banco de datos de organismos públicos o privados destinados a proveer informes, como así también para conocer la finalidad a que se destina esa información, si ha sido comunicada a terceros, a quiénes y a qué efectos y para requerir su ratificación, actualización o cancelación.
Asimismo, procederá contra la inclusión de aquellos datos que tiendan a discriminar  a  las personas afectadas y para requerir su supresión, rectificación, confidencialidad o actuación. Y agrega finalmente, que en ningún caso podrá afectarse el secreto de las fuentes y el contenido de la información periodística (artículo 1º).

_________________________

(14)      Inciso 3º del artículo 5º de la LPD de CABA, sostiene:»Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad exigidos por la ley, así como también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley a los fines de evitar una disminución en el nivel de protección de los datos personales«. Por su parte los incisos 1º y 3º del Artículo 5º, fueron vetados por el Decreto 1914 de 2006, por idénticas razones jurídicas a las transcritas sobre las funciones de la Defensoría del Pueblo. Esos incisos sostenía: (i) Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento; y (ii) Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos.

__________________________

 

La ley utiliza una estructura normativa de intitulado  de normas, sin dividir o subdividirla en Libros, Títulos, Capítulos, como lo hacen las leyes de la República Argentina y la de Ciudad de Buenos Aires, sobre la protección de datos personales.

 

Están legitimados para ejercitar la acción de Hábeas Data, toda persona física o jurídica (artículo 2º), y es competente para conocerla todo Juez Civil del lugar donde se encuentre el banco de datos (artículo 3º), previa intimación al responsable del banco podrá accionarse ante el Juez (artículo 4º). El requirente estará asistido de asesores técnicos o jurídicos (artículo 5º), se entenderá silencio del requerido, si no contesta en el plazo de 5 días, si es persona privada, o 15 días si es persona pública (artículo 6º).

 

La acción se interpone dentro de los 60 días siguientes a la notificación de la negativa del responsable del banco de datos (artículo 7º). El trámite es el previsto en la ley y supletoriamente en el proceso «sumarísimo» del Código de procedimiento civil y comercial (artículo 8º). La demanda reúne unos requisitos formales mínimos (artículo 9º). A petición de parte o de oficio, pueden adoptarse medidas cautelares como la no publicación o cesión de datos a terceros, mientras se tramite el proceso (artículo 10º). Se puede ampliar la demanda en cualquier momento del proceso (artículo 11º). Se da traslado de la «acción» al demandado por 5 días (persona privada), o 10 días si es pública  par que conteste (artículo 12º). Se abre a prueba el asunto por un término prudente, sino es de puro derecho (artículo 13º).  Sin necesidad de alegatos previos, se produce la sentencia (artículo 14º). Se impondrá costas al vencido en el proceso (artículo 17º)

 

Dentro de los dos días hábiles de notificación de la sentencia o resolución de medidas cautelares se podrá interponer el recurso de apelación, según el C.P.C. y Co. (artículo 15º).

 

La acción de habeas data deja subsistente las demás acciones pertinentes que quepan en estos casos (artículo 16º). Está exenta de tributo alguno y de sellado (artículo 18º)

 

2.3.2.   Breves comentarios a la ley

 

El legislador provincial de Argentina haciendo uso de la reserva de ley para regular materias de ámbito nacional en todo aquello que no ha sido objeto de regulación integral, o mejor aún que no esté reglamentado en forma clara, amplia o pertinente, expidió la Ley 2307 de Diciembre 7 de 1999, relativa al régimen de la acción de Hábeas Data en la provincia de Neuquen.

 

Efectivamente el legislador provincial entiende que la parte sustantiva de la Ley nº 23.326 de 2000, de Protección de datos de Argentina es amplio, claro y suficiente, sobre todo en el campo de aplicación de la ley a los titulares, usuarios y responsables o administradores de los archivos, registros o bancos de datos personales tanto los de titularidad privada como los de titularidad pública. Así mismo, lo referente al objeto y finalidades de la ley, como también a la infaltable relación de definiciones o conceptos utilizados en el tratamiento de datos personales y para conseguir un mejor entendimiento del objeto y fines de ley especial sobre datos o informaciones de la persona humana. Definiciones cerradas, técnica y jurídicamente comprensibles sobre Datos personales, datos sensibles; Archivo, registro, base o banco de datos; tratamiento de datos, responsable del banco de datos, datos informatizados, titular de los datos, Usuario de los datos y disociación de datos.

 

Igualmente, entiende el legislador provincial que es materia omni-comprensible lo atinente a los principios generales que deben observar quienes son sujetos destinatarios de la ley en todo tratamiento o procesamiento de datos personales de carácter público o de carácter privado. Principios que permean no solo el tratamiento propiamente dicho de los datos personales, sino todas las fases del tratamiento de datos (recolección, selección, almacenamiento y comunicación [15]),  como sostuvimos en la segunda parte de este ensayo jurídico. Esos principios son: (i) Calidad de los datos, (ii) Consentimiento, (iii) Deber de ser informado, (iv) categorización de datos, (v) Datos relativos a la salud, (vi) Seguridad de Datos, (vii) Cesión de datos, (viii) Transferencia internacional de datos.

 

La ley provincial de Neuquen se dedica a puntualizar aspectos procedimentales de la protección de datos personales, pues desde su intitulado clara e inequívocamente hace relación al régimen de la Acción de Hábeas Data y comienza por exponer el objeto de aquella, al exponer que ésta solo cabe en dos oportunidades: (i) Cuando se trata de la aprehensión y conocimiento de los datos del concernido y almacenadas en los bancos de datos públicos o privados; y (ii) Cuando el concernido, ha conocido previamente que los datos o informaciones almacenadas en un banco de datos público son inexactas, faltas o no conformes al ordenamiento jurídico, podrá ejercitar las facultades del Hábeas Data de rectificación, actualización y supresión de los datos.

 

La ley procesal de Hábeas Data de Neuquen a partir del artículo 2º hasta el 19º, puntualiza aspectos procedimentales del proceso «sumarísimo» originado en la acción de Hábeas Data, más desde el punto de vista de los breves lapsos de tiempo de cada una de las etapas jurisdiccionales (Etapas normales de: La litis contestatio: demanda y contestación; etapa probatoria, y etapa de juzgamiento, y la etapa contingente de «medidas cautelares») desarrolladas por el Juez civil del lugar donde se halle el banco de datos, que desde la reestructuración del proceso mismo, pues como lo sostiene la ley comentada, supletoriamente se aplica al proceso  de Hábeas Data, las reglas y etapas del proceso «sumarísimo» previsto en el Código Procesal Civil y Comercial argentino.

 

Los brevísimos términos jurídicos que se establecen para cada etapa procesal comulgan con el espíritu, objeto y finalidades de la ley sobre datos personales tratados o informatizados en bancos de carácter público y privado; así como la efectividad, agilidad y pertinencia de las facultades inherentes al Hábeas Data ejercitadas por el concernido con las informaciones o datos personales. Este avenimiento de términos procesales es concordante con la actividad jurisdiccional que preferentemente avoca el conocimiento de esta clase de procesos en el cual se le suministra un margen de discrecionalidad temporal para la determinación de la etapa probatoria, así como un compás de discrecionalidad funcional para adoptar o no medidas cautelares en el proceso.

 

Las medidas cautelares en todo proceso jurisdiccional o administrativo, como mecanismos procesales que persiguen garantizar la terminación efectiva del proceso mediante sentencia, así como tutelar preventiva y realmente los derechos del demandante o titular de unos derechos o intereses jurídicos pendientes de decisión definitiva, pueden ser adoptadas a instancia de parte o ex officio  por parte de la autoridad judicial o administrativa [16]. En el proceso originado por la acción de Hábeas Data, el juez dispone de la facultad discrecional de adoptar medidas cautelares en el proceso, si previamente no han sido solicitadas por el demandante o interesado. Al respecto, cabe exaltar la labor del legislador de Neuquen,   porque efectiva

__________________________

(15)       Vid. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p.266 y ss.

(16)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis doctoral, Universidad de Navarra, Pamplona (España), p. 430 y ss.

_______________________

y precautelativamente se tutela los derechos del concernido con los datos o  también demandante en el proceso de Hábeas data, porque a pesar de ser un proceso brevísimo en trámites y términos procesales, la instauración de medidas cautelares precave daños y perjuicios mayores, suspende los que se estuvieren produciendo en menor escala o mejor aún, evita que pudieran producirse si el proceso «sumarísimo» demore más de lo debido y por diferentes razones aún las no imputables a las partes o al juez.

 

El Juez, a instancia de parte o de oficio, una vez presentada la demanda y en cualquier estado del proceso, podrá decretar precautelarmente medidas de no innovar a efectos que el demandado se abstenga de realizar publicidad o cesión de los datos a terceros; así como también, si procede, disponer el secuestro de los elementos que contengan la información hasta la terminación del proceso. Estas medidas cautelares documentales materiales de publicitación, comunicación y aprehensión de datos o informaciones personales buscan garantizar cautelar y eficazmente los derechos del concernido o titular de los derechos sobre los datos recabados en bancos de datos públicos y privados mientras dura el proceso (pendentia litis) y hasta su terminación efectiva mediante sentencia.

 

La Sentencia pronunciada por el Juez, en esta clase de procesos, se expedirá dentro del plazo de cinco (5) días de permanencia del expediente en el despacho judicial. La sentencia que admita las pretensiones del demandante, «librará el respectivo mandamiento que dispondrá: (i) la expresión concreta del particular, sea persona física o jurídica, o de la autoridad estatal a quien se dirija y con respecto a cuyos registros, archivo banco de datos se ha concedido la acción, (ii) la determinación precisa de lo que debe o no hacerse; y (ii) el plazo para su cumplimiento, que no podrá excederse de cuarenta y ocho (48) horas.

 

Vale decir, que el Juez en principio, deberá declarar e identificar inequívocamente al legitimado por pasiva: el usuario o al responsable del banco de datos, bien sea público o privado; y también, al legitimado por activa que será toda persona titular de un derecho o interés jurídico sobre los datos o informaciones que a él le conciernen, a efectos de viabilidad, pertinencia y declaratoria de derechos en el proceso originado por la acción de Hábeas Data. Así mismo, determinará a manera de condena, las actividades de hacer y no hacer respecto de los datos personales cautelados, y finalmente, ordena el cumplimiento de la determinación activa u omisiva en un lapso brevísimo de 48 horas, por parte de la autoridad, entidad u organismo del Estado, o de la persona privada, según fuere procedente y de conformidad con la sentencia.

 

  1. EL HABEAS DATA EN LA LEY PROTECCION A LA VIDA PRIVADA O PROTECCION DE DATOS DE CARÁCTER PERSONAL DE CHILE

 

3.1.      Notas preliminares: «The right to privacy«

 

Mediante la Ley nº 19.628 de Agosto 28 de 1999, el legislador del Estado Chileno expidió la  «Ley sobre Protección de la vida privada o protección de datos de carácter personal» [17], en la cual se desarrolla y reglamenta el Hábeas Data, con el propósito central de proteger y garantizar a todas las personas el derecho a la intimidad personal y familiar o en términos de la primera etapa de regulación normativa del derecho europeo insular y anglosajón: The right to privacy.  Derecho a la privacidad o vida privada que luego se trasladó a las leyes de protección de datos de la Europa continental, especialmente Francesa, Italiana, portuguesa y española. Sólo hasta la expedición de las Directivas Europeas de protección de los datos de carácter personal, Números 95/46/CE y 97/66/CE, se sustituyó el término de privacidad por el de derecho a la intimidad de las personas.

__________________________

(17)       Texto completo de la ley En: http://www.sernac.cl/leyes/

__________________________

En el derecho latinoamericano, aún hace tránsito en las diferentes legislaciones, incluida la Chilena el término ius civilista del derecho a la privacidad, como un derecho personalísimo de todo ser humano que hunde sus raíces históricas en el trabajo doctrinal de los juristas norteamericanos  Warren and Brandeis, quienes para estructurar The right to privacy, parten del análisis de uno de los fundamentales principios del Common Law, que sostiene: todo individuo debe gozar de total protección en su persona y en sus bienes. Así mismo, los juristas de la época se preguntaron si existía o no un principio common law que permita invocarse para amparar la privacy, y en tal virtud analizan estos aspectos: (i) La evolución de la concepción jurídica, efectos y alcances de los derechos a la vida, la libertad y la propiedad de todas las personas; (ii) La sentencia del Juez Cooley (1888), sobre el denominado derecho «a no ser molestado» –The right to be alone–, cuando se invaden «los sagrados recintos de la vida privada y hogareña», con la toma de fotografías por parte de empresas periodísticas sin el consentimiento de los fotografiados; y (iii) El escrito de El Godkin, sobre «The rights of the cittizen: to his reputatation» de junio de 1890, en donde se evidencia el peligro de una invasión de la privacidad por parte de los periódicos de la época, sobre todo, cuando se hacía comentarios sobre la vida personal y familiar del ciudadano Warren en detrimento de su reputación, poniéndolo «en ridículo» ante la sociedad o violando en términos más recientes, «su intimidad legal»  [18].

 

Es clásica la distinción entre el término privacidad y el concepto intimidad, que salió a relucir en la Exposición de Motivos de la LORTAD de 1992 [19], más no en el contenido normativo de la misma, que siempre se refirió al derecho a la intimidad, tal como la Constitución Española de 1978, lo había hecho en su momento en el artículo 18-4. Hoy por hoy, la discusión es bizantina, pues el término privacidad ha quedado subsumido en una de las esferas más lejanas al núcleo del derecho a la intimidad.  En su momento, la doctrina ibérica dominante evidenció la distinción y su poca utilidad a los efectos de la protección y garantía de un derecho fundamental de la persona humana, como lo era la intimidad y dentro de la cual se hallaba la concepción civilista de la privacidad (entre otros: González Navarro, González Pérez, García de Enterría, Entrena Cuesta). La E.M., de la LORTAD sostenía en uno de sus apartes: «Nótese que se habla de la privacidad y no de la intimidad. Aquella es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona –el domicilio donde realiza su vida cotidiana, las comunicaciones en las que se expresa sus sentimientos, por ejemplo– , la privacidad constituye un conjunto, más amplio, más global, de facetas de la personalidad que aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado».

 

La ley de protección de los datos chilena, haciendo eco a esa primera etapa del derecho europeo en las que surgimiento la mayoría de las leyes de ese tipo, recogió el término de la vida privada y la privacidad como eje fundamental de su protección y garantía, y quizá por ello es la única a nivel latinoamericano, hasta el momento que intituló su ley con ese sello inconfundible  de la protección a la vida privada, aunque en los actuales momentos debemos entender que se refiere al derecho a la intimidad, ya no solo personal sino también de carácter familiar, pues la evolución de la institución The privacy lleva más de un  siglo.

________________________

(18)        En nuestra tesis hacemos una evolución histórico-jurídica del derecho anglosajón The privacy hasta los actuales momentos, en los que se prefiere denominarlo derecho a la Intimidad y así ha sido constitucionalizado en la mayor parte de Constituciones americanas, europeas e incluso se comienza a denominarlo así en el derecho anglosajón contemporáneo. Cfr. RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España), p 11-12

(19)      E.M. LORTAD de 1992. AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

____________________________

3.2.       Estructura formal de la ley

 

La Ley nº 19.628 de 28 de Agosto de 1998, «sobre protección a la vida privada o protección de los datos de carácter personal», está dividida en Títulos y artículos; artículos extensos sin titulación alguna y algo confusos en el contenido y redacción para un iniciado en derecho informático. La estructura es la siguiente:

 

Un Título Preliminar, relativo a las «Disposiciones Generales», artículos 1º a 3º, en los cuales se describe el objeto, campo de aplicación,  algunas definiciones técnico-jurídicas de uso corriente en el contexto de la norma, tales como: (i) Almacenamiento de datos; (ii) Bloqueo de datos; (iii) Comunicación o transmisión de datos; (iv) Dato caduco; (v) Dato estadístico; (vi) Datos de carácter personal o datos personales; (viii) Datos sensibles, (ix) Eliminación o cancelación de datos; (x) Fuentes accesibles al público; (xi) Modificación de datos; (xii) Organismos públicos, las autoridades, órganos del Estado y organismos; (xiii) Procedimiento de disociación de datos; (xiv) Registro o banco de datos; (xv) Responsable del registro o banco de datos; (xvi) Titular de los datos; (xvii) Tratamiento de datos.

En el extenso titulo preliminar, también se hace referencia a la recolección de datos con objetivo de publicidad, censos promocionales o «sondeos de opinión pública», los que se advierte serán obligatorios o facultativos previo información, comunicación o notificación a los encuestados, preguntados o consultados. Deja a salvo los derechos de los titulares de esos datos y su derecho a la oposición, tanto en recolección como en la comunicación de los mismos.

 

El Título I, concerniente a «la utilización de datos personales«, se trata en los artículos 4º a 11º.  En estos se hace referencia al tratamiento y recolección de datos, al consentimiento por escrito requerido para ello, la revocabilidad de la autorización, la no exigencia del consentimiento para algunos tratamientos de datos (artículo 4º); requisitos para el tratamiento de datos a través de la comunicación o medios TIC («Red electrónica»). No aplicabilidad a los datos accesibles al público (artículo 5º);  sobre la eliminación, cancelación y bloqueo de datos personales (artículo 6º); Deber de secreto de los responsables de los bancos de datos (artículo 7º); Tratamiento de datos por «mandato escrito»–memorial poder– (artículo 8º); Utilización de los datos para los fines previstos, salvo los de fuentes de acceso al público (artículo 9º); No son objeto de tratamiento los datos sensibles, salvo lo dispuesto en la ley o con el consentimiento del titular (artículo 10º); Diligencia de «cuidado» o conservación de los datos por los responsables de los bancos de datos (artículo 11º ).

 

El Título II, relativo a «los derechos de los titulares de datos«, se desarrolla en los artículos 12º a 16º. Derecho a la información que tiene toda persona, así como el derecho a la «modificación», si los datos son inexactos, erróneos, equívocos o incompletos. Así mismo a la eliminación, cancelación y bloqueo de datos (artículo 12º); Los anteriores derechos no pueden limitarse por acto o convención alguna (artículo 13º); derecho acceso al banco de datos administrado por diferentes organismos (artículo 14º); Excepciones a los derechos de información, acceso, eliminación o cancelación por tratarse de actividades fiscalizadoras del Estado, por seguridad o interés nacionales (artículo 15º); Acción y procedimiento de amparo ante las autoridades judiciales civiles competente, tras la negativa a contestar la petición de la información, la cancelación, el acceso o la eliminación de datos (artículo 16º).  

 

El Título III, concerniente a «la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial«, está contenido en los artículos 17 a 19. Deber de información de los responsables de los bancos de datos financieros a los usuarios o titulares, siempre que consten en títulos valores, documentos o contratos y éstos contengan obligaciones claras, expresas y exigibles (artículo 17º); No se podrá comunicar datos transcurridos 7 años después de haber sido exigible una obligación o 3 años después de haber ocurrido su pago o extinción por otro modo (artículo 18º); Caducidad de los datos (artículo 19º).

 

El Título IV, relativo al «tratamiento de datos por organismos públicos«, se desarrolla en los artículos 20º al 22º.  El tratamiento de datos por organismos públicos se hace conforme a la ley y no requiere el consentimiento del particular (artículo 20º); No se podrán comunicar datos relativos a la condena por delitos, infracciones administrativas o faltas disciplinarias, salvo que estuviese prescrita la acción o la pena (artículo 21º); El Servicio de Registro Civil e Identificación llevará un registro de los bancos de datos personales a cargo de organismos públicos (artículo 22º).

 

El Título V, concerniente a «la responsabilidad por las infracciones a esta ley». En el artículo 23, se reglamenta la responsabilidad por el daño moral y material devenida del indebido uso de los bancos de datos por parte de los destinatarios de la ley (usuarios y responsables de los bancos de datos), sin perjuicio de la responsabilidad administrativa, disciplinaria o penal a que hubiere lugar.

 

En las «Disposiciones Transitorias», se aclara que: (i) Los titulares de los datos personales registrados en bancos de datos creados con anterioridad a la entrada en vigencia de la presente ley tendrán los derechos que ésta les confiere; y (ii) Las normas que regulan el Boletín de Informaciones Comerciales creado por el decreto supremo de Hacienda Nº 950, de 1928, seguirán aplicándose en todo lo que no sean contrarias a las disposiciones de esta ley.

 

3.3.      Breves comentarios a la LPVP o PDP

 

La ley «sobre Protección de la vida privada o protección de datos de carácter personal» de 1998 o LPVP o PDP Chilena, desde su intitulado no se matricula en una escuela, doctrina o modelo de ley relativa a la reglamentación del Hábeas Data. Ni siquiera esta denominación se halla presente en el contexto de la ley, como tampoco, y esto sí es paradójico, la expresión «vida privada», «privacidad» o su homónimo contemporáneo: «La intimidad», que el objeto de tutela jurídica según el intitulado de la ley no se halla en la parte normativa de la ley en forma expresa.

 

Por la deficiente redacción de la ley de protección de datos Chilena, no podemos encuadrarla en el modelo europeo continental o insular o propio latinoamericano, pues hay de todos un poco y nada exclusivamente de alguno de ellos. En momentos parecería seguir el modelo europeo continental, pues tiene elementos constitutivos de aquél, cuando acoge el sistema de definiciones técnico-jurídicas aplicables al tratamiento de datos, pero se aleja de éste, cuando no menciona en el título preliminar, los principios rectores de todo tratamiento (electrónico o manual) de datos personales, aunque en el contexto de las normas reiteradamente se refiere al «consentimiento» que lo asimila a la «autorización por escrito» dada por el titular de los datos; así como también, a la calidad de los datos, a la licitud, al secreto y la confidencialidad, a la categoría de datos (generales, especiales y sensibles), seguridad y comunicabilidad de los datos, entre otros, sin decir expresamente que son principios del tratamiento de datos, sino que implícitamente hacen parte de la redacción de la norma.

 

3.3.1.   Objeto de la LPVP o PDP

 

A tenor del artículo 1º de la LPVP o PDP Chilena de 1998, tendrá por objeto regular todo  tratamiento de datos de carácter personal  que se recaben «en registros o bancos de datos por  organismos públicos o por particulares«, se exceptúan aquellos «que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la  ley a que se refiere el artículo 19, Nº 12, de la Constitución Política» de 1980, es decir, aquellas referidas a la libertad de expresión o a la libertad de prensa, pues del contenido de la norma constitucional citada devela aquellas libertades inmersas dentro de las de emitir opiniones y la de información, al expresamente mencionar los derechos, deberes y responsabilidades de los diferentes medios de comunicación (radio, televisión, periódicos, revistas, etc.,)

 

En ejercicio de la LPVP o PDP Chilena, toda persona «puede efectuar el tratamiento de datos personales«, cuando la norma debería sostener que a través de todo tratamiento de datos se protege y garantiza «el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las  facultades que esta ley les reconoce«, pues el titular de los datos o informaciones personales en principio es el sujeto principal de la protección y garantía de sus derechos y libertades, y aunque éste también tenga deberes constitucionales y legales no solo para con el tratamiento de datos sino para el derecho de los demás, el no abuso de los derechos y libertades propias, el Estado tiene como finalidad primera la protección y garantía de los derechos fundamentales a toda persona, natural o jurídica, nacionales o extranjeros, residentes o transeúntes.

 

Aunque se ha hecho un común denominador de todas la leyes de protección de datos de carácter personal el que se manifieste que la norma se expide para restringir o limitar el abuso del «poder informático» utilizado por las nuevas tecnologías de la información y la comunicación (TIC) y la informática, de cara a proteger expresos derechos constitucionales como la Intimidad, la honra, el honor, la buena imagen, la voz, la buena reputación, etc., la LPVP o PDP Chilena, a pesar de exponer en su intitulado la protección genérica de la «vida privada», en éste punto de objeto de la ley no se manifiesta ni sobre su único objetivo de tutela constitucional, ni menos sobre el común denominador de derechos protegidos por las leyes de datos personales. Quizá interpretando los términos: «el pleno ejercicio de los derechos fundamentales de los titulares de los datos» que trae la  LPVP o PDP Chilena que relaciona en la parte in fine del artículo 1º, que es de idéntico tenor al artículo 18-4 de la Constitución Española, podemos deducir, que genéricamente se halla protegida la vida privada y los demás derechos constitucionales mencionados. Por su parte, el artículo 19-4 de la Constitución Chilena de 1980, asegura la protección a toda persona de la «vida privada y pública», lo cual ratifica que por vía de interpretación sistemática se entienden tutelados los derechos fundamentales de la persona humana incluida la «vida privada» en concepto de las normas chilenas.

 

Objeto de especial atención le dedica la LPVP o PDP Chilena, a la información recabada por medio de encuestas, «estudios de mercado o sondeo de opinión pública u otros instrumentos semejantes«, según el artículo 3º de la mencionada ley, pues dedica a éstas un reforzado cuadro de protección, al establecer por un lado, el derecho de toda persona involucrada en esta clase de tratamiento de datos personales  en la fase de recolección, a ser informado sobre el carácter obligatorio o facultativo de las respuestas; y por otro lado, deberá manifestarse inequívocamente, «el propósito para el cual se está solicitando la información«.  Y además, por si fuera poco, deberá: (i) omitir las señas que puedan permitir la identificación de las personas consultadas, cuando se comuniquen los resultados de los instrumentos de encuesta, estudio, sondeo o semejantes; y, (ii)  tener en cuenta que el  titular puede oponerse a la utilización de sus datos personales con fines de publicidad,  investigación de mercado o encuestas de opinión.

 

En el tratamiento de datos personales, la LPVP o PDP Chilena, establece como regla general el consentimiento de la persona para poder efectuarlo. Ese consentimiento o «autorización» deberá constar por escrito, aunque podrá ser revocado, sin efecto retroactivo o ex nunc, pero en todo caso la revocatoria también constará por escrito.

 

Por excepción, según el artículo 4º de la mencionada ley, no se requiere autorización para aquel tratamiento de datos personales, en los siguientes casos: (i)  cuando los datos que se recolecten provengan de fuentes accesibles al público; (ii) cuando sean de carácter económico, financiero, bancario o comercial; (iii) cuando se hallen en listas que sólo contengan la pertenencia de una persona a un grupo determinado, su profesión o actividad, sus títulos académicos, dirección o fecha de nacimiento; (iv) cuando sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios; (v) cuando «el tratamiento de datos personales que realicen personas jurídicas privadas para el, uso exclusivo suyo (sic), de sus asociados y de las entidades a que están (sic) afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos«.

 

3.3.2.   Demasiadas definiciones técnico-jurídicas del tratamiento de datos

 

Si bien es una constante las definiciones de términos técnico-jurídicos en las leyes de protección de datos o de Hábeas Data, tal como lo hemos comentados ut supra desde las legendarias leyes de protección de datos de Alemania y Suiza en la década de los años setenta del pasado siglo; entre otras razones, porque este tipo de leyes conjugan aspectos de las tecnologías de la información y la comunicación (TIC), la informática jurídica (telemática, telegestión, cibernética y electrónica) y concepciones jurídicas sustantivas y procedimentales; no es menos cierto que el legislador deba abusar de ellas en el número y extensión de conceptualización, como aparece en la LPVP o PDP Chilena de 1998.

 

Si el propósito primero  de las definiciones técnico-jurídicas de ésta clase de leyes, es aclarar la utilización y pertinencia de las mismas en el contexto de la ley, así como precisar conceptualmente cada una de las definiciones suministradas a fin de evitar confusiones, indebidas interpretaciones o equívocas aplicaciones por el operador jurídico de la norma, éstos propósitos de diluyen si se proporcionan demasiadas definiciones y de entre ellas pudiera presentarse colisiones conceptuales como parece suceder en la  LPVP o PDP Chilena.

 

En efecto, la ley mencionada define lo que se entiende por dato personal, dato sensible, dato caduco, dato estadístico.

 

El dato personal, universalmente se ha entendido como toda información de la persona humana identificada o individualizada, como identificable. Esta información sólo se predica de las personas físicas o naturales. Se infiere entonces, que el titular de los datos, es la persona natural o física y no es necesario definir como la hace la ley Chilena, al «titular de los datos«.

 

La regla general es la información o dato personal. Sin embargo existen, algunos datos sobre protegidos en la legislación mundial, porque afectan al núcleo esencial de la intimidad (o privacidad en términos de la Ley chilena), tales como el origen racial o étnico; tendencias políticas, religiosas, filosóficas, sindicales; circunstancias especiales de la salud, la vida sexual, entre otras, que se consideran como datos sensibles de la persona humana y por ello, los estados potencian los niveles de protección en estos casos, no permitiendo por ejemplo, la recolección y tratamiento posterior, libre del consentimiento del titular de los datos, o más aún está prohibido, aún con el consentimiento del titular. Como se observa aquí lo importante es definir que entendemos por consentimiento del titular, más que cuántos ejemplos podemos dar de datos denominados esenciales como se empeña en relacionar la Ley Chilena, pues existen legislaciones de protección de datos, como la española por ejemplo, donde el consentimiento se convierte no sólo en una simple definición, sino un principio rector del tratamiento de datos que lo ilumina y determina en todas sus fases. En la ley Chilena esta definición de consentimiento no aparece expresamente en el artículo 2º dedicado a las definiciones, pero si se utiliza en varios artículos de la Ley con el nombre de «autorización del titular».

 

En cuanto al dato caduco, definido por la Ley Chilena como aquel «que ha perdido actualidad por disposición de la ley, por el cumplimiento de la  condición o la expiración del plazo señalado para su vigencia o, si no hubiere norma expresa, por el  cambio de los hechos o circunstancias que consigna«, es una construcción que se originó en la jurisprudencia del Tribunal Constitucional Español y que ha ido variando con el fortalecimiento de la jurisprudencia, que hoy considera que los datos no caducan sino que se transforman de positivos a negativos, o de éstos a neutros, con el simple transcurrir del tiempo.

 

De otra parte, caducan sólo las acciones o recursos procesales jurisdiccionales o administrativos por la no utilización de aquellos por su titular o por quien demuestre interés legítimo dentro de un término preestablecido por la ley. Por ello, no pueden caducar los datos o informaciones personales, porque estas per se son intemporales, el valor agregado que le damos de ser información positiva, negativa o neutra a nuestros intereses, tiene una connotación altamente subjetiva que puede fundarse en intereses financieros, políticos, sociales, culturales, científicos, etc., aunque en el ámbito de las leyes de protección de datos siempre se ha hecho énfasis en el valor agregado estrictamente financiero (económico, comercial, bancario, bursátil, etc.,), pues es en el ámbito donde más tiene aplicabilidad el concepto de «caducidad del dato» o «dato caduco». Más aún, ni siquiera en éste solo ámbito del valor agregado, las legislaciones universales se han puesto de acuerdo en qué término exactamente se produce la caducidad del dato; unas mencionan 3, 5, 7 o 9 años después de cumplida una condición resolutoria determinada, del pago del crédito, de notificado el cumplimiento de la obligación, entre otras posibilidades de cumplimiento o incumplimiento de una obligación económico-jurídica.

 

En consecuencia, la definición del «dato caduco» al ser altamente cambiante en la doctrina y la jurisprudencia sobre el tema, no parece conveniente petrificarla, como se hace en el artículo 2º de la comentada ley.

 

Con el dato estadístico, definido por la LPVP o PDP Chilena, como «el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser  asociado a un titular identificado o identificable», resulta pleonástico e innecesario, pues como la mayoría de leyes de protección de datos del mundo, incluida la Ley Chilena, definen que debe entenderse como «procedimiento de disociación de datos» («todo tratamiento de datos personales de manera que la  información que se obtenga no pueda asociarse a persona determinada o indeterminada«) de donde se infiere que el dato estadístico es un ejemplo de aplicabilidad de dicho procedimiento de disociación, con lo cual resulta intrascendente pronunciarse nuevamente cuando ya se ha definido en qué consiste la disociación de datos.

 

Resulta cuando menos, sorprendente que la Ley Chilena se esmere en definir el dato estadístico que constituye una excepción a la aplicación del principio rector del tratamiento de datos denominado del consentimiento de las personas y deje de lado la conceptualización del dato financiero, al cual le dedica el Título III y tres extensos artículos de la LPVP o PDP.  No solo sorprende  porque también el dato financiero está excluido del principio general del consentimiento o «autorización» del titular de los datos para el tratamiento de cualquier dato de carácter personal, como lo está el dato estadístico de menos valor agregado y de perfil más bajo, por ser un dato disociado, que el del dato financiero, que es un dato personal individualizado o individualizable, sino además porque sólo protege al dato financiero en la fase de comunicación (circulación, transferencia o cesión) de datos y no en la recolección, selección, almacenamiento y registro de datos, pues en esta no se requiere «autorización» expresa y escrita del titular de los datos.

Por otro lado, resultan innecesarias las definiciones de «organismos públicos», entidades o instituciones del Estado, cuando no son términos técnico-jurídicos aplicables exclusivamente a la  LPVP o PDP Chilena y son de conocimiento y aplicación general al derecho chileno, más aún existe una norma de ámbito nacional que explica, la estructura, organización y funcionamiento del Estado en desarrollo y regulación de la Constitución sobre el tema, es la Ley Nº 18.575, «Orgánica Constitucional de Bases Generales de la Administración del Estado«, que explica con más amplitud y profundidad lo que debe entenderse por organismos públicos e instituciones, organismos o entidades del Estado, que una ley específica en datos personales que tiene otros objetivos y fines programáticos.

 

  1. EL HABEAS DATA EN LAS LEYES DE TRANSPARENCIA EN LA GESTION PUBLICA DE LA REPUBLICA DE PANAMA

 

La República de Panamá mediante la Ley 6º de 22 de Enero de 2002, expidió la ley que intitula: «normas para la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones» [20]. Con lo cual es la única ley en Latinoamérica que regula el fenómeno jurídico de Hábeas Data en una misma ley que incorpora dos derechos fundamentales autónomos como son, por un lado, el derecho a la información y la garantía constitucional de su acceso a cualquier medio mediante el cual se recabe, recolecte o almacene (electrónico, informático o manual o escrito); y por otro, el derecho y garantía constitucional de Hábeas Data. En varios países latinoamericanos como Argentina, Perú, Ecuador, Chile, Uruguay e incluso Colombia que prepara desde hace años su Ley de Hábeas Data, regulan los mencionados derechos constitucionales en estatutos jurídicos diferentes.

 

Veamos a continuación que ventajas y desventajas trae la regulación integral del derecho a la información y su garantizado acceso público y privado y el derecho de Hábeas Data.

 

4.1.      Estructura de la LTGP y HD

 

Ley nº 6 de 22 de enero de 2002, se estructura formalmente en Capítulos y artículos sin intitulados.

 

En el artículo 1º de la Ley para «la transparencia en la gestión pública, establece la acción de Hábeas Data y otras disposiciones» de Panamá (o LTGP y HD), relaciona un amplio catálogo de definiciones jurídicas relativas al derecho de la información y sus derechos fundamentales conexos, pero omite hacer sobre las definiciones técnico-jurídicas aplicables al tratamiento de datos o informaciones personales o al conjunto de facultades inherentes al Hábeas Data, que según el intitulado es también objeto de protección y garantía jurídica de la ley, aunque por la omisión parecería más un tema que raya la ajenidad con la norma su inclusión.

 

En efecto, se  define el Código Ético, como el «conjunto de principios y normas de obligatorio cumplimiento, con recomendaciones que ayudan a los miembros de una organización a actuar correctamente»; el Derecho de Libertad de Información, como  aquel «que tiene cualquier persona de obtener información sobre asuntos en trámites, en curso, en archivos, en expedientes, documentos, registros, decisión administrativa o constancias de cualquier naturaleza en poder de las instituciones incluidas» en la LTGP y HD de Panamá.

 

Luego profundiza, sin a nuestro juicio necesario hacerlo, en las definiciones de «ética», «información», «información confidencial», «información de acceso libre», «información de acceso restringido», «institución», «persona», «principio de acceso público», «principio de publicidad», «rendición de

______________________

(20)       Texto completo En: http://www.defensoriadelpueblo.gob.pa/

____________________

cuentas» y «transparencia».  Definiciones todas que en una ley que regula el derecho de acceso y transparencia de la información públicas, sin el aditamento del Hábeas Data, es válido y hasta cierto punto explicable, pero igualmente en este punto, retórico.

 

En el Capítulo II, relativo a la  «Libertad y Acceso a la Información», la LTGP y HD de Panamá, describe en los artículos 2º  a 7º, la titularidad, legitimidad, características, requisitos, autoridades y formas de acceso del derecho a la información que tiene toda persona, bien sea por escrito, en forma verbal o a través de los nuevos medios de información y comunicación electrónica o informática. Así mismo, explica como los funcionarios encargados de recepcionar las peticiones de información, están obligados a contestar por escrito en el término de treinta (30) días calendario.

 

En el Capítulo III,  concerniente a la «Obligación de Informar por Parte del Estado», en los artículos 8º a 12º, se regula los deberes y las obligaciones de informar al público en general, y a los peticionarios en particular, por parte de las entidades, organismos y dependencias del Estado, en especial sobre Contratación Pública del Ministerio de Economía y Finanzas y de la Contraloría General de la República. Así mismo, se establece los mecanismos y canales de información entre los particulares y el Estado; los instrumentos de información tradicional, documental escrita o electrónica y la forma de entregar información por escrito, en formularios o  por vía Internet.

 

En el Capítulo IV, referente a la «Información Confidencial y de Acceso Restringido», prevista en los artículos 13º  a 16º, la LTGP y HD de Panamá, relaciona la no revelación o divulgación (o «descubrimiento», como se dice en el derecho anglosajón) de la información confidencial de las personas humanas que hacen parte tanto del núcleo «duro» o esencial de la intimidad, como las concernientes a la «vida privada» de las personas, a los asuntos penales, policivos, médicos, correspondencia escrita y electrónica y a las conversaciones telefónicas, entre muchas otras informaciones. En el caso de la información judicial, se establece la reserva salvo el caso del concernido y las partes que intervienen en éste.

La información de acceso restringido, es decir, «todo tipo de información en manos de agentes del Estado o de cualquier institución pública, cuya divulgación haya sido circunscrita únicamente a los funcionarios que la deban conocer en razón de sus atribuciones«, no podrá ser revelada por un período de diez (10) años, «contado a partir de su clasificación como tal, salvo que antes del cumplimiento del período de restricción dejen de existir las razones que justificaban su acceso restringido».

 

Se relaciona como información de acceso restringido, la relativa a: (i) la seguridad del Estado; (ii) los secretos comerciales; (iii) la información sobre procesos realizados por el Ministerio Público, las fuerzas militares y de policía, la Dirección de Aduanas y la Contraloría General de la Nación; (iii) información sobre yacimientos mineros y petrolíferos; (iv) información documental diplomática; (v) procesos y documentos judiciales penales y policivos; (vi) documentos e información de la Presidencia, Vicepresidencia y «gabinete» ministerial; (vii) Transcripciones y documentos de la Asamblea Legislativa.

 

La negación de entrega de información de información de acceso restringido o reservada, deberá ser motivada y por escrito por parte de la entidad del Estado que así proceda [21].

_________________________

(21)        Que según el artículo 1º, numeral 5º , la conforma: «Todo tipo de información en manos de agentes del Estado o de cualquier institución pública que tenga relevancia con respecto a los datos médico y psicológicos de las personas, la vida íntima de los particulares, incluyendo sus asuntos familiares, actividades maritales u orientación sexual, su historial penal y policivo, su correspondencia y conversaciones telefónicas o aquellas mantenidas por cualquier otro medio audiovisual o electrónico, así como la información pertinente a los menores de edad. Para efectos de esta Ley, también se considera como confidencial la información contenida en los registros individuales o expedientes de personal o de recursos humanos de los funcionarios».

__________________________

En el Capítulo V, concerniente a la «Acción de Hábeas Data» contenida en los artículos 17 a 19, La Ley panameña, describe la legitimación del Hábeas Data para toda persona natural o física, cuando solicita información a él concernida y se encuentren en «manos» de las entidades del Estado o sea tratadas o procesadas por éstas a través de mecanismos electrónicos y ésta información sea negada o insuficiente o inexactamente entregada. Así mismo, menciona a las autoridades judiciales competentes y el procedimiento constitucional de amparo específico o de Hábeas Data informativo. Finaliza, indicando que el proceso será sumario, sin formalidades y sin presencia de abogado y respecto a la sustanciación, impedimentos, notificaciones y apelaciones, se aplicarán las normas que para estas materias se regulan en el ejercicio de «la acción de Amparo de Garantías Constitucionales».

 

En el Capítulo VI, relativo a las  «Sanciones y Responsabilidades Personales de los Funcionarios»,  previsto en los artículos 20º a 23º  describe la responsabilidad del funcionario judicial que desatiende «el recurso de Hábeas Data», sancionándolo la primera vez con multa por desacato, y con destitución, sí reincide. El perjudicado con la negativa de información por Hábeas Data, podrá demandar civilmente al funcionario público por daños y perjuicios, sin perjuicio de las acciones penales o disciplinarias que quepan.

 

En el Capítulo VII, concerniente a la  «Participación Ciudadana en las Decisiones Administrativas y sus Modalidades«, contenidas en los artículos 24º  y 25º, describen los mecanismos de participación ciudadana en las acciones y gestiones públicas de las entidades del Estados, especialmente en obras civiles, valorización, zonificación, tarifas y servicios públicos. Así mismo establece las modalidades tales como la consulta y audiencias públicas, foros, talleres y participación directa ante la Instituciones públicas. Por los contenidos del capítulo bien podría tratarse de una norma que quebranta el principio de «unidad legislativa y de materia«, pues si bien en la solicitud y entrega de información se requiere la participación efectiva de la ciudadanía, no necesariamente debería haberse legislado sobre éste tópico en forma como lo hizo la Ley de acceso a la información y Hábeas Data de Panamá, pues constituye un «mico legislativo«.

 

En el Capítulo VIII, relativo a la «Fiscalización del Cumplimiento por el Órgano Legislativo», previsto en el artículo 26º,  la ley obliga a las entidades del Estado que anualmente incorporen en su memorias de informe al órgano legislativo, el número de peticiones de información resueltas y negadas, así como la listas de los actos administrativos en los que tuvo participación la ciudadanía.

 

En el Capítulo IX, concerniente al  «Código de Ética», previsto en el artículo 27º, se establece la obligatoriedad de todas las entidades del estado, pertenecientes a cualquiera de las tres ramas del poder público, del nivel nacional, regional y local, para que en el término de seis (6), si ya no lo tienen, adopten un Código de Ética para el correcto ejercicio de la función pública que será publicada en la Gaceta Oficial.

 

En el Capítulo X, relativo a las «Disposiciones Finales», previsto en los artículos 28º  y 29º,  establece la tabla de vigencia de la ley.

 

4.2.      Breves comentarios de la ley

 

4.2.1.   La acción o «recurso» de amparo específico de Hábeas Data

 

La LTGP y HD de Panamá en el Capítulo V, regula lo que inicialmente denomina «Acción de Hábeas Data«, pero que en el contenido normativo del capítulo cambia su denominación por  «recurso de Hábeas Data«.

Esta ley panameña, como se ha dicho antes hace énfasis en la regulación amplia del derecho de acceso a la información pública contenida en documentos escritos, tradicionales y electrónicos (archivos o bases de datos), por parte de cualquier persona concernida con ésta y tan solo cuando ésta información es negada o entregada insuficiente o inexactamente por parte de la entidad, organismo, institución o dependencia del Estado, perteneciente a una cualquiera de las tres ramas del poder público u organismos autónomos o semiautónomos, nace para el peticionario, el consultante o solicitante de información, la posibilidad de accionar o recurrir ante las entidades jurisdiccionales, en Hábeas Data, para hacer respetar y garantizar su derecho a la información en los términos que establece el ordenamiento jurídico vigente, a través de un procedimiento breve y sumario, sin formalidades mayores que las que establece la LTGP y HD de Panamá y sin necesidad de abogado.

 

Esto por cuanto, como lo explica el Presidente de la Asamblea Legislativa Panameña, la  «nueva ley es un instrumento moderno que reconoce el derecho de cada uno de ustedes a exigir la información que sea del caso, sin tener que dar justificación o explicación sobre esa petición, y en un plazo no mayor de 30 días que, salvo algunas situaciones específicas, podría extenderse sólo otros 30 días» [22]. Cuando la información que es el derecho privilegiado en el derecho panameño es desconocido o quebrantado por las organismos, entidades, autoridades o dependencias del Estado, toda persona tiene derecho a recurrir al Hábeas Data,  «que no es más que un mecanismo que tendría el ciudadano para «garantizar su derecho de acceso a la información», cuando el servidor público titular «no le haya suministrado lo solicitado» o le haya entregado algo de manera «insuficiente o en forma incorrecta» [23].

 

Por su parte, a Presidenta del Gobierno Panameño [24], al comentar la LTGP y HD, reconocía la importancia de esta ley, en particular cuando crea «la acción jurisdiccional de Habeas Data mediante la cual, cualquier persona, podrá recurrir ante la justicia ordinaria y exigir el respeto a su derecho a ser informado de una actuación pública»,  de las gestiones y realizaciones públicas en contratación estatal, en servicios públicos, en actividades tributarias, de valorización, de tarifas e incluso de gestiones efectivas contra la corrupción y las actividades ilegales, todo ello en beneficio de la mayor transparencia del Gobierno y las entidades del Estado para con sus ciudadanos y personas que pudieran ser afectadas por acción, omisión o extralimitación de funciones públicas.

 

La acción o recurso de Hábeas Data  regulado en la LTGP y HD, se introdujo en el derecho público panameño, para proteger y garantizar primigéneamente el derecho de acceso a la información pública que tiene toda persona humana, pero también para garantizar de contera, «la imagen, la privacidad, el honor, el derecho a la autodeterminación de la información y libertad de información de una persona» [25].

 

Como analizamos en la Parte Segunda de este ensayo jurídico, la Constitución Panameña con la reforma de 2004, resulta mucho más avanzada que la Ley que la reglamentó, pues los artículos 43 y 44 de la Constitución garantizan el derecho de acceso a la información tanto pública o de interés colectivo como de carácter privado siempre que repose en bases de datos o registros a cargo  de servidores públicos o de personas privadas que presten servicios públicos y que ese acceso no haya sido limitado por disposición escrita y por  mandato de la Ley, así como para exigir su tratamiento leal y rectificación.

___________________

(22)       Mensaje del Excelentísimo Señor Presidente de la Asamblea Legislativa, Rubén Arosemena, en torno a la Ley de Transparencia en la gestión Pública. En: http://www.defensoriadelpueblo.gob.pa/

(23)      En dirección electrónica, ut supra cit

(24)      La Sra. Presidente de Panamá en la época, Mireya Moscoso. En: http://www.defensoriadelpueblo.gob.pa/

(25)       Según el Colegio de Abogados de Panamá. En: http://www.defensoriadelpueblo.gob.pa/

_______________________

Pero además y en forma  integral y completa, la Constitución Panameña, confiere a toda persona el derecho de promover «acción de Hábeas Data», en los siguientes casos: (i) con  miras a garantizar el derecho de acceso a su información personal recabada en  bancos de datos o registros oficiales o particulares, cuando estos últimos traten  de empresas que prestan un servicio al público o se dediquen a suministrar  información; (ii) para hacer valer el  derecho de acceso a la información pública o de acceso libre, de conformidad  con lo establecido en esta Constitución; y,  (iii) podrá solicitar que se corrija,  actualice, rectifique, suprima o se mantenga en confidencialidad la información o  datos que tengan carácter personal.

 

La reglamentación y desarrollo legal de los artículos 43 y 44 de la Constitución  en la LTGP y HD de Panamá, es parcial porque por un lado, sólo desarrolla el acceso a la información pública por toda persona; y por otro establece el mecanismo jurisdiccional del Hábeas Data con algunas reglas procesales mínimas propias y otras, que son las mayoritarias nacen en la remisión legislativa al «Código Judicial de Panamá», libro IV, Titulo III, sobre «Amparo degarantías Constitucionales», en lo que «respecta a la sustanciación, impedimentos, notificaciones y apelaciones»,  como lo dispone el artículo 19 de la LTGP y HD.

 

El legislador panameño, perdió la oportunidad de reglamentar en forma amplia, integral y verdaderamente efectiva el proceso sumario originado en la acción de Hábeas Data, tal como se había facultado por la reforma constitucional de 2004, en el inciso in fine del artículo 44 y procedió en su entender mejor a la labor remisoria que a la tarea de creación legislativa de un proceso breve, expedito y altamente garantísta de los derechos fundamentales ut supra mencionados. En tal virtud, el proceso constitucional originado en la acción de Hábeas Data actualmente es de naturaleza jurídica mixta, pues por un lado, la Constitución estableció que éste sería sumario y sin necesidad de apoderado judicial y que serían competentes los tribunales judiciales que determine la ley; y por otro, según la LTGP y HD, en cuanto a la sustanciación, impedimentos, notificaciones y apelaciones  del «proceso sumario», se regirán por los artículos 2615 a 2632 del Código Judicial que regulan el proceso de amparo de garantías constitucionales.

 

El proceso de amparo específico de Hábeas Data en consecuencia tiene una naturaleza jurídica de tertium genus, porque se estructura inicialmente como un «proceso sumario» específico para el Hábeas Data, pero que se complementa por un proceso judicial apto para la protección y garantía de derechos fundamentales a través de instituciones jurídico-procesales aplicables al  proceso de amparo, cuyas características y peculiaridades en el derecho público panameño, como lo hemos observando al leer los artículos mencionados del  Código Judicial, no son prenda de garantía de la mayor eficacia, sumariedad, claridad normativa y más aún, de ser un instrumento jurisdiccional expedito para garantizar y proteger los derechos fundamentales de la persona sólo contra entidades u organismos del Estado [26], con el mínimo de formalidades procedimentales y sin necesidad de apoderado judicial.

 

________________________

(26)         Actualmente la acción de amparo  no procede contra los acciones, actos o decisiones de los particulares cuando desconozcan o quebranten el ordenamiento jurídico vigente, tal como sí es posible en el derecho comparado. El autor en su obra, señala como «en el Derecho Constitucional tradicional, se consideraba que los derechos y garantías que la Constitución consagra a favor de los habitantes de una nación se establecían como una protección a los mismos frente a posibles abusos del Estado. Es decir, se estimaba que sólo el Estado podía violar los derechos fundamentales de los particulares y por ello, nuestra Carta Magna, entre muchas otras del área, señala que el Amparo cabe contra órdenes de hacer o no hacer dictadas por funcionarios. Pero, en la actualidad, se ha hecho evidente que los particulares pueden también violar los derechos de otros particulares». Y por eso cuestiona el actual sistema jurídico panameño que no permite elevar acciones de amparo frente a la actividad contraria al derecho realizada por parte de las entidades o personas particulares. En: BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

_________________________

Según una autorizada doctrina, «La acción de amparo de garantías constitucionales lejos de cumplir su función protectora de los derechos individuales, incumple su misión por la multiplicidad de presupuestos legales y jurisprudenciales que se le han incorporado y que han desnaturalizado su razón de ser, así como la voluntad del constituyente« [27]. Se ha convertido en una «acción inaccesible» por parte de las personas que hacen uso de ella para tutelar sus derechos fundamentales y especialmente el de Hábeas Data que venimos comentando.

 

En efecto, como lo constata el abogado y docente universitario De León Batista, al respecto sostiene: «venimos observando que la mayoría de las acciones de amparo de garantías constitucionales ni siquiera las admite el tribunal competente de la causa por el hecho de que no cumplen una serie de formalidades o requisitos» [28].

 

En la Parte Segunda de este ensayo, analizamos brevemente los cuadros estadísticos relacionados por el tratadista Pérez Jaramillo [29], en los que demuestra que desde la entrada en vigencia de la LTGP y HD de Panamá hasta Mayo de 2003, se había rechazado sesenta (60)  acciones de Hábeas Data por parte de la Corte Suprema de Justicia, basado en diversos argumentos, casi todos de índole formal, pues a título de ejemplo, se rechazaron por: (i) Once, porque no demostró «el interés legítimo, es decir, no es persona interesada»; (ii) Nueve, no se «solicita información y solicita otra petición»; (iii) Cinco, porque la «autoridad ha respondido la solicitud, aunque el peticionario no lo considera así»; (iv) Cinco, porque «al interponer la acción de Hábeas Data no se presentaron originales sino copias y se omiten formalidades»; (v) Tres, porque «la autoridad alega no tener la información y dice que corresponde a otra entidad»; (vi) Tres, porque «el peticionario presentó Hábeas Data, antes de 30 días»; (vii) Tres, porque «la autoridad a la que se hace petición no es funcionario público, aunque labore para una empresa mixta»; (viii) Tres, porque la «información fue calificada de ´acceso restringido´.

 

Según el artículo 18 de la LTGP y HD, tienen competencia y jurisdicción para avocar y resolver acciones de Hábeas data de carácter público, de conformidad con el nivel de la entidad administrativa y del funcionario  titular o responsable del banco de datos, así: (i)  los Tribunales Superiores que conocen de la acción de Amparo de Garantías constitucionales, cuando el funcionario titular o responsable de registro, archivo o banco de datos, tenga mando y jurisdicción a nivel municipal o provincial; y (ii) El Pleno de la Corte Suprema de Justicia,  en el evento de que el titular o responsable del registro, archivo o banco de datos tenga mando y jurisdicción en dos o más provincias o en toda la República.

 

Vale decir entonces, que los órganos judiciales competentes  para conocer el proceso de amparo originado en la acción de Hábeas Data en  Panamá, son de naturaleza colegiada o plural, bien sea que el asunto se conozca a nivel local y regional, o bien se trate de asuntos interprovinciales o nacionales. Las autoridades judiciales individuales a nivel de jueces municipales, provinciales o de Circuito, entre otros, están ausentes de esta clase de procesos según la ley comentada. Sin embargo, se hace necesario un reglamentación urgente sobre este tópico, pues así la naturaleza del proceso sumario de amparo de derechos fundamentales que pretende ser expedito debería prever el conocimiento y resolución judicial por jueces

 

____________________

(27)       PORCELL D., Kenia I. El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I y II) Abogada Asistente Secretaría de Asuntos Legales, Procuraduría General de la Nación. En: http://www.ministeriopublico.gob.pa/

(28)      DE LEON BATISTA, Hernán. Amparo de garantías: ¿un recurso muy especial?. En: http://mensual.prensa.com/

(29)      PEREZ JARAMILLO, Rafael. El Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

______________________

individuales que están más cerca de la población y a los asuntos que aquejan a los ciudadanos o personas a quienes se les niega, desconoce, limita o restringe el derecho de acceso a la información, por ahora sólo pública.

 

  1. 5. El HABEAS DATA URUGUAYO EN LA LEY DE PROTECCION DE DATOS PERSONALES DE CARÁCTER FINANCIERO

 

La República del Uruguay  mediante  la Ley nº 17938 de Octubre 1º de 2004, reglamentó y desarrolló legislativamente el Hábeas Data para la protección de los datos personales de carácter financiero, constituyéndose así en una de las más recientes leyes suramericanas que enfatiza en el dato financiero, como una especie del género de datos de la persona humana.

 

5.1.      Estructura de la LPDP_HDU

 

La Ley nº 17938 de Octubre 1º de 2004 o «Ley de protección de datos personales para ser utilizados en informes comerciales y el Hábeas Data» del Uruguay (LPDP_HDU), está estructurada en títulos, capítulos y artículos que regulan los siguientes contenidos:

 

En el Título I, Capítulo I, relativo a la «Protección de datos personales de informes comerciales»,  la LPDP_HDU, en los artículos 1º y 2º  regula objeto de la ley y sus excepciones. La ley tiene como objetivo reglamentar las fases del  tratamiento de datos personales (el registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración), cuando se hallen en archivos, bases de datos, u otros «medios similares autorizados» (se entenderá en escritos, documentos tradicionales, o «informes»), sean éstos públicos o privados, «destinados a brindar informes de carácter comercial«.

 

Por oposición, se exceptúan del anterior objeto, los siguientes datos o informaciones de la persona humana: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar; (ii) los relativos a encuestas, estudios de mercado o semejantes; y, (iii) los datos sensibles sobre la privacidad de las personas

 

En el Capítulo II, concerniente a los «Principios Generales», la ley uruguaya describe a espacio, en los artículos 3º a 7º los principios rectores que rigen al tratamiento de datos de las personas físicas y jurídicas, tales como: (i) De licitud de los datos; (ii) El consentimiento de los titulares, como regla, con sus excepciones numerus clausus o taxativas [30]; (iii) Proporcionalidad y finalidad de los datos; (iv) Utilización adecuada y proporcionada de datos; (v) Secreto o sigilo profesional de los datos.

 

En el Capítulo III,  concerniente  al  «Tratamiento de datos personales relativos a las obligaciones de carácter comercial», previsto en los artículos 8º a 11º se precisa que el tratamiento de datos personales regulado en la LPDP_HDU abarca el cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permiten evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor sin consentimiento del titular.

________________________

(30)        Según el artículo 4º de la Ley nº 17.838, No requiere previo consentimiento el registro y posterior tratamiento de datos personales cuando: (i) Los datos provengan de fuentes públicas de información, tales como registros, archivos o publicaciones en medios masivos de comunicación; (ii) Sean recabados para el ejercicio de funciones o cometidos constitucional y legalmente regulados propios de las instituciones del Estado o en virtud de una obligación específica legal; (iv) Se trate de listados cuyos datos se limiten a nombres y apellidos, documento de identidad o registro único de contribuyente, nacionalidad, estado civil, nombre del cónyuge, régimen patrimonial del matrimonio; (v) fecha de nacimiento, domicilio y teléfono, ocupación o profesión y domicilio.

_________________________

El registro de los datos comerciales sólo podrá estar registrado en las bases de datos por el término de cinco años.

 

Cuando se cancele una obligación, el acreedor estará obligado a comunicarla al responsable del banco de datos en un plazo máximo de diez (10) días. El receptor de esta información tiene un plazo máximo de tres (3) días para actualizar la información.

 

En el  Título II,  referente al «Hábeas Data y Órgano de Control»,  Capítulo I sobre el «Hábeas Data», previsto en los artículos 12º  a 16º de la ley, se define la acción de Hábeas Data como un derecho ejercitable por toda persona física y jurídica y se describe su objeto así: (i) Tomar conocimiento de los datos personales de carácter comercial; (ii) Se averigua la finalidad y el uso dado a dichos datos; (iii) Si se trata de datos amparados por el secreto, el Juez «apreciará» el levantamiento del mismo según el caso y circunstancias; y (iv)  A la rectificación, actualización y la eliminación o supresión de los datos personales que le conciernan, cuando estando incluidos en bases de datos, éstos lo estén por error o falsedad en la información.

 

En el Capítulo II, relativo a la «Acción de protección de datos personales», contenida en los artículo 17º a 19º,  se describe la titularidad de la acción para toda persona física o jurídica, los casos en los que puede impetrarse y las normas del proceso a seguirse: (i) normas del Código General del Proceso; y (ii) Normas especiales de la  LPDP_HDU y las previstas en la Ley nº 16.011 de 19 de diciembre de 1998, es decir, en la Ley de amparo uruguaya [31].

 

En tal virtud, la acción de Hábeas Data para la protección de datos financieros constituye adjetivamente hablando configura una acción de amparo específica que genera un proceso jurisdiccional de amparo especial, con formas y ritualismos generales previstos en el Código General del Proceso y con ritos especiales previstos en la Ley de amparo.

 

En el Capítulo III, concerniente a los «Órganos de Control», describe en los artículos 20º a 21º, la competencia y jurisdicción del Ministerio de Economía y Finanzas del Uruguay, el cual está asesorado por una comisión consultiva compuesta por integrantes del Ministerio de Economía, del Ministerio de Educación y Cultura, La Cámara  Nacional de Comercio y la Liga de defensa Comercial. Además, se puntualiza las funciones y las diversas sanciones que puede aplicar a quienes incumplieren los predicamentos de la  LPDP_HDU. Sanciones que van desde el apercibimiento hasta la clausura de la base de datos.

 

En el Título III, referente a las «Disposiciones finales y transitorias», previstas en los artículos 22º a 26º, se describe además de la tabla de vigencia de la ley, siguientes aclaraciones: (i) que la LPDP_HDU, no rige para los registros públicos y similares creados por leyes especiales; (ii) que los responsables de bancos de datos públicos y privados existentes tendrán un plazo de 90 días, a partir de la promulgación de la ley, para inscribir dichos bancos en el Registro General; (iii)  Igual término, tendrán los responsables de los bancos de datos, para actualizar la información y en el evento de los «datos caducos» para eliminarlos; (iv) Los acreedores de obligaciones ya canceladas dispondrán del término de 10 días hábiles para comunicar dicha

_________________________

(31)      A tenor del  artículo 1º de la Ley de Amparo, «Cualquier persona física o jurídica, pública o privada, podrá deducir la acción de amparo contra todo acto, omisión o hecho de las autoridades estatales o paraestatales, así como de particulares que en forma actual o inminente, a su juicio, lesione, restrinja, altere o amenace, con ilegitimidad manifiesta, cualquiera de sus derechos y libertades reconocidos expresa o implícitamente por la Constitución (artículo 72), con excepción de los casos en que proceda la interposición del recurso de «habeas corpus». La Acción de amparo uruguaya es de carácter jurisdiccional y subsidiaria. Conocen de ella, los Jueces letrados de primera instancia de la materia que corresponda el acto, hecho u omisión impugnados y el lugar donde estos produzcan sus efectos. Es subsidiaria, porque sólo podrá interponerse cuando no existan otros medios judiciales o administrativos que permitan obtener el mismo resultado de ésta acción.

__________________________

 

eventualidad a los responsables de los bancos  de datos; y (v) El poder ejecutivo dispondrá de 180 días para reglamentar la ley.

 

5.2.      Breves comentarios a la LPDP_HDU de 2004

 

5.2.1.   Notas preliminares. En particular, el proyecto de Hábeas Data de 2002

 

Uruguay como la mayoría de países de América Latina, antes de expedir una norma sobre protección de datos personales, experimentó con una cantidad de proyectos de diferente origen y matriculados a diferentes escuelas normativas globales que regulan estas materias técnico-jurídicas. Los anteproyectos y proyectos que regulaban la protección de datos en forma genérica, o el derecho de Hábeas Data en forma específica, tenía como común denominador, desarrollar legislativamente conjuntamente con aquellos, el derecho al acceso a la información pública o de interés colectivo y la información privada. Todo por cuanto,  los datos de la persona humana tratados a través de las nuevas tecnologías de la información y la comunicación (TIC), la informática y el derecho público posibilitaban una nueva y específica reglamentación que más temprano que tarde debían abordar los Estados no sólo latinoamericanos sino del mundo.

 

Cierto es, como sostiene algún sector de la doctrina [32], que Uruguay era el único Estado del MERCOSUR que no había expresamente elevado a rango constitucional el Hábeas Data, pero eso no impedía que por vía de interpretación sistemática de la Constitución, toda persona  tenga derecho a solicitar tutela del Estado para la protección de los datos personales que le conciernen cuando se hallen recolectados, almacenados o comunicados en bancos de datos, por error, inexactitud, falsedad o cuando se hayan realizado sin el consentimiento del titular o sin  la» previa conformidad de los titulares», como dijera más tarde el inciso in fine del artículo 2º de la LPDP_HDU.

 

Un proyecto de Hábeas Data, publicado en la Internet [33], deja ver cómo la intención del legislador uruguayo en el año 2002, era reglamentar la protección de los datos personales recabados en bases o bancos de datos tanto de carácter público, como de carácter privado, a la par con el derecho de acceso a la información y el derecho de petición en interés particular, en interés general, al igual que el derecho de petición de informaciones y de consulta de actos y contratos administrativos (o mejor «estatales») de la administración nacional, regional y local. Esto último para ponerse a tono con los países vecinos del cono sur de América en lo relativo a leyes de transparencia en la gestión pública y la implantación de mecanismos idóneos contra la corrupción pública.

 

La regulación del derecho de acceso a la información, el derecho de petición y la protección de datos de carácter personal en el proyecto de 2002, era amplia, genérica y aplicable a toda clase de datos personales, salvo los del «núcleo duro» de la intimidad o privacidad que estaban exentos de tratamiento de datos o de tratamientos restringido con potenciación en la protección en algunas fases del tratamiento, como por ejemplo, la comunicación de datos, tal como existe en el derecho continental europeo y en particular en las normas de protección de datos española de 1992 y 1999.

 

______________________

(32)      DAPKEVICIUS, Rubén Flórez. Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

(33)       En: http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

_________________________

 

El  proyecto además, reglamentaba la acción de Hábeas Data en dos estadios de su existencia, como lo hemos sostenido ut supra en este ensayo jurídico; es decir, en el ámbito administrativo y en el jurisdiccional. Así se desprende de la lectura de los artículos 12º y 13º del proyecto citado cuando sostiene que «el peticionante» podrá ejercer la acciones de Hábeas Data en los siguientes casos: 1) Cuando hayan transcurrido quince días corridos a contar desde la resolución denegatoria de la información solicitada ; y, 2) Cuando se haya agotado el plazo a que se refiere el artículo 8 º ( es decir, «la petición que recibiere deberá expedirse en un plazo  máximo de cuarenta y cinco días hábiles de recibida la misma») sin pronunciamiento de la autoridad requerida.

 

Una vez conocida por los interesados la información relacionada con  su persona y archivada por organismos estatales o personas públicas de derecho  privado, nacionales o departamentales, ya sea por resolución de los mismos o por  orden judicial, aquellos, si consideren que la información es errónea o su  recolección y archivo fuera ilegal, o la posesión o uso de la misma pueda causar  perjuicio, lo que harán saber a los organismos o personas antes indicados en  plazo que no podrá exceder los quince días hábiles a contar desde el siguiente al  de su conocimiento.

 

Y agregaba el inciso 2º del artículo 13º del proyecto que vencido el plazo sin contestación, o si ésta fuera negativa, los interesados podrán promover la acción de «Hábeas Data» con el fin de modificar o eliminar la  información errónea o ilegal, la que se interpondrá dentro de los plazos y se  sustanciará según las formalidades previstas en esta ley.

 

El legislador Uruguayo de 2004, finalmente se decidió por expedir una Ley de Protección de datos personales y Hábeas Data, con expreso énfasis en los datos de carácter financiero, aunque la norma alude al término comercial, como pasamos a ver.

 

5.2.2.   Ley de protección de datos de carácter financiero

 

La LPDP_HDU de 2004, es una típica ley que enfatiza en la protección de los datos financieros de la persona no sólo física o natural, sino de la persona moral, «ideal» o jurídica. Quizá por ello, en el ámbito latinoamericano es la primera de las últimas leyes dictadas con ese claro sabor económico, basado el legislador uruguayo, a buen seguro, en el fenómeno de la globalización de la economía, el tracto financiero público y privado cada vez más decisivo en la gestión y acciones estatales como las del ámbito particular individual o empresarial, así como en los crecientes, fructíferos y productivos negocios de capitales, bienes y servicios en los cuales están involucrados entidades públicas, privadas y mixtas del sector bancario, bursátil y crediticio y llueven –si nos permiten el término—obligaciones constantes en títulos valores, bonos del estado y dinero líquido.

 

Hoy en día, el pago de un medio de transporte, la compra de un inmueble o acción, la venta de un servicio hotelero, el pago y/o cobro  de un tributo, el pago y/o cobro de un servicio público doméstico o el crédito personal de tarjeta, son muestran inequívocas del impacto que actualmente tiene las acciones, gestiones o actividades financieras en la vida de las personas humanas y jurídicas, y como tal cada una de ellas genera una huella, un dato o una información que puede ser recolectada, seleccionada, almacenada, registrada o comunicada a través de un procedimiento o tratamiento de datos tradicional o escrito, o electrónico o informático.

 

Estos entronques de las finanzas públicas y privadas con las nuevas tecnologías de la información y la comunicación (TIC) y la informática (telegestión, telemática o electrónica), es lo que ha cautivado últimamente a los Estados del mundo, para expedir normas proteccionistas de derechos o libertades fundamentales que pudieren verse afectadas por el abuso, extralimitación o exageración del llamado «poder informático». Uruguay en Suramérica es de los primeros países que quedó impactado por el fenómeno jurídico y las finanzas y por ello se decidió en legislar sobre ese entronque anotado, antes que por la protección genérica de los datos de la persona humana y jurídica no financieros. Más aún en la  LPDP_HDU esta clase de datos han quedado excluidos expresamente en el artículo 2º, cuando sostiene:

 

Quedan excluidos de la aplicación de la Ley, los siguientes datos: (i) los datos de carácter personal que se originen en el ejercicio de las libertades de emitir opinión y de informar;  (ii) los relativos a encuestas, estudios de mercado o semejantes, los que se regularán por las leyes especiales que les conciernan y que al efecto se dicten; y (iii) los datos sensibles sobre la privacidad de las personas, entendiéndose por éstos, aquellos datos referentes al origen racial y étnico de las personas, así como sus preferencias políticas, convicciones religiosas, filosóficas o morales, afiliación sindical o información referente a su salud física o a su sexualidad y toda otra zona reservada a la libertad individual.

 

Aclara la Ley de 2004, que solo  será procedente recolectar y aplicar el tratamiento o procesamiento de datos en estas clase de datos no comerciales, cuando el titular lo consienta  en forma «expresa y previa», luego que sean informados del «fin y alcance del registro en cuestión«. Esto porque obviamente son datos que pueden afectar el «núcleo duro» de la intimidad o los derechos fundamentales de la persona humana.

 

Con estas exclusiones y aclaraciones expresas de la Ley uruguaya de 2004, se entiende que el legislador postergó la tarea de reglamentación y desarrollo legal de la protección de datos personales no comerciales o financieros. Por ahora, se ha legislado sobre el tema de actualidad mundial: las finanzas públicas y privadas.

 

La LPDP_HDU de 2004, desde el intitulado y el contenido mismo de la norma, se marca la impronta de ser una ley reguladora de datos financieros, aunque se empecina en nominarlos como datos comerciales.

 

El dato financiero como anotábamos ut supra,  es aquélla información concerniente a una persona determinada o determinable que tiene características económicas, comerciales, tributarias, o en general de índole financiera, bien sea en el ámbito privado o en el público. Genéricamente esto dato financiero, pues según el diccionario el término financiero puede definirse como lo perteneciente o relativo a la Hacienda pública, a las cuestiones bancarias y bursátiles o a los grandes negocios mercantiles», con lo cual se entiende que los datos financieros engloban terminológicamente a los efectos de este ensayo, lo que entendemos por dato económico, comercial, bancario, bursátil  y tributario público y privado.

 

En la Ley Uruguaya para que no quepa la duda de si se puede o no someter a tratamiento manual o electrónico los datos financieros de las personas humanas o jurídicas, determinó en el artículo 8º  que queda «expresamente autorizado el tratamiento de datos personales«, bien sea sobre el cumplimiento o el incumplimiento de obligaciones de carácter comercial o crediticia. Con lo cual legalmente se excluye el consentimiento de las personas concernidas con dicha información, que a partir de la Ley de datos financieros de 2004, pueden tratarse sin la «conformidad», «autorización» o consentimiento escrito y expreso del concernido.

 

Esta apertura uruguaya al tratamiento de datos financieros, tiene como objetivos inmediatos el que las entidades financieras puedan recabar la información pertinente dentro de este mundo globalizado de la economía y la rapidez y efectividad de la información que se necesita en toda clase de actividades donde medie el capital, para evaluar la concentración de negocios en general, la conducta comercial (no la valoración subjetiva del titular de los datos) o la capacidad de pago del titular de los datos, siempre y cuando la información se obtenga de «fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor, aparte de las eventualidades que la regla general, sin el consentimiento del titular de los datos.

 

El dato financiero tiene unas características especiales en todas las fases del tratamiento o procesamiento de datos personales, aparte de las anotadas en la fase de recolección.

 

En la fase de registro de la información, el dato financiero tendrá un plazo de cinco (5) años, contados a partir de su incorporación a la base, fichero o banco de datos respectivo. Solo en el evento en que la obligación persista en el incumplimiento, el acreedor podrá solicitar válidamente al responsable del banco, treinta días antes del vencimiento del plazo inicial, la permanencia por otros cinco (5) años más improrrogables, según el artículo 9º de la  LPDP_HDU. Este plazo inicial y el de la prórroga generan la vigencia y la vida útil del dato, pues ningún dato o información deberá ser perenne, ni por tiempo indefinido.

 

Por esta razón, las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción, según lo dispone el inciso in fine del artículo 9º.

 

Cuando se haga efectiva la cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de diez días hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos correspondiente.

 

Una vez recibida la comunicación por el responsable, éste dispondrá de un plazo máximo de tres días hábiles para proceder a la actualización del dato, asentando su nueva situación.

 

  1. EL HABEAS DATA PERUANO EN EL CODIGO PROCESAL CONSTITUCIONAL DE 2OO4

 

6.1.      Notas preliminares

 

El lunes 31 de Mayo de 2004, con demasiados bombos y platillos el Estado Peruano, estrenó la única norma en su género en el ámbito Latinoamericano, conocida como «Código Procesal Constitucional», el cual compila sistemática y coherentemente los procedimientos constitucionales generados por las acciones de Hábeas Corpus, Amparo, Hábeas Data y de cumplimiento; así como también las acciones de inconstitucionalidad y acciones populares. De igual forma, la jurisdicción y competencia, reglas generales y especiales que las autoridades judiciales deben observar al avocar, desarrollar y resolver los procedimientos correspondientes.

 

La Ley nº 28237 de 2004, tuvo origen en diferentes motivaciones de tipo doctrinal, jurisprudencial e incluso legislativo, sobre las cuales los juristas peruanos han escrito obras jurídicas de relevancia. En nuestro criterio, el Código Procesal Constitucional peruano o CPCP, tiene inequívocas finalidades de concentración temática al compilar instrumentos adjetivos idóneos para proteger y garantizar derechos fundamentales, así mismo objetivos normativos de unidad jurídica de acciones, recursos o instrumentos procesales diferentes en su origen, pero homologables o equiparables a través de un mismo hilo procedimental o iter procesalis genérico que admite peculiaridades o reglas especiales para todas o cada una de las instituciones que no pierden su autonomía y diferencia. Esta nueva técnica legislativa de compilación de instituciones jurídicas diferentes en su origen pero equiparables en sus procedimientos es loable, práctica, altamente eficiente para el operador jurídico y relevantemente pedagógico para el titular de un derecho o interés legítimo que lo estime amenazado, vulnerado, limitado o restringido por un acto, hecho u omisión de una autoridad, entidad u organismo del Estado o por los particulares con funciones o servicios públicos, por excepción.

 

Como es apenas obvio, el CPCP de 2004, reglamenta y desarrolla la garantía y acción constitucional de Hábeas Data, en el ámbito estrictamente procedimental. Por ello, para analizar la institución jurídica del Hábeas Data en forma integral, hay que recurrir a la Ley de Transparencia y Acceso a la información Pública peruana (LT y AIP) o Ley nº 27806 de 13 de Julio de 2002, la cual tiene por finalidad además de promover la transparencia de los actos, contratos, gestiones y acciones del Estado, la encomiable labor de reglamentar el derecho fundamental de acceso a la información consagrada en el numeral 5º  del artículo 2º de la Constitución Peruana, es decir, el derecho de toda persona a solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

 

En efecto, la LT y AIP de 2002 [34], regula la parte sustantiva del Hábeas Data, pues allí el legislador peruano regula el derecho fundamental de información en general y en particular sobre la información de acceso público [35], la legitimación por activa y por pasiva de la información, las autoridades o entidades del Estado obligadas a dar cumplimiento al acceso a la información pública, los principios rectores de la información veraz, oportuna, lícita, clara, exacta que deben entregar las entidades estatales y a su vez, recibirla los titulares o concernidos con la misma; el régimen de sanciones y responsabilidades que asumen titulares, usuarios y administradores de la información;  los extensísimos y quizá cuestionables regímenes excepcionales al acceso a la información pública, cuando ésta se considera «secreta», «reservada» y  «confidencial»; la regulación amplia y pormenorizada de la información de las finanzas, el régimen fiscal y presupuestal del Estado; entre muchas otras aristas del derecho a la información.

 

La LT y AIP posibilita el ejercicio de la acción de Hábeas Data, solo cuando se ha agotado el no fácil y expedito  «procedimiento» común o administrativo de acceso a la información pública.

 

En efecto, el artículo 11º de la mentada ley, sostiene que el acceso a la información pública está sujeta al siguiente procedimiento: (i) Toda solicitud de información debe ser dirigida al funcionario designado por la  entidad de la Administración Pública para realizar esta labor. En caso de que  éste no hubiera sido designado, la solicitud se dirige al funcionario que tiene en  su poder la información requerida o al superior inmediato; (ii)  La entidad de la Administración Pública a la cual se haya presentado la  solicitud de información deberá otorgarla en un plazo no mayor de siete (7)  días útiles; plazo que se podrá prorrogar en forma excepcional por cinco (5)  días útiles adicionales, de mediar circunstancias que hagan inusualmente difícil  reunir la información solicitada. En este caso, la entidad deberá comunicar por  escrito, antes del vencimiento del primer plazo, las razones por las que hará uso  de tal prórroga, de no hacerlo se considera denegado el pedido. En el supuesto de que la entidad de la Administración Pública no posea la  información solicitada y de conocer su ubicación y destino, esta circunstancia deberá ser puesta en conocimiento del solicitante; (iii) La denegatoria

___________________

(34)       Texto completo de la norma En: http://www.pcm.gob.pe/Transparencia/

(35)      El Artículo 10 de la LT y AIP, considera la Información de acceso público, aquella que las entidades de la Administración Pública tienen la obligación de proveer la  información requerida si se refiere a la contenida en documentos escritos, fotografías,  grabaciones, soporte magnético o digital, o en cualquier otro formato, siempre que haya sido  creada u obtenida por ella o que se encuentre en su posesión o bajo su control. Agrega, el inciso 2º Asimismo, para los efectos de esta Ley, se considera como información pública  cualquier tipo de documentación financiada por el presupuesto público que sirva de base a  una decisión de naturaleza administrativa, así como las actas de reuniones oficiales.

___________________

al acceso a la información se sujeta a lo dispuesto en el segundo párrafo del artículo 13º de la presente Ley; (iv)  De no mediar respuesta en los plazos previstos en el inciso b), el solicitante  puede considerar denegado su pedido; (v)  En los casos señalados en los incisos c) y d) del presente artículo, el solicitante  puede considerar denegado su pedido para los efectos de dar por agotada la vía  administrativa, salvo que la solicitud haya sido cursada a un órgano sometido a  superior jerarquía, en cuyo caso deberá interponer el recurso de apelación para  agotarla; (vi)  Si la apelación se resuelve en sentido negativo, o la entidad correspondiente no  se pronuncia en un plazo de diez (10) días útiles de presentado el recurso, el  solicitante podrá dar por agotada la vía administrativa; (vii)  Agotada la vía administrativa, el solicitante que no obtuvo la información  requerida podrá optar por iniciar el proceso contencioso administrativo, de  conformidad con lo señalado en la Ley Nº 27584 u optar por el proceso  constitucional del Hábeas Data, de acuerdo a lo señalado por la Ley Nº 26301.

 

Por ahora nos dedicaremos al estudio del proceso constitucional originado en la acción de Hábeas Data, o dicho de otro modo, a la visión jurisdiccional o procedimental del Hábeas Data.

 

6.2.      Estructura de la Ley 28237 o Código Procesal Constitucional del Perú

 

Si bien vamos a relacionar la estructura general del CPCP de 2004, eso no obsta que hagamos énfasis en aquellos apartes referidos a la acción o «proceso constitucional» de Hábeas Data, que es el objeto general de nuestro ensayo jurídico.

 

El CPCP tiene una estructura de extenso Codex y está dividió en Títulos, Capítulos, Artículos, numerales, literales y parágrafos. Contiene un Título preliminar y trece Títulos, y por su puesto disposiciones transitorias y tabla de vigencia.

 

El Título Preliminar en los artículos I a IX, regula el alcance, fines y principios de los procesos constitucionales; los órganos del poder judicial competentes; el entendimiento que debe darse a la interpretación constitucional y el control difuso; la sentencia del Tribunal constitucional como precedente en el derecho público peruano y la aplicación supletoria de los Códigos procesales de la materia objeto del cuestionamiento constitucional.

 

En el Título I, relativo a las «Disposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento», en el artículo 1º al 24, hace referencia a la finalidad, procedencia frente a actos basados en normas o respecto de resoluciones judiciales, las causales de improcedencia, la cosa juzgada, la representación procesal del Estado, la responsabilidad del agresor, la ausencia de etapa probatoria, las excepciones y defensas previas, la integración decisiones, el turno, la tramitación preferente, notificaciones,  medidas cautelares, extinción de la medida cautelar, sentencia, recursos de agravio constitucional y de queja, el pronunciamiento del Tribunal Constitucional, la incorporación de medios probatorios sobre hechos nuevos al proceso, actuación de sentencias, procedencia durante los regímenes de excepción y agotamiento de la jurisdicción nacional.

 

El Título  II, concerniente al «Proceso de Hábeas Corpus», contiene dos capítulos. En el Capítulo I, sobre los «Derechos protegidos», en el artículo 25º, relaciona «enunciativamente» los derechos a la libertad individual de las personas protegidas por Hábeas Corpus. En el Capítulo II, sobre «el Procedimiento», en los artículos 26º a 36, relaciona las partes y fases del proceso, la legitimación activa y pasiva, trámite y recursos.

 

El Título III, relativo al «Proceso de Amparo», contiene dos capítulos. En el Capítulo I, relativo a los «Derechos protegidos», en los artículos 37º a  38º , enumera los derechos en los que procede el amparo; entre otros, el honor, la información, la intimidad, las informaciones inexactas o agraviantes, la libertad de cátedra, etc. En el Capítulo II, referente al «Procedimiento», en los artículos 39 a 60, menciona la legitimación, la representación procesal, la procuraduría oficiosa, requisitos y plazo para interposición de la demanda, acumulación subjetiva de oficio; el no menos discutible aspecto de «agotamiento de las vías previas» y excepciones al mismo; la improcedencia liminar; inadmisibilidd, abandono y reconvención; Juez competente, plazos para decidir, trámites y recursos.

 

El Título IV, referente al «Proceso de Hábeas Data», en los artículos 61 a 65, describe los derechos protegidos a través de este mecanismo constitucional y que se concreta en los siguientes: (i) Acceder a información que obre en poder de cualquier entidad pública, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trámite, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier otro documento que la administración pública tenga en su poder, cualquiera que sea la forma de expresión, ya sea gráfica, sonora, visual, electromagnética o que obre en cualquier otro tipo de soporte material; (ii) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros; y (iii)  a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales.

 

Así mismo, se relacionan en éste capítulo los requisitos especiales que debe reunir la demanda en ejercicio de la acción de Hábeas Data; también una especie de medidas cautelares, que el legislador peruano, llama «ejecución anticipada»; la acumulación de pretensiones de conocer y acceder a la información, con las de actualizar, rectificar o eliminar información o de impedimento de entrega de informaciones; y finalmente, la homologación del procedimiento de amparo al procedimiento de Hábeas Data.

 

El Título V, relativo al «Proceso de cumplimiento», en los artículos 66 a 74 describe el objeto, la legitimación activa y pasiva, representación, requisitos especiales de la demanda, causales de improcedencia, desistimiento de las pretensiones, contenido de la sentencia, ejecución de la sentencia y aplicabilidad del procedimiento de amparo a la acción de cumplimiento.

 

El Título VI, concerniente a «Disposiciones generales de los procesos de acción popular e inconstitucionalidad», en los artículos 74º a 83, referencia la finalidad y procedencia de la acción popular y la de inconstitucionalidad, principios de interpretación, efectos de la sentencia, cosa juzgada y efectos de la irretroactividad.

 

El Título VII, referente a la «Acción Popular»,  en los artículos 84 a 97, relaciona la legitimación activa y pasiva, la competencia, requisitos de la demanda, admisibilidad e improcedencia, emplazamiento y publicación de la demanda, contestación, vista de la causa, recursos, medidas cautelares y sentencia.

 

El Título VIII, relativo a la «Acción de Inconstitucionalidad», en los artículos 98 a 108, menciona la legitimación y competencia de la acción, representación ad procesum; la demanda, anexos, inadmisibilidad y su improcedencia Ad limine; improcedencia de medidas cautelares, trámite y sentencia.

 

El Título IX, concerniente al «Proceso competencial», en los artículos 109º a 113, relaciona los procesos generados por los conflictos de competencias administrativas entre los órganos del Estado. Así mismo, sobre las pretensiones, medidas cautelares, causales de improcedencia y efectos de la sentencia.

 

El Título X, referente a la «Jurisdicción Internacional», en los artículos 114º a 116º, hace mención a los organismos internacionales competentes para tutelar los derechos fundamentales de los peruanos, cuando han agotado las vías administrativas y jurisdiccionales internas, el Comité de Derechos Humanos de las Naciones Unidas, la Comisión Interamericana de Derechos Humanos de la Organización de Estados Americanos, por ejemplo.

 

El Título XI, relativo a las «Disposiciones generales aplicables a los procedimientos ante el Tribunal Constitucional», en el artículo 117º al 121º, menciona la acumulación de procesos, numeración de sentencias, solicitud de información del Tribunal a los organismos del Estado, subsanación de vicios de procedimiento y el carácter inimpugnable de las sentencias del Tribunal.

 

El Titulo XII, concerniente a las «Disposiciones finales» de la primera a la séptima, se mencionan aspectos que por técnica legislativa no pudieron incrustarlos en los títulos referidos a disposiciones, reglas o principios generales o aspectos que deberían ir en el título preliminar. Por ello, se menciona «las denominaciones empleadas» a lo largo de la ley, los jueces especializados, publicación de sentencias, aspectos de pedagogía constitucional en centros educativos y la gaceta constitucional.

 

El Título XIII, referente a las «Disposiciones Transitorias y derogatorias». Se derogan expresamente 15 leyes y se dispone la vigencia después de 6 meses de la publicación.

 

6.3.      Breves comentarios a la parte pertinente del Hábeas Data en el CPCP de 2004

 

El CPCP le dedica específicamente el Título IV  al Hábeas Data, pero también le dedica inmerso con otras acciones constitucionales, el Título I, para hacer mención a las disposiciones generales que rigen al proceso constitucional originado en la acción o garantía constitucional de Hábeas Data, aunque por disposición final (Titulo XIII), sostiene que se «denominará» proceso de Hábeas Data a la acción de Hábeas Data. Asimilación terminológica que parece conllevar el cambio de naturaleza jurídica del Hábeas Data peruano.

 

Por eso, en el presente aparte haremos un análisis sucinto de los aspectos relacionados en los artículos 61 a 65 del CPCP, con las consiguientes remisiones a la Constitución Peruana de 1993.

 

6.3.1.               El procedimiento de amparo específico o de Hábeas Data

 

Desde el punto de vista procedimental es aplicable al Hábeas Data según el artículo 65 del CPCP, el Título III relativo al «Proceso de Amparo» en toda su extensión (artículos 39 a 60 ibidem), es decir en cuanto a  la iniciación, desarrollo, sustanciación, recursos y sentencia del procedimiento de Hábeas Data, éste se tramitará conforme a las formas y ritualidades del proceso de amparo, salvo lo previsto en forma específica en los artículos 61 a 64 del CPCP, vale decir sobre objeto de la acción de Hábeas Data, las medidas cautelares y la acumulación de pretensiones, propias del proceso de Hábeas data. Lo cual quiere decir, que el proceso de Hábeas Data es mixto en el derecho peruano y está compuesto por parte genérica aplicable todos los procesos de amparo, y una parte específica, aplicable en forma exclusiva y excluyente al proceso de Hábeas Data.

 

El procedimiento constitucional de amparo peruano, lejos de ser un proceso sumario, expedito y altamente garantizador del derecho fundamental y garantía constitucional de Hábeas Data, se erigió en el CPCP, con una serie de etapas normales y contingentes para todo procedimiento constitucional ordinario, digno de estudiarse en una obra jurídica autónoma y separada a la presente. En tal virtud por ahora, solo nos permitimos relacionar casi gráficamente las etapas de dicho proceso para demostrar nuestra crítica.

 

Tiene unas etapas normales u obligatorias del proceso como son la de litis contestatio y la de juzgamiento. La etapa de litis contestatio, compuesta por la: (i) demanda con requisitos generales y especiales, plazo para su interposición, agotamiento de vías previas y excepciones mínimas a éste; y, (ii) Contestación de la demanda. La Etapa de Juzgamiento constituida por la sentencia, salvo que se haya formulado solicitud de informe oral.

 

Tiene como etapas contingentes o facultativas: (i) Inadmisibilidad de la demanda; (ii) desistimiento; (iii) impedimentos del juez; (iv) intervención litisconsorcial; (v) Adopción de medidas cautelares;  y,  (vi) procedimiento para represión de actos homogéneos; además de las circunstancias procesales contingentes de acumulación subjetiva de terceros y acumulación de procesos.

 

6.3.2.   El Objeto del procedimiento constitucional de Hábeas Data

 

Sobre el objeto y el extravasamiento del CPCP, respecto de la reglamentación de la garantía constitucional del Hábeas Data, previsto en el artículo 200 de la Constitución Peruana, ya nos hemos referido al hacer los comentarios pertinentes a ésta en la Parte Segunda de esta obra, y por ello, sólo adicionemos aquí, que el CPCP concreta un objetivo amplio que puede ser mejorado, si se reglamenta el artículo 200-3º  en su integridad (no sólo los numerales 5º  y 6º  del artículo 2º de la Constitución incorporado al artículo 200-3º y reglamentado en el artículo 61 del CPCP, sino también el numeral 7º [36]  que es omitido en dicha reglamentación legal) pues hoy por hoy, la acción de Hábeas data sólo procede en las fases de conocimiento y acceso de la información, de solicitud de actualización, rectificación y cancelación de la misma y en las eventualidades de solicitar la supresión de las informaciones o de impedir que sean sometidas a tratamiento de datos,  ciertas informaciones sensibles o privadas cuando con ellas se amenacen, vulneren o desconozcan derechos fundamentales de la persona.

 

El numeral 5º del artículo 2º de la Constitución Peruana de 1993, sostiene que toda persona tiene derecho: «A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional». Y agrega el inciso 2º: «El secreto bancario y la reserva tributaria pueden levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado».

 

______________________

(36)      El numeral 7º del artículo 2º de la Constitución sostiene que toda persona tiene derecho: «Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias. Agrega el inciso 2º, «Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley». Pues en este caso también procede la acción de Hábeas Data como mecanismo idóneo y potenciado de protección y garantía constitucional y legal de los mencionados derechos fundamentales, más cuantos se hace mención a informaciones inexactas o agraviantes por cualquier medio TIC. Esto sin perjuicio e independencia que éstos derechos fundamentales tienen en ejercicio de su autonomía, protección y garantía constitucionales por medio de la acción de amparo. Si se hubiese éste numeral 7º  en el artículo 61 CPCP, los derechos fundamentales allí mencionados gozaran hoy de una protección ultrapotenciada que la necesitan ante el avance y la alta porosidad de las TIC y la informática en el derecho.

__________________________

 

Por su parte, el numeral 6º del artículo 2º constitucional, sostiene que toda persona tiene derecho: «A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar«.

 

Tanto en el numeral 5º como en el 6º, la Constitución preserva bienes jurídicos y derechos fundamentales tales como el derecho de acceso a la información pública o de interés colectivo y privada o de interés individual y el derecho a la intimidad personal y familiar. Derechos constitucionales autónomos que gozan de protección per se, por sus connotaciones especiales, su caracterización de derechos de la persona humana y jurídica (el de la información) o de personalísimos del ser humano (el de intimidad), por ser de aplicación inmediata y por estar garantizados por el Estado a toda persona habitante, residente o transeúnte en el país. Además gozan de la protección reforzada a través del mecanismo administrativo del derecho de petición ante cualquier autoridad del Estado y del mecanismo jurisdiccional de la acción de amparo, según el CPCP. Pero además, tienen un ámbito de ultraprotección, por disposición del artículo 200-3º de la Constitución, cuando entran en entronque el abuso, irregular, indebido o ilegal tratamiento de datos o informaciones personales  por medios TIC y la informática (abuso del «poder informático»). Es entonces, en este momento que los derechos fundamentales enunciados en los numerales 5, 6 y 7º del artículo 2º obtienen una ultraprotección constitucional y legal que le es negada parcialmente al los derechos constitucionales del numeral 7º , por omisión del legislador peruano o por disposición y a sabiendas de su exclusión. La doctrina peruana tiene la palabra sobre este punto.

 

6.3.3.   Requisitos especiales de la demanda de Hábeas Data

 

Ahora bien, en cuanto a los requisitos de la demanda en el «proceso constitucional de Hábeas Data», el CPCP, redirige en principio a los requisitos generales previstos para la acción de amparo, los cuales están previstos en el artículo 42 en forma enunciativa, al emplear el término «cuando menos» para referirse a que la demanda por escrito, con sus «datos y anexos», podrá ser presentada por quien se halle legitimado para hacerla y cuando reúna los siguientes requisitos: (i) La designación del Juez ante quien se interpone; (ii) El nombre, identidad y domicilio procesal del demandante; (iii) El nombre y domicilio del demandado, sin perjuicio de lo previsto en el artículo 7 del CPCP, sobre representación procesal del Estado; (iv) La relación numerada de los hechos que hayan producido, o estén en vías de producir la agresión del derecho constitucional; (v) Los derechos que se consideran violados o amenazados; (vi) El petitorio, que comprende la determinación clara y concreta de lo que se pide; (vii) La firma del demandante o de su representante o de su apoderado, y la del abogado.

 

Estos requisitos son los que normalmente se exigen para la presentación de cualquier tipo o clase de demanda ante autoridades jurisdiccionales, en cualquier Estado del mundo.

 

Agrega el inciso in fine del artículo mencionado, que «en ningún caso la demanda podrá ser rechazada por el personal administrativo del Juzgado o Sala correspondiente«. Nos parece que debió decir, que no podrá ser rechazada por el  jueces o jueces que son los funcionarios con jurisdicción y competencia para pronunciarse sobre la admisión, inadmisión o rechazo de la demanda, mediante providencia o decisión judicial correspondiente.

 

El CPCP en el artículo 62, establece unos requisitos especiales de la demanda que debe reunir la acción de Hábeas Data, además de los requisitos generales para la demanda en acción de amparo. Estos son: (i) que el demandante previamente haya reclamado, por documento de fecha cierta, el respeto de los derechos de conocimiento y acceso a la información, de actualización, rectificación o eliminación de la información inexacta, erróneo o ilegal, o de supresión o impedimento de la publicación de información sensible o privada que afecte derechos constitucionales; (ii) que el demandado se haya ratificado en su incumplimiento o no haya contestado dentro de los diez días útiles siguientes a la presentación de la solicitud tratándose del derecho reconocido por el artículo 2 inciso 5) de la Constitución, o dentro de los dos días si se trata del derecho reconocido por el artículo 2 inciso 6) de la Constitución. Excepcionalmente se podrá prescindir de este requisito cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante. Aparte de dicho requisito, no será necesario agotar la vía administrativa que pudiera existir.

 

Estos requisitos denominados especiales por el CPCP, en verdad, son trámites administrativos previos que debe agotar el titular de los datos o persona concernida con éstos, pues  ese es el significado que debe dársele al solicitar el artículo 62  la demostración de haber reclamado, «por documento de fecha cierta», es decir, de haber ejercido el derecho de petición ante las autoridades, organismos o instituciones del Estado, o ante personas físicas o jurídicas de carácter particular y esperar que unas u otras, según el caso, hayan o no respondido expresa o  tácitamente (una especie de «silencio administrativo» de petición), en forma oportuna o extemporánea, dentro o no de un lapso de tiempo cierto. En fin, el primer requisito, parece sólo pedir que se demuestre que se reclamó mediante un memorial o documento, con la sola presentación y atestamiento de la autoridad o persona que recibió el memorial con sello de hora, día y fecha que de fe a la presentación.

 

El requisito especial segundo del artículo 62 del CPCP, parece aclarar el requisito primero. En efecto, solicita que el impetrante en acción de Hábeas Data, deba demostrar que la entidad o persona, pública o privada que lo denomina anticipadamente «demandado» cuando todavía no lo es técnica ni procesalmente  y según el caso, que ésta o  éstas, se han ratificado en su incumplimiento o no hayan contestado así: (i) dentro de los diez días útiles siguientes a la presentación de la solicitud (o petición más claro) tratándose del derecho de acceso a la información pública o privada; (ii) dentro de los dos días si se trata del derecho de la intimidad personal o familiar.

 

Excepcionalmente, agrega el artículo citado,  se podrá prescindir de este requisito especial cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante.  La prueba idónea que se exige al «interesado o afectado» con el tratamiento de datos, parecería exagerada, pues la calificación de los hechos, actos, sucesos u omisiones, sí constituyen o no «inminente peligro» debe darse por el funcionario jurisdiccional que admite el amparo específico de Hábeas Data, cuando no esté regulado previamente en el ordenamiento jurídico vigente, o más aún en el CPCP, pues la carga de la prueba en estos casos debería soportarla el Estado o la persona privada que vulnere el tratamiento de datos, a falta de regulación expresa.

 

Como se observa, sí existen vías previas antes de la acción de Hábeas Data en el derecho peruano, que el CPCP, se empeña en decir, en el inciso in fine del artículo 62 que «no será necesario agotar la vía administrativa«. Si bien es cierto, no existen recursos administrativos contra la decisión expresa o tácita al derecho de petición («solicitud», «reclamo», como lo denomina el CPCP), elevados por el interesado, afectado o titular de los datos frente a las personas o entidades públicas o privadas; no es menos cierto, que las peticiones incoadas por aquél cuando se trata de los derechos fundamentales previstos en  los numerales 5º y 6º del artículo 2º de  la Constitución Peruana, reciben una contestación tácita negativa que genera un silencio administrativo de peticiones de 10 días en el caso del derecho de acceso a la información y de dos días en el caso del derecho a la intimidad; es decir, que hay una respuesta tácita negativa, que en todo caso genera una vía administrativa –mal llamada en Colombia «gubernativa»–  que ineludiblemente debe agotarse para acudir en Hábeas Data, pues el artículo 62 expone que estos son requisitos especiales adicionales a los generales de la presentación de la demanda en acción de amparo específico o de Hábeas Data.

 

6.3.4.   Las medidas cautelares en el procedimiento de amparo específico de Hábeas Data

 

En el Título I, concerniente a las «Disposiciones generales de los procesos de Hábeas Corpus, Amparo, Hábeas Data y cumplimiento»   del CPCP, y más concretamente en el artículo 15, se sostiene que son viables las medidas cautelares y de suspensión del acto violatorio en los procesos de amparo, Hábeas Data y de cumplimiento, indicando con ello, que respecto al proceso de amparo específico o de Hábeas Data son viables como etapa contingente del proceso las medidas cautelares como la suspensión de la eficacia o de los efectos jurídicos del acto (particular o administrativo) acusado [37] .

 

Para la adopción de las medidas cautelares en esta clase de procesos constitucionales sumarios, el legislador peruano impuso a la autoridad jurisdiccional que se comprobara ab initio los requisitos caracterizadores de las medidas cautelares: (i) la apariencia del derecho o también conocido como elemento fumus boni iuris [38];  (ii)  el   peligro  en  la demora   o periculum in mora [39]; (iii) que el pedido cautelar sea adecuado para garantizar la eficacia de la pretensión o como lo denominamos, el elemento de la pendentia litis [40]; y (iv) se dictan sin audiencia de la contraparte.

 

Efectivamente, los anteriores elementos caracterizadores de toda medida cautelar se deben reunir al momento de la solicitud de la medida cautelar por el interesado o afectado, pero es el Juez quien en el momento de la adopción de la medida mediante providencia idónea quien evalúe y compruebe su existencia y pertinencia luego de leer los argumentos fácticos, jurídicos y probatorios esgrimidos por el solicitante, en memorial escrito conjunto o separado de la demanda y de comprobar si existe una violación o vulneración irrefragable («palmaria» o «prima facie», como se solicita en el derecho público colombiano en los procesos de nulidad de actos administrativos ante la jurisdicción contencioso administrativa) entre el acto acusado y el ordenamiento jurídico vigente.

 

La procedencia, trámite y ejecución de las medidas cautelares, según el artículo citado dependen del contenido de la pretensión constitucional intentada y del aseguramiento de la decisión final.

 

Tienen competencia para avocar y decretar medidas cautelares en esta clase de procesos, si la solicitud de medida cautelar tiene por objeto dejar sin efecto actos administrativos dictados en el ámbito de aplicación de la legislación municipal o regional, en primera instancia por la Sala competente de la Corte Superior de Justicia del Distrito Judicial correspondiente.

 

En cuanto al trámite para la adopción, ejecución y recursos de las medidas cautelares, se seguirá el previsto en los incisos 3º y 4º del mentado artículo; es decir, se aplicará el iter procesalis del CPCP, como norma especial y el Código Procesal Civil Peruano (Título IV de la Sección Quinta), como norma subsidiaria para llenar los vacíos o lagunas legales del CPCP. En efecto, ab initio el  trámite es el siguiente: De la solicitud se corre traslado por el término de tres días, acompañando copia certificada de la demanda y sus recaudos, así como de la resolución que la da por admitida, tramitando el incidente en cuerda separada, con intervención del Ministerio Público. Con la contestación expresa o ficta la Corte Superior resolverá

________________________

(37)      Vid. RIASCOS GOMEZ, Libardo O. Las medidas cautelares en el procedimiento administrativo. Tesis Doctoral, Universidad de Navarra, Pamplona (España), 1986, p. 15 y ss.

(38)      Ob., ut supra cit.

(39)      Ob., ut supra cit.

(40)      Ob., ut supra cit.

________________________

dentro del plazo de tres días, bajo responsabilidad salvo que se haya formulado solicitud de informe oral, en cuyo caso el plazo se computará a partir de la fecha de su realización. La resolución que dicta la Corte será recurrible con efecto suspensivo ante la Corte Suprema de Justicia de la República, la que resolverá en el plazo de diez días de elevados los autos, bajo responsabilidad.

 

La medida cautelar se extingue, según el artículo 16 del CPCP de pleno derecho cuando la resolución que concluye el proceso ha adquirido la autoridad de cosa juzgada.

 

Si la resolución final constituye una sentencia estimatoria, se conservan los efectos de la medida cautelar, produciéndose una conversión de pleno derecho de la misma en medida ejecutiva. Los efectos de esta medida permanecen hasta el momento de la satisfacción del derecho reconocido al demandante, o hasta que el juez expida una resolución modificatoria o extintiva durante la fase de ejecución.

 

Si la resolución última no reconoce el derecho reclamado por el demandante, se procede a la liquidación de costas y costos del procedimiento cautelar. El sujeto afectado por la medida cautelar puede promover la declaración de responsabilidad.

 

De verificarse la misma, en modo adicional a la condena de costas y costos, se procederá a la liquidación y ejecución de los daños y, si el juzgador lo considera necesario, a la imposición de una multa no mayor de diez Unidades de Referencia Procesal.

 

La resolución que fija las costas y costos es apelable sin efecto suspensivo; la que establece la reparación indemnizatoria y la multa lo es con efecto suspensivo.

 

 

CAPITULO SEGUNDO

 

  1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

CAPITULO SEGUNDO

 

  1. El HABEAS DATA EN LAS LEYES DE PROTECCION DE DATOS DE CARÁCTER PERSONAL EN EL DERECHO CONTINENTAL EUROPEO

 

2.1.                  PRELIMINARES

 

2.2.                  ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977

2.2.1.               Estructura de la LFAPD

2.2.2.               Comentarios sucintos a la LFAPD de 1977

 

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

2.3.3.               Principios y excepciones fundamentales del tratamiento informatizado o no de los datos personales

2.3.4.   Principios del tratamiento de datos en el ámbito nacional

2.3.5.   Principios del tratamiento de datos en el ámbito internacional: Libre circulación y restricciones legítimas

2.3.6.               Excepciones a las Directrices

 

2.4.                  El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981

2.4.1.               Definiciones nucleares en el tratamiento informatizado o no de datos personales

2.4.2.   Principios y excepciones fundamentales  en el tratamiento y circulación datos personales

 

2.5.                  ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE 1999 o LOPDP

2.5.1.               Notas preliminares

2.5.2.               Estructura de la LOPDP de 1999

2.5.3.               Comentarios sucintos a la LOPDP

 

2.6.                  LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE

 

 

 

2.1.       PRELIMINARES.

 

Nos parece oportuno en esta parte del trabajo, hacer mención a los diferentes cuerpos normativos que regulan el tratamiento informatizado de los datos de carácter personal, a efectos de exaltar, entre otros aspectos, por un lado,  la labor que vienen cumpliendo los legisladores en los diferentes Estados de Europa continental (a título de ejemplo en Alemania, España y la Unión Europea)  por puntualizar y establecer un marco de garantías y medias de protección a los derechos involucrados en dicho tratamiento (con mayor énfasis en el derecho a la intimidad y subsidiariamente de la información, la expresión, el honor y la imagen, entre otros); y por otro, analizar, estudiar y puntualizar el derecho del Hábeas Data prevista en las principales leyes de protección de datos personales, clasificadas inicialmente en tres generaciones, según sus contenidos y evolución en la regulación del fenómeno informático en entronque con el derecho. Ampliaremos luego una cuarta generación y otra en transición, atendiendo además de lo dicho, al factor temporal, los avances significativos de iusinformática y la consideración de los Estados «paraísos informáticos» técnica como legislativamente.

 

En la primera generación de estas leyes se hallan las denominadas leyes pioneras en la regulación y tratamiento (informatizado o no)  de datos de carácter personal: La Ley Federal alemana de protección de datos personales y Ley Sueca «Data Lag» de 11 de mayo de 1973 [41].  Según Mirabelli [42], estas leyes son tendencialmente restrictivas puesto que se sujetan al requisito de «la autorización previa» para la creación de los «ficheros» o bancos de datos, limitando excesivamente la recolección de los «datos sensibles» e instituyendo organismos con funciones y estructura cuasi jurisdiccional para la concesión y el ejercicio del control de los mencionados banco  de  datos [43].  Sin embargo, como veremos más adelante la Ley Alemana, –que tomamos como prototipo de análisis de esta primera generación– por contra, se caracteriza por ser la primera en el tratamiento integral de tratamiento informatizado o no de datos personales, así como de demarcar una nueva técnica legislativa en materia de definiciones técnico-jurídicas, estructurar por vez primera los «procesos de datos» públicos y privados y crear la figura del Comisario de Protección de datos para la vigilancia, garantía y protección de los derechos fundamentales, las libertades públicas e intereses legítimos de los titulares de datos personales.

 

En una segunda generación de leyes protectoras de los datos personales se destacan la de Francia en 1974, Noruega en 1978, Luxemburgo en 1981, etc. Por paralelo y con idénticos propósitos, surgen normas de ámbito internacional (La Recomendación de la OCDE de 1980) y Comunitario Europeo propuestas por el Consejo de Europa (El Convenio de Estrasburgo de 1981).  Las leyes en esta etapa se caracterizan por el sistema de «la notificación» y no de la autorización como requisito a priori para crear bancos de datos. Además, se introduce la figura del responsable del fichero o banco de datos [44],  se  ingresa en la técnica legislativa de la conceptualización de los términos técnico cerrados y abiertos utilizados en las nuevas

______________________________

(41)     La Data lag Sueca, según el profesor ORTI, «estableció un sistema de Registro de ficheros informatizados, exigiéndose la inscripción con carácter constitutivo, necesaria para obtener la autorización para crear un fichero, y a la que se condicionaba la inclusión en el Registro. Este requisito fue sustituido más tarde por el sistema de la mera notificación e inscripción registral, que es el seguido en la ley española» Cfr. ORTI VALLEJO, Antonio. Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y tratamiento informáticos de datos personales. Particular atención a los ficheros de titularidad privada). Ed. Comares, Peligros (Granada), 1994, p.14.

(42)       MIRABELLI, «Banche dati e contemperamento degli interessi», Bance dati telematica e diritti della persona, Cedam, Padova, 1984, pág. 160. Citado por ORTI V. Ob. cit., p. 11.

(43)       En ésta etapa de clasificación de normas de protección de datos personales, nacieron por doquier varias leyes  en Europa y América.. Se destacan entre ellas la Ley Francesa de 6 de Enero de 1978, conocida como  «Loi relative à l´informatique, aux fichiers et aux libertés», y la «Privacy act de 31 de diciembre de 1974, que fueron el prototipo de otras que les siguieron. Entre ellas, la Ley Noruega de Junio 9 de 1978, la de Luxemburgo de 30 de Marzo de 1979, la Suiza de 1981.

(44)     Ob. ut supra cit. p. 11.

______________________________

tecnologías de la información y la comunicación (TIC) que inciden  en el derecho y se instituye, a partir de éstas, los denominados «principios fundamentales de la protección de datos», tanto  en  el tratamiento,  almacenamiento, difusión como en  la «libre circulación de datos de carácter personal«. Aspectos capitales en el procedimiento informatizado de datos que se evidenciaron más en las normas de ámbito internacional y comunitario, antes que en las leyes estatales, como precisaremos.  

 

Por ello, tomaremos de ésta generación dos prototipos de legislación sobre el tratamiento informatizado de datos: La Recomendación del Consejo de la OCDE de Septiembre 30 de 1980,  por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales y  El Convenio Europeo de Estrasburgo de 28 de Enero de 1981″, relativo a la «protección de las personas con respecto al tratamiento automatizado de datos de carácter personal». Convenio incorporado por todos los Estados Europeos en sus respectivos ordenamientos jurídicos internos a través de normas jurídicas de trasposición. En España, el Convenio se ratificó mediante instrumento de  Enero 27 de 1984 (BOE. 15-11-1985, núm. 274) e ingresó al ordenamiento jurídico interno no sólo como mecanismo de interpretación de derechos humanos (art.10.2 CE), sino como una verdadera norma jurídica con fuerza legislativa desde aquélla época (art.96.1 CE).

 

En la «tercera generación», se ubican las normas jurídicas nacidas en la década de los noventa, muy a pesar de que las propuestas e iniciativas venían manejándose desde la década anterior. En esta se ubican la «La ley española de regulación del tratamiento automatizado de datos de carácter personal», de 29 de Octubre de 1992, conocida también como LORTAD, reformada en 1999, por la «Ley Orgánica de Protección de Datos» o  LOPD, Ley 15 de 1999;  como también la «Privacy and data Protection Bill 1994 (NSW) o Ley de protección de la intimidad y los datos personales en Australia. Esta generación de leyes se caracteriza según Orti Vallejo [45], siguiendo a Pérez Luño, por ser más «liberalizantes del uso de ficheros de datos personales» y establecer un amplio marco de principios, derechos y obligaciones para las personas naturales, jurídicas, públicas y privadas.

 

Una cuarta generación de normas surge con la expedición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta generación se caracteriza por plantear como epicentro el principio-derecho de la libre circulación de datos personales entre los países miembros de la Unión Europea e incluso entre países terceros, previo el lleno  de  unos  requisitos sine qua nom; la consagración de principios, derechos (como  el de información y de Hábeas data) y  obligaciones  en  todas  las fases, etapas o ciclos informáticos del procedimiento informatizado de datos, cuando se realiza con soportes, medios y aplicaciones informáticas electrónicas y telemáticas  y la plasmación del llamado derecho de oposición al tratamiento informatizado de datos personales, como un derecho personalísimo de los titulares de los datos personales.

 

Finalmente, una quinta generación o generación de leyes protectoras de datos específicas en tránsito, constituida por Estados que no disponen de normas especiales en la protección de datos personales, pero en cambio disponen de diversas normas jurídicas generales, mecanismos, procedimientos administrativos (iniciados por el derecho de petición y desarrollados y concluidos con los recursos ordinarios y extraordinarios de reposición, apelación, queja y revocatoria, respectivamente) y procedimientos jurisdiccionales de índole constitucional, contencioso-administrativo, civil y penal dirigidas a proteger los datos personales. Si bien estos Estados no se halla en Europa continental e insular, ello no obsta para que los

______________________________

(45)          ORTI VALLEJO, A. Ob. cit., p. 18

___________________________________

lmencionemos por ahora en esta clasificación. A título de ejemplo, se encuentra el Estado Colombiano pues se han venido adelantado juicios de defensa y protección de derechos y libertadas fundamentales con base en la aplicación directa de la Constitución que elevó a rango constitucional el Hábeas Data como acción, recurso, garantía o proceso constitucional.  Y esto último muy a pesar de que se acaba de expedir la Ley 1266 de 2008, conocida como «Ley de Habeas Data en Colombia», tema en el que nos ocuparemos en un artículo aparte.

 

En  todo caso, estos Estados con este conjunto de normas e instituciones jurídicas, propenden por la efectiva protección de los derechos fundamentales, en todos los ámbitos incluidos aquellos que se presentan en el tratamiento informatizado de datos. Quizá por ello, en puridad jurídica no existen «Estados paraísos informáticos» por el sólo hecho de no tener normas específicas que regulen la tensión-relación de la  informática, los medios TIC y  los derechos humanos, pues el vacío normativo específico lo han llenado con normas procesales y sustantivas generales aplicables al tratamiento de datos personales en desarrollo jurisprudencial suministrado al Hábeas Data por los Tribunales o Corte Constitucional en sus variados fallos de defensa y tutela de los derechos a la intimidad, la imagen, la información, el buen nombre entre otros (v.gr. Sentencias de la Corte Constitucional: T-414-1992, Ago.T-444-92 de 7Jul.,T-127-1994, de 15 de Mar, T-022/1993, de 29 Ene., T-413-1993, de 29 de Sep., T-097/1995, de 3 de Mar, SU-082 y 089/1995, de 1 de Marz., C.C. Sent. T-552/1997, de 30 de Oct, entre muchas otras citadas ut supra y las que citaremos ut infra.

 

A continuación no referiremos a las Leyes de protección de datos Alemana, Española y las que rigen en la Unión Europea (UE).

 

2.2.       ALEMANIA: LA LEY FEDERAL DE PROTECCION DE DATOS DE 27 DE ENERO DE 1977 [46].

 

Esta Ley Federal es el resultado de la estructuración y promulgación de la Ley perteneciente al Land de Hesse de 7 de Octubre de 1970, primera en regular todo lo atinente al tratamiento informatizado de datos que «utilizaban los servicios administrativos del Land» y de la ley de la Renania-Palatinado [47]

 

La Ley Federal de protección de datos, no sólo fue la pionera a nivel internacional en regular legislativamente el tratamiento informatizado de los datos personales, sino que es la primera y la única, incluso hasta épocas actuales, en tratar integralmente todo lo atinente al tratamiento informatizado los datos personales, tanto en el ámbito público como privado; así como también en regular los aspectos civiles, penales y derecho público derivados del ejercicio, protección y transgresión de los derechos que ostentan los titulares de los datos, ante las autoridades civiles, administrativas y punitivas.

 

2.2.1.   Estructura de la LFAPD

 

La Ley Federal Alemana de protección de los titulares de los datos, el 20 de diciembre de 1990, recibió una nueva redacción en su texto y que en esencia su contenido y su «concepción sigue siendo igual a la de 1997» [48]. Por ello, estudiaremos brevemente el texto de 1977. Esta ley (en adelante LFAPD), tiene cinco secciones de las que destacaremos los aspectos que tienen que ver con el objeto de nuestro trabajo. Son:

______________________

(46)      Texto completo en AA.VV. Documentación informática. Serie Amarilla. Tratados Inter. núm.2.

(47)      ORTI VALLEJO, A. Ob. cit. pág. 12

(48)      Según Heredero Higueras, citado por ORTI VALLEJO, Ob. ut supra cit., pág. 12-13.

_______________________

 

SECCION PRIMERA: Disposiciones generales: En las que se refiere a los cometidos y objeto de la ley,  definiciones,  admisibilidad del «proceso de datos», derechos del «afectado»; y «secreto de los datos, medidas técnicas y de organización».

 

SECCION SEGUNDA: Proceso de datos de autoridades y otros servicios públicos: ámbito de aplicación; elaboración de datos personales por cuenta ajena; almacenamiento y modificación de datos; comunicación de datos dentro del sector público; comunicación de datos a «entes» ajenos a un sector público; Publicidad de los datos almacenados; Facilitación de información «al afectado»; Rectificación, bloqueo y cancelación de datos; Ejecución de la protección de datos en la Administración Federal; Disposiciones administrativos de carácter general; nombramiento de un Comisario Federal de Protección de datos; situación jurídica del Comisario Federal de Protección de Datos; Funciones del Comisario Federal de Protección de Datos; Reclamaciones del Comisario Federal de Protección de Datos; y, Recurso ante el Comisario Federal de Protección de Datos.

 

SECCION TERCERA: Proceso de datos de entes no público para uso interno: Ámbito de aplicación; modificación de datos; facilitación de información al afectado; Rectificación, bloqueo y cancelación de datos; Designación de un Comisario de Protección de Datos; Funciones del Comisario de Protección de Datos; y, Autoridad de tutela.

 

SECCION CUARTA: Proceso de datos realizado con finalidad mercantil para entes no públicos: Ámbito de aplicación; Almacenamiento y comunicación de datos; modificación de datos; facilitación de información al «afectado»; Rectificación, bloqueo y cancelación de datos; elaboración de datos personales para su difusión en forma «anonimizada» (o simplemente anónima); elaboración de datos personales por cuenta ajena; Comisario de Protección de Datos; Deber de denuncia; y,  Autoridad de tutela.

 

SECCION QUINTA: Normas punitivas y sancionadoras: Acciones punibles, y, Infracciones de Policía.

 

SECCION SEXTA: Disposiciones transitorias y  finales: Disposiciones finales; Aplicación de la Ley de Procedimiento Administrativo; Disposiciones subsistentes; «Cláusula Berlinesa»; y entrada en vigor.

 

2.2.2.               Comentarios sucintos a la LFAPD de 1977

 

Son muchos y variados los temas los que aborda la Ley alemana, sin embargo, destacaremos a nuestros efectos investigativos los siguientes, los cuales los dividiremos así: a) Las definiciones técnico-jurídicas o ius-informáticas; b) El Comisario de Protección de los Datos; y c) El Sistema Punitivo y Sancionador en materia de datos.

 

2.2.2.1.            Definiciones técnico-jurídicas o ius informáticas

 

La Ley Federal Alemana del tratamiento de datos personales, inaugura en su condición de pionera, la técnica legislativa que posteriormente se extendiera en toda norma jurídica estatal y comunitaria de iniciar el texto legislativo con un glosario de términos técnico-jurídicos cerrados, cuyas definiciones son de aplicación necesaria para todo operador jurídico de la ley. Las definiciones contenidas en la Ley de 27 de Enero de 1977, son ius-informáticas, por referirse a la órbita jurídica tanto al derecho público como al derecho privado y en particular,  al tratamiento informatizado de datos dominado por la informática.

 

Las diversas definiciones las podemos agrupar por su contenido y afinidad con el  fenómeno tecnológico de la informática (entendida como la ciencia del tratamiento lógico, sistematizado e informatizado de cualquier unidad de información o datos) y el derecho, en los siguientes: a) Definiciones sobre los sujetos del tratamiento de datos; b) Definiciones aplicables al «Habeas Data» y al proceso de datos personales; y, c) Definiciones aplicables al procedimiento informatizado de datos.

 

2.2.2.1.1.         Definiciones sobre los sujetos del tratamiento de datos

 

Pertenecen a este grupo las definiciones de «Datos personales», «tercero» y «ente almacenante». Datos personales se consideran las indicaciones concretas acerca de condiciones personales o materiales de una persona natural determinable (o «afectado» aunque en puridad mejor llamado sería: el interesado o  titular de los datos). Estos datos personales como información perteneciente a cualquier persona física, incluye tanto la contenida en método no informáticos, como en aquellos a los que se les ha aplicado la técnica, tratamiento o procedimientos informatizados o «procedimientos automáticos«, como lo denomina la Ley Federal Alemana de Protección de Datos. Se excluyen no del concepto de datos personales sino del ámbito de aplicación de la LFAPD, los datos personales elaborados por empresas auxiliares de la prensa, radio o cinematografía, exclusivamente para uso interno en relación con la difusión (Art. 1 in fine LFAPD), salvo en lo atinente a las «medidas técnicas y de organización» que éstas deben implementar para garantizar los derechos e intereses legítimos de los titulares de los datos de conformidad con LFAPD [49].

 

Tercero, es toda aquella persona o entidad («ente») ajena a la entidad almacenante, a excepción de los interesados o de aquellas personas y entidades  (Autoridades públicas, personas jurídicas, sociedades u otras agrupaciones, etc.) que obraren por «encargo» dentro del ámbito de vigencia de la LFAPD.

 

 

________________________

(49)    «Si se elaboraren automáticamente datos personales, deberá adoptarse para la aplicación de los preceptos de la presente ley medidas que en función de la índole de los datos personales que hubieren de ser protegidos fueren idóneas para: l. impedir a personas no autorizadas el acceso a los equipos de proceso de datos con los cuales fueren elaborados los datos personales (control de acceso a los equipos); 2. Impedir que las personas ocupadas en la elaboración de datos personales retiren sin autorización soportes de información (control de salidas); 3. Impedir la introducción no autorizada en memoria de datos personales, así como la toma de conocimiento, modificación o cancelación no autorizadas de datos personales ya almacenados (control de memorias); 4. Impedir que personas no autorizadas utilicen sistemas de proceso de datos a partir de los cuales se comunicaren datos personales valiéndose de dispositivos automáticos o en los cuales se introdujeren datos personales valiéndose tales dispositivos (control de usuarios); 5. Garantizar que las personas con derecho a usar un sistema de proceso de datos puedan acceder mediante dispositivos automáticos exclusivamente a los datos personales que estuvieren comprendidos dentro del ámbito de su facultad de acceso (control de acceso a los datos) ; 6. Garantizar que se pueda comprobar y determinar en qué puntos es posible comunicar datos personales valiéndose de dispositivos automáticos (control de la comunicación); 7. Garantizar que se pueda comprobar y determinar a posteriori que datos personales, en qué momento y por quien fueron introducidos en sistemas de proceso de datos (control de la introducción en memoria); 8. Garantizar que en los datos personales que fueren elaborados por cuenta ajena sólo puedan serlo de conformidad con las instrucciones del comitente (control de encargos); 9. Garantizar que en los supuestos de comunicación de datos personales, así como en los casos de transporte de los correspondientes soportes de información, estos no puedan ser leídos, modificados o cancelados sin autorización (control del transporte de datos); 10. Configurar la organización interna de las autoridades o empresas de tal manera que la misma responda a las exigencias de la protección de datos (control de la organización)».

_____________________

 

Y, finalmente,  Entidad Almacenante, se consideran como tales cualquiera de las personas naturales o jurídicas o entidades que almacenaren datos por sí mismo o encomendare a otro su almacenamiento. Estas son: a) Las diversas Autoridades o entidades públicas (pertenecientes al Estado, a los Municipios, mancomunidades de municipios y cualesquiera otras personas jurídicas de derecho público sujetas a tutela estatal. Art. 7 LFAPD); y,  b) Personas naturales o jurídicas, sociedades u otras agrupaciones de personas de derecho privado, para uso interno (se exceptúan de ésta aparte las personas de derecho privado que desempeñan «funciones propias de la Administración Pública». Art.22 LFAD), o las que realicen «con carácter regular y por cuenta ajena»  actividades con «finalidad mercantil» (en esta se incluyen las empresas de derecho público, con idéntica finalidad. Art. 31 LFAPD).

 

 

2.2.2.1.2          Definiciones aplicables exclusivamente al Hábeas Data y al proceso de datos personales

 

 

Si bien como recuerda el profesor González Navarro, citando a Heredero Higueras [50], el derecho de acceso, aún antes de la promulgación de las leyes de protección de datos, fue bautizado como habeas data, por considerarlo como una modalidad de acción exhibitoria análoga a la del habeas corpus del derecho anglosajón, no debemos olvidar que el derecho de acceso a los datos, sobre todo los informatizados o sometidos en parte o en todo a tratamiento o procedimientos «automatizados», conlleva un grupo de derechos concomitantes y subsiguientes al ejercicio del derecho de acceso, tales como: el derecho a conocer la existencia de datos que le conciernan a la persona y que se hallen almacenados («storage») y contenidos en un fichero, banco de datos o simplemente en un «archivo» o registro informatizado (o simplemente «file» anglosajón), bien sean procesados con o sin su consentimiento; así como también el derecho a consultarlos, si fuere del caso, por cualquier método, técnica o medio informático, electrónico o telemático, dentro de conformidad con el ordenamiento jurídico vigente sobre la materia. Como consecuencia, de ello podrá, independientemente de los recursos (básicamente jurisdiccionales), solicitar la revisión, rectificación, actualización, modificación y, llegado el caso, la cancelación, borrado y  bloqueo de los datos personales que le conciernen.

 

En consecuencia, pertenecen a este segundo grupo de definiciones, las siguientes: almacenar, comunicar, modificar y cancelar datos personales.

 

Almacenar datos personales, en términos iusinformáticos, consiste en recoger, registrar o conservar en un soporte de información con miras a su ulterior utilización. El «almacenamiento» de datos, según la LFAPD constituye una fase del procedimiento informatizado de datos que abarca una etapa previa, como es la recolección; una etapa concomitante, como es la del registro; y una etapa posterior, como es la conservación de datos. Todas ellas interdependientes, pues faltando una de éstas no se puede completar el fenómeno o actividad de almacenamiento.

 

La LFAPD, establece la subsidiariedad de ésta, cuando existan  leyes especiales federales sobre los datos personales almacenados en registros informatizados (art.45), destacando con ello la etapa de almacenamiento y tratamiento informatizado de los datos. Así a título de ejemplo, se aplicará  la ley especial sobre la general en  la guarda de secreto sobre noticias obtenidas oficialmente o en el ejercicio profesional; p. e., el art. 12 de la Ley de Estadísticas para fines Federales, de 3 de septiembre de 1953 [51].

 

___________________

(50)      GONZALEZ NAVARRO, Francisco. Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994, Pamplona, p. 179

(51)      Otros ejemplos son: a) Sobre limitación del examen de documentos por terceros; p. e., el articulo 61, párrafo  segundo y tercero de la ley de estado civil de las personas; b) Sobre examen del expediente personal por los funcionarios o empleados; p e., el artículo 90 de la ley federal de funcionarios; el artículo 83 de la ley de Organización de Empresas; c) Sobre el deber de las autoridades de informar a los ciudadanos de los datos almacenados acerca de los mismos; p. e., el artículo 1.325 de la Ordenanza Imperial del Seguro; g) Sobre difusión, rectificación y cancelación de los datos referidos a personas incluidos en Registros públicos; p. e., los artículos 19, 23, 27, segundo párrafo; y d) Sobre la obligación de elaborar datos referidos a personas en la rendición de cuentas, comprendidas la contabilidad y otras anotaciones; p.e., los artículos 38 a 40, 42 a 47 del Código de Comercio. Texto completo de la LFAPD., en AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2º

____________________

 

 

La LFAPD, al hacer mención a los derechos que tiene el «afectado»  (por titular de los datos, en términos positivos y no en términos negativos, tal y como lo prevé la ley) dentro del llamado «proceso de datos», se  hace expresa referencia a los derechos derivados del acceso y consulta de la información y subsecuente, todos ellos componentes del derecho fundamental del habeas data. Los derechos subsecuentes son: a) La información acerca de los datos almacenados en relación con la persona; b) La Rectificación de los datos almacenados en relación con su persona, cuando los mismos fueren inexactos; c) El bloqueo de los datos almacenados en relación con su persona cuando no pudiere determinarse su exactitud o inexactitud, o cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento; y d) La cancelación de los datos almacenados en relación con su persona, si su almacenamiento no había sido admisible o bien ‑-a elección, además del derecho de cancelación-‑ cuando dejaren de darse las condiciones que originariamente requirieran su almacenamiento.

 

Comunicar, en términos de la LFAPD, es una especie cualificada (dirigida a «terceros») del género informar (que la ley denomina derecho de «facilitación de información al afectado», considerado como un derecho fundamental, no absoluto que tiene el titular de los datos personales, tanto en el proceso de datos público [52], como en el privado [53], puesto que se prevé expresas excepciones al ejercicio del mismo), puesto

__________________________

(52)    Se facilitará al afectado, si así lo solicitare, información acerca de los datos almacenados con relación a su  persona. En la solicitud deberá detallarse la índole de los datos personales sobre los cuales deba facilitarse la información. El servicio o ente almacenante determinará el procedimiento, en especial la forma de facilitar información según las conveniencias del servicio… No precederá la facilitación de la información en los siguientes supuestos: 1. si la información perjudicare el legítimo cumplimiento de las tareas comprendidas en la competencia del servicio almacenante; 2. si la información perjudicare a la seguridad o al orden públicos o causare detrimento a la Federación o a un Estado; 3. si los datos personales o el hecho de su almacenamiento hubieren de ser mantenidos en secreto en virtud de norma jurídica o por razón de su esencia, en especial en razón del interés legítimo preponderante de un tercero ; 4. si la información hiciere referencia a la comunicación de datos personales a las autoridades mencionadas en el artículo 12, segundo párrafo, apartado 1. La facilitación de la información estará sujeta al devengo de una tasa… (art. 13 LFAPD).

(53)  Si se almacenaren por primera vez datos referentes a la persona del afectado, deberá este ser informado de  ello, a menos que hubiera tenido conocimiento del almacenamiento por otros medios. El afectado podrá exigir información acerca de los datos almacenados con relación a su persona. Si los datos fueren objeto de tratamiento automático, el afectado podrá exigir asimismo información acerca de las personas y servicios a los cuales fueren transmitidos regularmente sus datos. Deberá señalar la clase de los datos personales sobre los cuales debiere ser facilitada la información. La información se facilitara por escrito, siempre que no procediere otra forma de facilitación de información en razón de especiales circunstancias. Podrá exigirse por la información una retribución, la cual no Podrá exceder de los gastos directamente imputables a la facilitación de la información. No Podrá exigirse retribución en los casos en que por circunstancias especiales existiere motivo fundado para creer que se ha llevado a cabo un almacenamiento inexacto o ilícito de datos personales, o en los casos en que la información facilitada hubiera revelado que los datos personales debieren ser rectificados o, en virtud de lo dispuesto en el artículo 27, tercer párrafo, proposición segunda, semi-proposición primera, hubieren de ser cancelados. Los párrafos primero y segundo no regirán en la medida en que: 1. el dar a conocer datos referidos a personas pudiera crear un peligro considerable para el objeto social o los fines del ente almacenante, y no obstaren a ello intereses legítimos del afectado, 2. el servicio público competente con relación al ente almacenante hubiere observado que el dar a conocer datos referidos a personas podría poner en peligro la seguridad o el orden públicos o causar otros perjuicios para el bien de la Federación o de un Estado, 3. los datos personales hubieren de ser mantenidos en secreto en virtud de una norma jurídica o por razón de su esencia, en especial a causa de intereses legítimos preponderantes de una tercera persona, 4. los datos personales hubieren sido tomados de fuentes de acceso general, 5. los datos personales que, en virtud de lo dispuesto en el artículo 27, segundo párrafo, proposición segunda, estuvieren bloqueados porque sobre la base de disposiciones legales, estatutarias o contractuales, no pudieren ser cancelados a tenor de lo dispuesto en el artículo 27, tercer párrafo, proposición primera (art. 26 LFAPD).

_________________________

que comunicar se entiende la acción de dar a conocer a  terceros  datos  almacenados  u obtenidos directamente mediante un proceso de datos, tanto si fueren datos difundidos por el ente almacenante, como si son datos conservados por la entidad para su examen, en especial para su búsqueda automática (art. 4-2). En este sentido, la comunicación de datos personales, con el lleno de los requisitos previstos en la ley,  bien puede hacerse a personas como entidades públicas tanto en los procesos de datos de carácter público (art. 11), como en los procesos de índole privada (art. 32).

 

Cancelar,  es  la acción de hacer irreconocibles datos ya almacenados: cualquiera que fuere el procedimiento empleado a tal efecto. En tanto   modificar, se considera la acción de transformación del contenido de datos ya almacenados (art. 4-3 y 4-4). En el caso de los datos de carácter privado, la modificación de los datos personales será admisible dentro del marco de los fines de una relación contractual o de una relación de confianza análoga a la relación contractual creada, respectivamente con el titular de los datos, o en la medida en que fuere necesaria para salvaguardar intereses legítimos de la entidad almacenante, y no existiere motivo fundado para creer que de ello pudieren resultar perjuicios para los intereses dignos de protección del interesado (art. 25).

 

La Rectificación, bloqueo y cancelación de datos, son tres acciones íntimamente ligadas y subsecuentes por la consideración de sí los datos almacenados, son: a) inexactos o se duda sobre su exactitud. El in dubio pro date, como podríamos llamarlo siempre favorece al titular de los datos.  b) Si han sido almacenados de forma ilícita, c) Si los datos dejado de ser necesarios para los fines para los cuales fueron almacenados; y, d) porque así «lo exige» el titular de los datos («afectado»).

 

Sin embargo, la rectificación de los datos sólo es procedente en el caso de no ser exactos los datos personales (art. 14 y 27 ab initio).

 

Se procederá al bloqueo de datos, cuando su exactitud fuere discutida por el titular de los mismos y no fuere posible determinar su exactitud ni su inexactitud. Igualmente serán bloqueados los datos cuando su conocimiento hubiere dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas a éste encomendadas, a menos que fueren imprescindibles para fines científicos, para fines probatorios, «intereses preponderantes del servicio almacenante o de un tercero», o por consentimiento del titular de los datos. Esto rige para los datos con carácter público como los de carácter privado

 

La cancelación de datos, en los datos de carácter público,  procederá cuando su conocimiento hubiera dejado de ser necesario para que el servicio almacenante pueda cumplir debidamente las tareas comprendidas dentro de su competencia y no existieren motivos fundados para creer que la cancelación pudiera causar perjuicio a intereses dignos de protección del titular. Igualmente serán cancelados los datos si su almacenamiento hubiere sido ilícito o cuando así lo exigiere el interesado. En los datos de carácter privado, además de los anteriores casos, procederá la cancelación cuando así lo exigiere el interesado, en los datos referentes a condiciones de salud, acciones punibles, infracciones de policía, así como a concepciones religiosas o políticas, si su exactitud no pudiere ser probada por la entidad almacenante (art.14 y 27 in fine).

 

El habeas data y el grupo de derechos subsecuentes rigen para los titulares de datos cuando sean almacenados tanto en un «proceso de datos de autoridades y otros servicios públicos» (art.7 y ss LFAPD), o procesos informatizados de carácter público, como en los  «procesos de datos de entes no públicos para uso interno» (art. 22) y los «procesos de datos realizados con finalidad mercantil para entes no públicos», vale decir de carácter privado o que se reputan privados a los efectos de la LFAPD, respectivamente  (v.gr. el caso de las «empresas públicas de derecho público», art.31).

2.2.2.2.            Definiciones aplicables al proceso informatizado de datos

 

La LFAPD, estructura tres procesos de datos, a saber: a) El Proceso de datos de autoridades y servicios públicos (arts.  7 a 21); b) El proceso de datos de «entes» no públicos para uso interno (arts. 22 a 30); y c) El proceso de datos realizado con finalidad mercantil para entes no públicos (arts. 31 a 40). En estos procesos de datos de naturaleza jurídica de derecho público y de derecho privado, respectivamente,  rige por igual etapas o fases, principios, derechos y deberes de los titulares de los datos, a pesar de estar regulados por separado, pues la misma norma reiterada como innecesariamente los reglamenta para cada uno, con específicas diferencias. V.gr. sobre el derecho de «facilitación de información al afectado» (arts. 14, 27 y 34), con cuasi similar contenido para cada uno de los procesos.

 

Interesa a los propósitos de la investigación, desentrañar las etapas ínsitas en dichos procesos, cara a la estructuración del procedimiento informatizado de datos informáticos.

 

En efecto, las etapas o fases inmersas en el  proceso alemán de datos  inmersa en las tres clases de procesos de datos son: a) La etapa de recolección o de «elaboración» de datos; b) La etapa de almacenamiento; c) La etapa de conservación e inscripción en un  registro (público, privado o mixto, según fuere el caso); y d) La transmisión  o  comunicación de datos; y e) Rectificación, bloqueo y cancelación de datos.

 

La LFAPD, al hablar del proceso de datos, en general, estipula que a éste debe someterse los titulares de los datos o interesados, si así está previsto en una ley o norma jurídica en forma expresa o si el interesado así lo consiente en forma escrita, «siempre que no procediere otra forma en razón de especiales circunstancias» (art. 3 LFAPD).

 

Igualmente, interesa aquí  destacar los conceptos estructurales del derecho de habeas data y el de «archivo informatizado» que están íntimamente ligados con el concepto de proceso de datos. En efecto, se considera archivo informatizado, una colección de datos estructurados de manera homogénea, susceptibles de ser obtenidos y ordenados de conformidad con determinadas características y, en su caso, reordenados y explotados de conformidad con otras características determinadas, cualquiera que fuere el procedimiento empleado a tal efecto, sin se consideren comprendidos los expedientes y las colecciones de expedientes, a menos que los mismos pudieren ser reordenados y explotados por procedimientos automáticos (art. 1-3).

 

Ahora, pasemos a ver otros aspectos capitales del procedimiento informatizado de datos alemán que aún hoy, tienen relevancia y discusión doctrinal no pacífica.

 

2.2.2.3.            El Comisario de protección de datos: Un Ombudsman [54] en el sector público y un veedor ciudadano en el sector privado

 

La figura del Comisario de datos personales en el proceso de datos alemán se estructura, cualifica y funciona, según la clase de proceso (público o privado) ante el cual se nombra o se designa por parte de las autoridades públicas federales o las personas privadas competentes, según fuere el caso y ámbito competencial.

 

2.2.2.3.1.         El Comisario Federal de protección de datos en el sector público

 

El nombramiento del Comisario Federal de protección de datos en «los procesos de datos de autoridades y otros servicios públicos», se realiza por el Presidente Federal a propuesta del Gobierno Federal. El nombramiento se extingue por expiración del plazo de mandato y por destitución, previo trámite legal y la entrega de un «instrumento fehaciente» extendido por el Presidente Federal.

______________________

(54)     ORTI VALLEJO, A. Ob. ut supra cit., pág. 13

______________________

 

El designado como Comisario prestará su juramento y cumplirá un plazo de cinco (5) años y su régimen jurídico será el de derecho público. Jerárquicamente depende el Ministerio Federal del Interior, quien podrá entre otras atribuciones, encomendar a un sustituto del Comisario, cuando el titular se viere impedido para ejercer el cargo.

 

El Comisario Federal de Protección de Datos, tiene las siguientes funciones:

 

  1. a) De cumplida ejecución y de asesoramiento sobre leyes de protección de datos. En consecuencia, velará por  la  observancia  y  cumplimiento  de  la LFAPD; así como de otros preceptos sobre protección de datos a los cuales  están obligados las autoridades públicas y otros servicios públicos de la Federación, para corporaciones, instituciones y fundaciones de derecho público, etc. Se exceptúa de esta previsión los Tribunales, en la medida en que estos no conocieren de negocios contencioso-administrativos. A este efecto podrá formular recomendaciones en orden al mejoramiento de la protección de datos, pudiendo en especial asesorar al Gobierno Federal y a los distintos Ministros, así como a las restantes autoridades públicas en todo lo tocante a la protección de datos.

 

  1. b) De Emisión de dictámenes e informes. Si fuere requerido a ello por «la Dieta Federal Alemana» o por el Gobierno Federal, el Comisario Federal deberá emitir dictámenes e informes. Asimismo elevara anualmente a la Dieta Federal Alemana una memoria de sus actividades.

 

  1. c) De solicitud de auxilio a autoridades y servicios públicos. El Comisario podrá solicitar a las autoridades y servicios públicos le faciliten información en relación con las preguntas que éste formulare, así como facilitarán el examen de toda clase de documentos y expedientes que guardaren relación con la elaboración de datos  referidos a  personas, especialmente los datos almacenados y los programas de ordenador. Y, como consecuencia, permitirán  en todo momento el acceso a  todos los locales oficiales.

 

  1. d) De Registro. EI Comisario Federal llevará un registro de los archivos explotados automáticamente, en los cuales se almacenaren datos referidos a personas. Dicho registro se limitará a contener un cuadro general de la naturaleza de los archivos y de los fines para los cuales fueren empleados. El registro podrá ser examinado por toda persona. Las autoridades, servicios y entidades públicas, estarán obligadas a denunciar al Comisario Federal los archivos explotados automáticamente por las mismas. Quedan exentos de esta obligación: La Oficina Federal de Defensa Constitucional, el Servicio Federal de Investigación y el Servicio de Contraespionaje Militar (art. 19).

 

  1. e) De reclamaciones. Si el Comisario Federal de Protección de Datos observare que con ocasión del proceso de datos personales se atenta contra LFAPD, o contra las normas jurídicas de protección de datos, formulará una reclamación ante la autoridad suprema federal competente, si se tratare de la Administración Federal; ante la Dirección del Ferrocarril Federal, si se tratare de este; ante la Dirección o, en su caso, ante el órgano que tuviere atribuida la representación, si se tratare de corporaciones, instituciones o fundaciones de Derecho público directamente dependientes de la Federación, así como si se tratare de agrupaciones de tales corporaciones, instituciones y fundaciones; y la intimara a que se pronuncie dentro de un plazo que el mismo fijara (art. 20).

 

  1. f) De protección de los derechos de los titulares de datos personales. Toda persona podrá acudir al Comisario Federal de Protección de Datos si fuere de la opinión de que en el curso del tratamiento de sus datos personales realizado por las autoridades, servicios y entidades públicas, a excepción de los Tribunales, siempre que estos no conocieren de negocios contencioso‑administrativos, han lesionada los derechos de aquellas (artículo 21).

 

2.2.2.3.2.         El Comisario de protección de datos en el sector privado

 

La LFAPD, si bien distingue los «procesos de datos de entes no públicas para uso interno» y los «procesos de datos realizados con finalidad mercantil para entes no públicos», no procede de idéntica manera, cuando menos, respecto de las funciones generales y especiales que el Comisario de Protección de los datos en el sector privado debe cumplir en uno y otro procesos.

 

En efecto, cuando se trata de procesos de datos de entes no públicos para uso interno, la designación del Comisario de Protección de datos se realizará, según el art. 28 de la LFAPD, por las personas, sociedades y otras agrupaciones de personas de derecho privado que sometan a tratamiento (o elaboraren) automáticamente datos personales y a tal efecto ocuparen con carácter permanente, por regla general, a cinco trabajadores por lo menos, deberán nombrar por escrito, lo más tarde dentro de un mes después de iniciar su actividad, a un Comisario de Protección de Datos. Igual se procederá si se ocupare con carácter permanente a veinte trabajadores.

 

El Comisario de Protección de Datos dependerá directamente del propietario, de la Dirección, del gerente o de otra persona a quien correspondiere la dirección en virtud de disposición legal o estatutaria. En la aplicación de su pericia profesional en materia de protección de datos no estar sujeto a instrucciones superiores. No podrá ser objeto de perjuicios por razón del cumplimiento de sus funciones.

 

El Comisario de Protección de Datos, cuando se trata de «procesos de datos realizados con finalidad mercantil para entes no públicos», se designará por las personas, sociedades y otras agrupaciones de personas de derecho privado, o en su caso, por las empresas de derecho público que concurrieren en el mercado, según el art. 38 de la LFAPD. En cuanto a las funciones generales y especiales, éste Comisario cumplirá, en cuanto fuere procedente, las que se atribuyen al Comisario en el proceso de datos de entes no públicos para usos internos.

 

En tal virtud, El comisario de Protección de Datos, para uno y otro proceso de datos, cumple en su ámbito competencial idénticas  funciones generales a las atribuida al Comisario Federal de Protección de Datos; vale decir, que velará por la observancia, cumplimiento y conocimiento de la LFAPD; así como de otras disposiciones relativas a la protección de datos. A tal efecto podrá acudir en casos de duda a la Autoridad de tutela (autoridades administrativas o jurisdiccionales, según el caso).

 

Como funciones especiales tendrá: ii) De veeduría y vigilancia de datos, fines, destinatarios y equipos. En tal virtud, llevará un estado de la clase de los datos personales almacenados, así como del objeto social y los fines para cuya realización o cumplimiento fuere necesario conocer tales datos, de sus destinatarios regulares y la clase de los equipos de tratamiento automatizado de datos que estuvieren instalados; (ii) De veeduría de medios informáticos. Velará por la regularidad de la aplicación de los programas de ordenador con cuya ayuda debieren ser tratados los datos personales; y, (iii) De veeduría profesional. Prestan asesoramiento en la selección de las personas que se hubieren de ocupar en el tratamiento de datos los personales.

 

2.2.2.3.3.         El sistema punitivo y sancionador en materia de datos previsto en la LFAPDE

 

Siendo la LFAPD, una ley de ámbito federal, su carácter es de ley general, por tanto, se aplicará subsidiariamente en caso de ausencia de ley especial o para llenar vacíos o lagunas legislativas si existieren otras leyes de protección de datos de ámbito federal (art. 45). En materia punitiva se aplicarán preferentemente a la LFAPD, a título de ejemplo las siguientes disposiciones: a) Sobre el derecho a negarse a extender certificaciones o a facilitar información por razones personales o profesionales en procedimientos judiciales (arts. 52 a 55 de la Ordenanza Procesal Penal); b) Sobre la obligación, limitación o prohibición del almacenamiento, difusión o publicación de indicaciones pormenorizadas sobre personas (art. 161 de la Ordenanza Procesal Penal); y, c) Secreto profesional (v.gr. secreto médico. Art. 203 Código Penal).

 

Sin embargo, la LFAPD, se aplicará con carácter general en los casos expresamente previstos como hechos punibles (delitos y contravenciones) contra el tratamiento (informatizado o no) de datos personales.

 

  1. Delitos (art. 41 LFAPD):

 

  1. a) Atentados contra los datos personales que no son de dominio público.

 

Se considera como hecho punible investigable a instancia de parte el que sin la debida autorización: 1. comunicare o modificare, o 2. recuperare o se procurare a partir de archivos encerrados en depósitos adecuados, datos referidos a personas y protegidos por la LFAPD, que no fueren de dominio público, será castigado con pena de privación de libertad de un año como máximo o con pena de multa.

 

  1. b) Tipo Agravado por el lucro o por perjuicio a otro.

 

Si el autor, realizare una cualesquiera de la anteriores conductas y además  obrare por precio o con el propósito de procurarse a si mismo o a otro un lucro o de causar perjuicio a otro, la pena será privativa de libertad de dos años como máximo o de multa.

 

  1. Contravenciones o «Infracciones» de policía (art. 42 Ibídem). Obra con dolo o culpa quien:

 

  1. a) Por falta de información al interesado de almacenamiento de datos que le conciernen. No informar al interesado («afectado»), sobre el almacenamiento de datos personales que le conciernen por primera vez,  a menos que hubiere tenido conocimiento del almacenamiento por otros medios. Igual incumplimiento se dará, si por primera vez fueren comunicados datos acerca de la persona interesada, siendo que debía ser informada de su almacenamiento, a menos que hubiere tenido noticia de éste por otros medios.

 

  1. b) Por falta de designación, teniendo la obligación de hacerlo, de un Comisario de Protección de datos. Por incumplimiento de designar un Comisario de Protección de datos, por parte de las personas, sociedades y agrupaciones de derecho privado que sometan a tratamiento informatizado datos personales y que ocuparen permanentemente trabajadores (cinco o veinte)

 

Igual, sucederá cuando se incumple la obligación de designar Comisario de Protección de datos por  parte de las personas, sociedades y agrupaciones de derecho privado dentro de los procesos de datos realizado con finalidad mercantil para entes no públicos.

 

  1. c) Por falta de adjunción de motivos que justifiquen un interés legítimo para la comunicación de datos. Si el destinatario no justificare los motivos y la existencia de un interés legítimo y los medios que lo acreditaren en forma fidedigna y detallada para que sea admisible la comunicación de datos personales.

 

  1. d) Por falta de cumplimiento del «deber de denuncia». Cuando las personas, sociedades y otras agrupaciones de personas de derecho privado, así como sus filiales y sucursales, teniendo la obligación de formular en tiempo oportuno (un mes) denuncia, no lo hacen. Igual incumplimiento se verificará, si estas personas no facilitaren al formular tal declaración los datos necesarios o no los facilitaren correctamente o de manera incompleta.  Estos datos se refieren a la determinación del propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y sobre personas encargadas de la dirección del tratamiento de datos y sus direcciones (art.39-2 y 3 LFAPD)[55].

 

2.3.      LA EUROPA DE 1980: EL COMIENZO DE UNA DECADA CLAVE EN LA NORMATIZACION Y HOMOLOGACION DE LOS REGIMENES JURIDICOS DE TRTAMIENTO DE DATOS PERSONALES

 

Si bien es cierto Alemania, Suecia, Francia; entre otros Estados europeos, habían afrontado no solo teórica sino prácticamente el complejo mundo del tratamiento informatizado o no de datos de carácter personal, como el movimiento, flujo o circulación de datos entre países, expidiendo leyes sobre la materia; no es menos cierto también, que éstos esfuerzos legislativos resultaban aislados e incomprensibles incluso en el contexto de una Europa unida, pregonada y defendida desde hacía tres décadas antes con la suscripción de Francia y Alemania con la llamada «declaración o Plan Shuman» de 1950, y subsiguientemente la suscripción del «Tratado del Carbón y el Acero» de 1951–CECA–, por los países bajos, Italia, Bélgica, Luxemburgo y la entonces República Federal Alemana (RFA). Mucho más, resultaba incomprensible cuando dichos Estados  habían apostado por una Comunidad de Estados europeos, de origen económico sí, pero luego su radio ampliado a los aspectos sociales, laborales, culturales, políticos, legislativos; y en fin, en un futuro no muy lejano,  alcanzar lo que siempre buscaron: un gran Estado Europeo unido con una sola Constitución, como lo teorizaba el profesor alemán de la Universidad de Münster, Martín Seidel [56].

 

Pese a ello, el profesor Davara [57], sostiene que desde 1967 en Europa existía «conciencia europea sobre protección de la privacidad» (por la traducción literal de la «privacy» anglosajona) y para ello relaciona varias recomendaciones surgidas en el seno del Consejo de Europa, el cual constituyó una comisión consultiva para estudiar las tecnologías de la información y su potencial agresividad a los más elementales derechos de la persona, entre los que estaba la Intimidad. Entre las más destacadas están; (i) La Resolución 509 de 1958, de la Asamblea del Consejo de Europa,

 

________________________

(55)     LFAPD. ART. 39.  Deber de denuncia. Las personas, sociedades y otras agrupaciones de personas que se  mencionan en el artículo 31, así como sus filiales y sucursales, deberán dar cuenta de la iniciación de su actividad ante la autoridad de tutela competente dentro del plazo de un mes. Al Llevar a cabo la denuncia, deberán comunicarse al Registro llevado por la Autoridad de tutela los siguientes datos: 1. nombre o denominación del ente; 2. propietario, directiva, gerente u otro director designado en virtud de disposición legal o estatutaria, y personas encargadas de la dirección del tratamiento de datos; 3. dirección; 4. objeto social o fines del ente y del tratamiento de datos; 5. naturaleza de los equipos utilizados para el tratamiento automatizado de datos; 6. nombre del Comisario de Protección de Datos; 7. naturaleza de los datos personales almacenados por el ente o por encargo suyo; 8. en caso de comunicación regular de datos personales, destinatarios y naturaleza de los datos comunicados. El primer párrafo regirá en cuanto fuere procedente para la terminación de la actividad, así como para la modificación de los datos facilitados en virtud de lo dispuesto en el segundo párrafo.

(56)      Vid., RIASCOS GOMEZ, Libardo O. Los denominados recursos ante los tribunales de Justicia de la UE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, pág. iii y 1.

(57)      DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997, pág. 56-61.

__________________________

sobre «Derechos Humanos y los nuevos logros científicos y técnicos», (ii) Las recomendaciones del Comité de Ministros del Consejo de Europa de 1973 y 1974, sobre la creación de bancos de datos en el sector privado y público, respectivamente, (iii) En Septiembre de 1980, la Recomendación de la OCDE, sobre el flujo internacional de datos, protección a la intimidad y las libertades fundamentales, (iv) Recomendación del 30 de abril de 1980, relativa a la enseñanza, la investigación y la formación en materia de «informática y derecho», (v) La Recomendación del 18 de septiembre de 1980, relativa al intercambio de informaciones jurídicas en materia de protección de datos, (vi) La Recomendación del 23 de enero de 1981, relativa a la reglamentación aplicable a los bancos de datos médicos automatizados, (vii) La Recomendación del 23 de Septiembre de 1983, relativa a la protección de los bancos de datos de carácter personal utilizados con fines de investigación científica y de estadísticas, (viii) La Recomendación de 23 de enero de 1986, relativa a la protección de los datos de carácter personal utilizados con fines de seguridad social».

 

Con base en éstos o por inspiración de aquellos, algunos Estados Europeos expidieron sus propias normas de ámbito nacional, relativas al tratamiento informatizado de datos, con marcadas diferencias tanto en la conceptualización de los términos técnico-jurídicos (datos, fichero, banco de datos, tratamiento «automatizado», etc.), como en lo referente a la enunciación y enumeración de principios, derechos, deberes y excepciones al tratamiento y la protección de los datos, lo cual indicaba que no existía univocidad en los temas referidos, en el grado y categorías de protección que estilaban dispensar a los datos de carácter personal sometidos a tratamiento informatizado en uno y otro país, ni menos el ámbito de los derechos fundamentales que en éste se involucraban si no era únicamente el de la intimidad.

 

Orti Vallejo [58] , estima que esta etapa de legislación estatal de protección de datos, se caracteriza por la preocupación de tutelar la intimidad de la persona, como lo acredita  el  hecho  de  que  se  protejan las informaciones consideradas sensibles, que son aquellas que tienen una más inmediata incidencia sobre la vida privada y sobre el datos produjo dos enclaves actualmente vigentes: por un lado, el matrimonio de las leyes de protección de datos aparentemente únicamente con el derecho a la intimidad, produjo a partir de ésta época una identificación casi plena sustentada en la argumentación de que la informática atentaba directa y plenamente  a la intimidad y no al conjunto de derechos y libertades fundamentales, tal como se revelaría en las diversas normas protectoras de datos personales;  y por otro lado, considerar al derecho de habeas data como una sola emanación del derecho anglosajón del habeas corpus y de  aplicación exclusiva al tratamiento de la información manual o mecanizada, sino también,  a todo procedimiento de tratamiento de datos personales de carácter  informatizada. Esto replanteaba el tradicional de  «derecho de acceso» a la información que tiene toda persona sobre los datos que le conciernen, así como los facultades subsecuentes, de conocimiento, consulta, rectificación, bloqueo y cancelación de información o datos personales que sean erróneos, inexactos o  ilegales.

 

De ésta época, tomaremos como prototipo de análisis y estudio las normas supraestatales o comunitarias de protección de datos personales que tendieron desde aquella  época  hasta los actuales momentos por la normatización y normalización del tratamiento informático de datos personales, la protección integral de los derechos, libertades públicas (o «individuales») e intereses legítimos. En efecto, abordaremos la Recomendación del Consejo de la OCDE, del 23 de Septiembre de 1980, cuyo ámbito se extiende a los Estados de la Comunidad Europea (hoy, UE) y los algunos Estados de Oriente y Occidente. Así mismo, el Convenio de Estrasburgo de 28 de Enero de 1981, el cual creó un espíritu normalizador de todo cuanto existía en Europa sobre tratamiento informatizado de datos personales.

__________________________

(58)     ORTI VALLEJO. A. Ob. ut supra cit., pág. 15

__________________________

 

2.3.1.   La recomendación del Consejo de la OCDE, de Septiembre de 1980

 

La OCDE (Organización de Cooperación y Desarrollo Económico), creada en 1948, como organización de cooperación preferentemente económica entre Estados Europeos que hoy forman la UE (Unión Europea), EE.UU y Canadá (1960), Japón (1964), Finlandia (1969), Australia (1971) y Nueva Zelandia (1973). Sin embargo, las funciones de esta organización internacional de Estados también se dirige desde su nacimiento hasta la actualidad a proyectar, planear, desarrollar, emitir conceptos, sugerencias y recomendaciones sobre diferentes aspectos de la vida que inciden de alguna manera en lo económico, tales como las estrategias, políticas y directrices sobre la protección de derechos fundamentales, libertades públicas e intereses legítimos de las personas naturales, jurídicas, públicas o privadas, según fuere el caso, con miras esencialmente ha facilitar la armonización de las legislaciones nacionales de los diferentes Estados que componen la OCDE.

 

En éste último orden de ideas, la OCDE recomendó a sus Estados Miembros, sin perjuicio de sus legislaciones internas sobre la materia [59], unas directrices sobre la protección de todo derechos fundamentales, como el de la intimidad, las «libertades individuales», y sobre el derecho a la información  que  tiene toda persona  y » conciliar  valores fundamentales aunque susceptibles de entrar en conflicto, tales como la intimidad y el libre flujo de la información» (Preámbulo del Convenio). Esta recomendación previos los proyectos y estudios, por parte de las comisiones y subcomisiones de expertos respectivas se concretó en lo que se conoce como «Recomendación Adoptada por el Consejo de la OCDE  (con base en los arts. 1 (c), 3 (a) y 5 (b) del Convenio relativo a la OCDE, de 14 de diciembre de 1960) del 23 de Septiembre de 1980, «por la que se formulan directrices en relación con el flujo internacional de datos personales y la protección de la intimidad y las libertades fundamentales».

 

El Texto de la Recomendación propuesto al Consejo por el Comité de Política Científica y Tecnológica, fue aceptado por los Estados Miembros de la OCDE, entre los que Estaba España, Alemania Occidental, Austria, Bélgica, Dinamarca, EE.UU., Finlandia, Francia, Grecia, Italia, Japón, Luxemburgo, Noruega, Nueva Zelandia, los Países Bajos, Portugal, Suecia y Suiza; en tanto que, Islandia, Turquía y el Reino Unido  adhirieron a la Recomendación,  el 21 de enero de 1981 y el 27 de Octubre d e  1981,  respectivamente, no sin mantener su abstención por lo que se había sostenido en la sesión de 23 de Septiembre de 1980.

________________________

(59)    El artículo 5 del Convenio de 14 de diciembre de 1969, de la OCDE, expresa: «Con miras a alcanzar sus objetivos, la Organización, podrá: a) adoptar decisiones que, salvo disposición en contrario, vincularan a todos los miembros: b) formular recomendaciones a los miembros; c) concertar acuerdos con sus miembros, con Estados no miembros y con organizaciones internacionales». Por su parte, el articulo 18 del Reglamento de Procedimiento de la OCDE, de julio de 1976, dispone: «a) Las decisiones de la Organización, adoptadas de conformidad en los artículos 5, 6 y 7 del Convenio, podrán ser: (i) decisiones obligatorias para sus miembros, y que estos ejecutarán previo cumplimiento de los procedimientos que requieren sus constituciones; (ii) decisiones por las que fueren aprobados acuerdos concertados con sus miembros, con Estados no miembros y con organizaciones internacionales; (iii) decisiones de orden interno relativas al funcionamiento de la Organización, que se denominaran resoluciones; (iv) decisiones por las que se hicieren comunicaciones a Estados no miembros o a organizaciones. b) Las Recomendaciones de la Organización, formuladas de conformidad con lo dispuesto en los artículos 5, 6 y 7 del Convenio, serán sometidas a la consideración de los miembros para que estos procedan a su ejecución si lo estimaren oportuno,  c) los textos de las Decisiones o de las Recomendaciones a que se alude en los apartados a), (i) y b) que anteceden, deberán incluir una referencia al artículo 4- a) o al artículo 5-b), respectivamente». Citado por RIVERA LLANO, A. Ob.cit., p.178.

______________________

 

La Recomendación de la OCDE, constituye un documento de capital importancia para aquella época e incluso con plenas y claras incidencias en la actualidad, tanto en las legislaciones internacionales como en las comunitarias europeas  [60]. El documento preparado por un grupo heterogéneo de expertos de diferentes Estados de Occidente y Oriente del mundo, es un fiel, serio, oportuno y claro diagnóstico y recetario de los innumerables hechos, sucesos, problemas, conflictos y proposición de sugerencias y soluciones a los mismos, sobre todo lo atinente al flujo internacional de datos entre países miembros de la OCDE y la protección de los derechos fundamentales como el de la intimidad (aunque no en todo su contexto, pues sólo se destaca la visión iusinformática de la intimidad), como hace énfasis el preámbulo, el texto y contexto y  las Memorias Explicativas (en adelante M.E.) de la Recomendación; además del conjunto de las llamadas libertades individuales (surgidas en la historia del constitucionalismo del liberalismo anglo-francés, y que hoy se consideran como un ámbito importante de los derechos fundamentales) [61],  dentro de las cuales se encuentra el hoy llamado «derecho de habeas data», el derecho a la información y  los  derecho de impugnación y recurso que tiene toda persona contra decisiones administrativas o judiciales.

 

La Recomendación de la OCDE, en el anexo correspondiente  a las «directrices sobre protección de la intimidad y de los flujos de datos de carácter personal a  través de las fronteras», estructura las cinco partes en las que se compone. Estas están referidas a las generalidades, Los principios fundamentales a aplicar en el ámbito interno, los principios fundamentales aplicables en el ámbito internacional: libre circulación y restricciones legítimas, la aplicación de los principios en el ámbito interno; y, la cooperación internacional.

 

________________________________

(60)     El profesor destaca esa importancia de la Recomendación de la OCDE, pero más dirigida a la vocación legislativa de los Estados Miembros que con vocación europeísta, y más aún, internacionalista, tal y como fue su origen y presentación. DAVARA RODRIGUEZ, Miguel. Manual de Derecho Informático. Ob.cit., pág. 57.

(61)         La importancia mundial que han adquirido los derechos fundamentales en el ámbito del derecho constitucional español a tenido relevancia muchísimo antes del reconocimiento constitucional en 1978, tal y como lo sostiene SEMPERE, al referirse a la «Tutela constitucional de los derechos fundamentales de la personalidad», y en especial al derecho a  la intimidad  prevista en el art. 18 CE, que en el momento de la entrada en vigor del texto constitucional ya existía un cuerpo consolidado de doctrina y jurisprudencia con el reconocimiento y tutela de los derechos del honor, la intimidad, la imagen; entre otros. En igual forma, se suma a ello, que con carácter preconstitucional la protección de los derechos fundamentales, tanto en el ámbito penal (doctrina del T.C., sobre los delitos de injurias y animus iniuriandi y una nueva regulación del C.P.) como en el ámbito de la tutela civil (L.O.1/1982, de 5 de Mayo), así como en relación con la compatibilidad de uno u otro tipo de tutela y la posibilidad de elección, entre ellos, por el interesado. Tal reconocimiento determina, al menos, cuatro consecuencias a destacar: 1. El reconocimiento de los derechos privados de la personalidad mencionados en el artículo 18 como derechos fundamentales. El mismo conlleva una doble consecuencia. Por un lado, afirmar que ya no tiene mucho sentido hablar de estos derechos como derechos subjetivos de naturaleza privada, sino como derechos fundamentales de la personalidad, tal como lo sostiene DIEZ PICAZO. Por otro lado, en el ejercicio y limitaciones de estos derechos debe aplicarse la doctrina del T.C., sobre los derechos fundamentales. 2. Exigencia de garantía frente al legislador ordinario. Se concretaría en el respeto por parte de las leyes que regulen el ejercicio de estos derechos, de un contenido mínimo esencial (art. 53.1 CE). Concepto éste jurídicamente indeterminado cuyo control corresponde, en último término, al TC (art.12), a través del recurso de inconstitucionalidad, recurso con el que se garantiza la primacía de la C.E. –arts. 161.1. a) CE y 27 y 55.2 de la L.O.T.C. 3. Cualificación de la intervención del legislador: reserva de la ley orgánica. Implica que la ley que desarrolle el ejercicio de estos derechos, tanto en su aprobación como modificación, se ajuste a un procedimiento y quórum especiales (art. 168 CE), dado que se trata de leyes orgánicas (art. 81 y 82 CE). 4 . Habilitación de tutela especial ante el Tribunal Constitucional: Recurso de amparo…. SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen. Ob.ut supra cit. p. 390 y ss.

_____________________________

A nuestros efectos destacaremos, los siguientes temas: a) las definiciones en el tratamiento informatizado de los datos personales y, b) los principios y excepciones fundamentales del tratamiento informatizado de los datos, tanto en el  ámbito nacional como en el  ámbito internacional, y dentro de éste especialmente, el principio denominado de la libre circulación de datos personales y las restricciones legítimas.

 

2.3.2.   Definiciones básicas en el tratamiento informatizado de los datos personales

 

Siguiendo el criterio –generalizado en la década de los ochenta– la Recomendación de la OCDE, prevé una serie de definiciones ius-informáticas, tales como, Responsable del fichero, datos de carácter personal y flujos internacionales de datos de carácter personal. Se abstiene de definir lo que debe entenderse como «tratamiento automático de datos», pese a que en el preámbulo y en el apartado tercero referido a los «grados de sensibilidad de los datos», se menciona expresamente. Las razones, entre muchas otras,  son: limitar al máximo las definiciones; y en el caso específico,  porque resulta difícil hacer una distinción clara entre tratamiento «automático y no automático de la información» [62] y porque las directrices no están dirigidas exclusivamente al tratamiento de datos de carácter personal con «ordenadores» (o «automático»),  aunque curiosamente esto fue la punta del iceberg que convocó la reunión, estudio y planteamiento de las recomendaciones ahora comentadas [63].

 

La persona física a la que se refiere la definición tiene que gozar de una habilitación legal para decidir, sobre el contenido y utilización de los datos, independientemente de si los datos han sido o no obtenidos, registrados, tratados o difundidos por dicha persona o por una persona que obra en su nombre. El responsable del fichero puede ser una persona física o jurídica, una autoridad u organismo público.

 

La definición excluye, por tanto a: a) las autoridades competentes para conocer autorizaciones o licencias y los organismos que autorizan el tratamiento de la información pero son competentes para decidir sobre qué actividades deben llevarse a cabo y para que fines; b) las empresas de

 

_____________________________________________

(62)       Cfr. MEMORIA EXPLICATIVA (M.E) Punto 34. «Tratamiento automático y no automático de datos». Las actividades que la OCDE había venido dedicando a la protección de la intimidad y a otros ámbitos conexos estaban centradas en el tratamiento automático de la información y en las redes de ordenadores. El grupo de expertos considero con especial atención la cuestión de si el alcance de estas directrices debía o no quedar limitado al tratamiento automático e informatizado de los datos de carácter personal. Este enfoque puede justificarse por razones diversas, tales como los especiales peligros que llevan consigo para las libertades individuales la automatización y los banco de datos informatizados, el creciente predominio de los métodos de tratamiento automático de la información, en especial en el contexto de los flujos internacionales de datos, así como el marco especifico de la política de la información, de la informática y las comunicaciones, dentro del cual hubo de cumplir su mandato el grupo de expertos. AA.VV. Documentación Informática. Serie Amarilla. Tratados Internacionales núm. 2.

(63)      M.E. Punto 35. «Así, por ejemplo, existen sistemas mixtos de tratamiento de la información y hay también ciertas etapas del tratamiento de la información que pueden o no ser susceptibles de automatización. Estas dificultades pueden agravarse aun mas como consecuencia de los continuos progresos técnicos, tales como la aparición de métodos semiautomáticos perfeccionados basados en la utilización de microfilmes o de microordenadores, que podrán ser empleados cada vez más para fines meramente privados, a la vez inofensivos e incontrolables. A mayor abundamiento, si las directrices se centraran únicamente en los ordenadores podrían dar lugar a incoherencias y lagunas, del mismo modo que podrían crear para los responsables de ficheros posibilidades de obviar las normas de aplicación de la directrices con sólo utilizar medios no automáticos para fines que podrían ser nocivos». Ibídem Ob. ut supra cit.

________________________________________

servicios informáticos que realizan actividades  de tratamiento de la información por cuenta de terceros; c) las autoridades competentes en materia de telecomunicaciones y los organismos análogos; d) los usuarios dependientes, que si bien pueden acceder a los datos, no están sin embargo autorizados para decidir sobre qué  datos deberían ser registrados o cuales utilizados (M.E. núm.40).

 

Los Datos de carácter personal, o simplemente datos personales, se considera cualquier información relativa a una persona física identificada o identificable –o también interesado– (R.1-b).  Las directivas se aplicarán tanto a los datos personales en el sector público como en el sector privado, siempre que acarrearen un peligro para la intimidad y las libertades individuales, a causa de la manera en que fueren elaborados o por razón de su naturaleza o del contexto en que fueren usados (R.2). En esta aplicación deberá observarse: a) las  medidas de protección a las diversas clases de datos tanto en la obtención, almacenamiento, elaboración o difusión. b) que no se excluyen ni siquiera datos de carácter personal que de manera manifiesta no ofrecieren riesgo alguno para la intimidad y las libertades individuales [64], y c) que no se limitará la aplicación de las directrices a la «elaboración automática» de datos personales (R.3).

Los flujos internacionales de datos de carácter personal, se consideran a   los movimientos de datos de carácter personal a través de las fronteras nacionales (R.1-c). Aunque hace referencia a los flujos internacionales, las directrices no tienen en cuenta problemas hacia el interior de los Estados Federales. Los movimientos de datos tendrán lugar a menudo mediante la transmisión electrónica, pero también  pueden  servirse de otros medios de transmisión, así como por vía satélite (M.E. núm. 42).

 

2.3.3.               Principios y excepciones fundamentales del tratamiento informatizado o no de los datos personales

 

Las partes  segunda, tercera y cuarta de la Recomendación de la OCDE, se destinan a  hacer referencia a los principios fundamentales a aplicar en el ámbito interno, los principios fundamentales a aplicar en el ámbito internacional: libre circulación de los datos y restricciones legítimas y aplicación de los principios en el ámbito interno, que no es más que un aparte reiterativo de las gestiones administrativas, jurídicas, legislativas «y de otra índole» que los Estados Miembros de la OCDE deben adelantar para implementar los medios y mecanismos idóneos para aplicar los principios en sus ámbitos legislativos internos y hacer efectivas las medidas de protección del derecho a la intimidad y las libertades individuales[65].

 

Los principios fundamentales aplicables al tratamiento informatizado o no de los datos personales en el ámbito nacional, según la directiva son: a) limitación de la colecta de los datos, b) calidad de los datos, c) especificación del fin, d) restricción del uso, e) garantía de la seguridad, f) transparencia, g) participación del individuo y h) responsabilidad.

_________________________________

(64)      M.E. Punto 1 a 3. Los problemas prioritario que detectaron las comisiones y subcomisiones de expertos se refieren principalmente al derecho a la intimidad; la informática, la tecnología (de ordenadores, redes de  comunicación), las telecomunicaciones, el derecho a la información y el de «habeas data», aunque en el texto de la Recomendación y las M.E., se hace mención genérica al derecho de acceso a la información, a conocer, actualizar, cancelar o modificar los datos de carácter personal por el titular o interesado; el «tratamiento automático de la información. En particular se refieren a la intimidad en un concepto más amplio que el tradicional derecho de  «sólo dejar a sola» — el «The Right to Privacy» anglosajón–, y algo que se convertirá en la cantinela de proposición de toda la Recomendación, al decir:  «con la expresión intimidad y libertades individuales constituye el aspecto más controvertido» de todos cuantos se tratan en la Recomendación de la OCDE de 1980.

(65)         P.IV: «APLICACION DE LOS PRINCIPIOS EN EL AMBITO INTERNO. 19. Los países miembros al  aplicar en su ámbito interno los principios (parte II y III) deberán crear mecanismos jurídicos, administrativos y de otra índole, o instituciones, tendentes a proteger la intimidad y las libertades individuales con respecto a los datos de carácter personal. En especial, los países miembros deberán: a) promulgar una legislación interna idónea, b) fomentar y apoyar las reglamentaciones autónomas, bien en forma de códigos de deontología, bien en otra forma, c) poner a disposición de las personas físicas medios idóneos para ejercer sus derechos, d) instaurar sanciones y recursos para los supuestos de inobservancia de medidas de aplicación de los principios que se detallan en las partes II y III. e) Velar porque no exista discriminación desleal alguna contra los interesados».

_____________________________

En el plano internacional, los principios básicos aplicables al tratamiento (informatizado o no)  de los datos personales, constituyen un complejo grupo de principios y límites  que estructuran a su vez, el principio fundamental denominado: libre circulación de datos personales dentro de un flujo o movimiento internacional de los mismos.

 

2.3.4.   Principios del tratamiento de datos en el ámbito nacional

 

Aunque se hace una distinción de los principios tanto en el ámbito nacional y el ámbito internacional, y dentro del primero en cada una de las fases del tratamiento de los datos personales (recolección, almacenamiento, registro, difusión y flujo), lo cierto es que dichos «principios son interdependientes y en parte se entrecruzan y traslapan. Por ello, las distinciones que con relación a los principios se hacen entre las actividades y las fases del tratamiento de datos son artificiales y no deben impedir que los principios sean tratados conjuntamente y estudiados como un todo» (M.E.50).  Esto se evidenció además, al analizar que los diferentes Estados Miembros de la OCDE, en sus diferentes iniciativas legislativas internas para la protección de la intimidad  y  las libertades individuales tienen muchos rasgos comunes, así como intereses, valores básicos y principios fundamentales[66] que guían y orientan las fases o ciclos del tratamiento de los datos personales.

 

Analicemos brevemente los mencionados principios:

 

  1. El Principio de limitación de la colecta de datos, hace referencia a aquellos datos personales que, debiendo ser obtenidos por medios legítimos y leales, y en el caso en que fuere procedente, con el conocimiento o el consentimiento del interesado, dichas actividades deberán ser limitadas (R.7).

 

Este principio hace referencia a dos aspectos: a)  los límites que han de fijarse a la colecta de aquellos datos que debieren ser considerados  como  especialmente datos sensibles[67] a causa de la manera en que hubieren de ser tratados, su naturaleza, el contexto en el cual hubieren de ser utilizados, y b) las condiciones que deben cumplir los métodos de colecta de datos.

 

____________________________

(66)        Esos rasgos comunes se sintetizan así: a) «poner límites a la colecta de datos personales, de conformidad con los objetivos del que hace acopio de tales datos y con otros criterios», b) «restringir el uso de los datos,  de tal forma que se acomode a unos fines claramente expuestos; c) adoptar los medios necesarios para que el individuo conozca la existencia y el contenido de los datos y pueda requerir la corrección de los datos, y d) determinar las personas responsables del cumplimiento de las disposiciones y resoluciones de protección de la intimidad y de las libertades individuales que fueren aplicables.  «En términos generales, las leyes de protección de la intimidad y de las libertades individuales con relación a los datos de carácter personal tienden a cubrir las sucesivas etapas del ciclo que comienza con la colecta inicial de los datos y termina con la cancelación u otras medidas semejantes, y a garantizar  en  lo  posible el  conocimiento,  participación y control del individuo con respecto a dicho ciclo». M.E. núm. 5.

(67)        Dado que por aquel entonces y hasta ahora, determinar el Agrado de sensibilidad de los datos» resulta un labor titánica, aún cuando se acude a circunstancias específicas de potencialidad del riesgo, se consideró por los expertos de la Recomendación de la OCDE, hacer mención genérica de los «datos sensibles» para que sean los Estados Miembros quienes determinen cuáles se pueden considerar como tales. Se hacía mención por ejemplo, que mientras en unos países los «identificadores personales universales» (tarjeta de identidad o cédula de ciudadanía, número de identificación profesional, de seguros, etc.), se consideran inocuos y útiles; en otros, se consideran algo delicado. Así mismo, se puso en evidencia, la disparidad de las legislaciones sobre qué datos se consideran o no sensibles. En efecto, en «las legislaciones europeas existen precedentes al respecto –es decir, considerar datos sensibles a los datos referidos a la– (raza, creencias, religiosas, registros de condenas, p.e.). Pero también se puede argüir que ningún dato es intrínsecamente privado o sensible, sino que puede llegar a serlo según su contexto y el uso que del mismo se haga. Esta opinión se refleja en la legislación de los Estados Unidos de protección de la intimidad, por ejemplo.( M. E. 50).

__________________________

 

 

En cuanto al primer aspecto, hay que resaltar lo siguiente: Se deberá poner fin a la colecta indiscriminada de datos personales, y más aún cuando se trata de universalizar la consideración  de  qué  datos  se  consideran  sensibles.  Para esto,  la  Recomendación suministra una serie de pautas que sirvan para determinar la índole de tales límites. Estas son: a)  los  aspectos  cualitativos  de  los  datos  (es  decir, que  deberá ser posible extraer de los datos obtenidos una  información de una calidad suficientemente buena, y que los datos deberán ser obtenidos dentro de un marco informativo apropiado);  b) la finalidad del tratamiento de la información (es decir, que sólo deberán ser obtenidos determinados datos y, a ser posible la colecta de datos se limitará al mínimo necesario para lograr la finalidad prevista): (i) Identificación mediante «marcas» de aquellos datos que según las tradiciones y actitudes propias de cada país miembro fueren  especialmente sensibles; (ii)  actividades de colecta de datos de determinados responsables de datos; (iii) preocupaciones relativas a los derechos humanos (M.E. núm. 51).

 

En cuanto al segundo aspecto, es decir las condiciones de los métodos de colecta de datos, se advierte contra ciertas prácticas que implican, por ejemplo, el uso de dispositivos ocultos de registro de datos, tales como magnetófonos u otros que inducen a error a los interesados, moviéndoles a facilitar información. La necesidad de poner los datos en conocimiento del interesado (que puede estar representado por un tercero, como en el caso de los menores de edad o personas «deficientes mentales», etc.) o de obtener su consentimiento para registrarlos, constituye una norma básica, y el conocimiento, la exigencia mínima. Sin embargo, por razones prácticas, no es posible siempre exigir el consentimiento. p.e.  las investigaciones criminales y la actualización periódica de las listas de distribución de correspondencia (M.E. núm. 52).

 

  1. El Principio de calidad de los datos. Los datos personales deben ser pertinentes con respecto a los fines para los que fueron usados, y, en la medida en que fueren necesarios para tales fines, deberán ser exactos y completos, debiendo asimismo ser actualizados constantemente (R.8) .

 

La calidad de los datos hace relación a dos aspectos claramente definidos para toda información, más cuando ésta es de carácter personal. En efecto; uno, es el cumplimiento en todo el tratamiento (informatizado o no) de datos  desde la recolección misma hasta la fase de difusión, recuperación o transmisión acerca de la finalidad con que han sido tratados los datos y su correspondiente utilización posterior; y otro, como verificación de lo anterior, el de que los datos tratados deberán ser exactos, completos y constantemente actualizados. Estos aspectos están interrelacionados, puesto que no se puede exceder en la utilización de los datos la finalidad para las cuales fueron tratados (informatizada o no) en su momento. v.gr. En los datos relativos a opiniones pueden fácilmente inducir a error si se utilizan para fines con los cuales no guardan  relación alguna. Lo mismo puede decirse con respecto a los datos valorativos.

 

Sin embargo, se evidencia que en alguna clase de datos personales el criterio de la finalidad, lleva consigo el problema de si se puede o no causarse perjuicio a los interesados por falta de exactitud, de completud y de actualidad. Tal sería, el caso de las investigaciones de las ciencias sociales que llevan aparejados los llamados estudios «longitudinales» de la evolución de la sociedad, de investigaciones históricas y de actividades de archivo (M.E.núm. 53).

 

  1. El Principio de especificación del fin. Los fines para los cuales se obtuvieren datos personales deberán ser precisados en el momento de la colecta de datos, debiendo su subsiguientemente uso limitarse al cumplimiento de tales fines o de aquellos otros que, sin ser incompatibles con los mismos, fueren especificados cada vez que fueren modificados (R.9).

 

Este principio reitera, complementa y concreta el anterior principio, poniendo énfasis en la relación utilización y finalidades previstas para el tratamiento (informatizado o no) de datos, los cuales deben precisarse desde el momento mismo de la recolección.

 

Los fines pueden ser definidos de maneras diversas y complementarias, principalmente por medio de declaraciones públicas, o bien informando a los interesados, por medio de la legislación, resoluciones administrativas y autorizaciones otorgadas por los organismos de tutela.

 

Así, cuando los datos hubieren dejado de estar subordinados a un fin y, siempre que fuere posible, podrá ser necesario hacerlos destruir (borrar) o darles forma anónima. Esto por cuanto, los datos dejan de tener interés, sucede que se pierde el control sobre ellos y pueden surgir nuevos riesgos, tales como, «el hurto, reproducción no autorizada o de otras acciones ilícitas» (M.E. núm. 54 in fine).

 

  1. El Principio de restricción del uso. Los datos personales deberán ser revelados, facilitados o, en general, usados para fines que no fueren los que se especificaren de conformidad con el anterior principio, excepto en los siguientes supuestos: a) previo el consentimiento del interesado, b) previa habilitación legal al efecto (R.10).

 

Este principio que limita el uso de los datos en ciertos y precisos casos, no es más que un principio bisagra de los principios relativos a  la calidad y la determinación del fin, y como tal, juega un papel de inmovilizador de las facultades discrecionales  que tuvieran las autoridades competentes, responsables de un fichero o incluso usuarios de los datos personales tanto en la revelación o divulgación como en el mera uso de los mismos. Por ello, se limita la divulgación o el uso de los datos que impliquen desviaciones con respecto a las finalidades previamente determinadas.

 

La regla general, por la cual todo tratamiento de datos debe tener previamente determinadas sus  finalidades desde el momento mismo de la recolección, precisa dos excepciones, a saber: una, por el consentimiento del interesado (o de su representante, en el caso de menores, etc.); y otra, por disposición normativa. Estas excepciones son numerus clausus, y por tanto, no cabe excepciones interpretativas según este principio.

 

En tal virtud, podría destinarse datos personales a fines de investigación, estadísticos y de planificación social, que inicialmente se han obtenido con miras a tomar decisiones de tipo administrativo, sin que medie para ello, el consentimiento o así lo determine una norma jurídica.

 

  1. El Principio de garantía de la seguridad. Deberán preverse medidas adecuadas de seguridad para proteger datos personales contra riesgos tales como la pérdida o el acceso, destrucción, uso, modificación o divulgación de los mismos sin la oportuna autorización (R.11).

 

Este principio constituye el epicentro de las medidas de protección del derecho a  la intimidad y de las libertades individuales, cuando se ha sometido a tratamiento (informatizado o no) datos personales por quienes están involucrados en dicho tratamiento. Para concretar las denominadas «garantías adecuadas», contra los riesgos tales como, la  pérdida de datos ( que incluye el borrado a causa de accidente, la destrucción de soportes de información  y el «hurto» de tales soportes ), el acceso no autorizado para destruir, modificar o divulgar datos, o más aún, el uso indebido o no autorizado  de los mismos (que incluye la reproducción no autorizada de datos), deberán las autoridades competentes implementar medidas idóneas proporcionales a los riesgos que los titulares de los datos pueden sufrir.

 

El grupo de expertos de la Recomendación de la OCDE, a título de ejemplo, propuso una serie de «garantías adecuadas», tales como, las de índole material (cerrojos en puertas y tarjetas de identificación, por ejemplo), medidas de organización (niveles jerárquicos en relación con el acceso a los datos, así como la obligación que tiene el personal responsable del tratamiento de la información de respectar el carácter confidencial de los datos), y sobre todo en los sistemas informáticos, medidas relacionadas con la información (encriptación, control de actividades inusitadas capaces de constituir un peligro y medidas tendentes a hacerles frente). (M.E. núm. 56).

 

  1. El Principio de transparencia. Deberá adoptarse una norma general de transparencia en cuanto a las innovaciones, prácticas y criterios existentes con respecto a los datos personales. Deberá ser posible disponer fácilmente de medios que permitan determinar la existencia y naturaleza de los datos personales, el fin principal de su uso y la identidad del responsable de los datos y la sede habitual de sus actividades (R.12).

 

Como lo expone el grupo de expertos de la OCDE, el principio de transparencia puede ser considerado como condición previa del principio de participación individual. Como tal se considera una condición sine qua nom, para que pueda darse cabal y recto cumplimiento a uno de los principales principios con relación al tratamiento de datos, cual es el de la participación individual.

 

  1. El Principio de participación del individuo. Toda persona física gozará de los siguientes derechos: 1) obtener del responsable del fichero o de otra instancia la confirmación de si el responsable de datos tiene datos acerca de su persona. 2) Requerir que se le comuniquen los datos que hicieren referencia a la misma, y ello: i) dentro de un plazo prudencial, ii) previo abono, en su caso, de una tasa que no fuere excesiva, iii) de manera razonable, iv) de manera directamente inteligible. 3) ser informado de la motivación de la resolución denegatoria de la petición formulada al amparo de los apartados a, y b, y poder recurrir contra la denegación. 4) impugnar datos que hicieren referencia a la misma y, en el supuesto de que la impugnación fuere fundada, requerir que los datos fueran cancelados, rectificados, completados o modificados (R.13).

 

Este principio fundamental está estructurado por una serie de derechos y deberes que tienen y deben cumplir los sujetos interactuantes en el tratamiento o procedimiento (informatizado o no) de la información o datos. En efecto, se establecen los derechos que goza toda persona física en el transcurso del tratamiento de datos desde la recolección misma, así como las obligaciones que tienen que cumplir los responsables del fichero o autoridades competentes para proteger, respetar y hacer respetar esos derechos. Todo ello, dirigido a garantizar la protección de la intimidad y las libertades individuales.

 

Cuando en el principio se hace mención a los  derechos que tiene toda persona para acceder, conocer, impugnar, y en su caso solicitar, la cancelación, rectificación, complementación o modificación y actualización de los datos personales que le conciernen, simple y llanamente estamos haciendo referencia al derecho denominado de Ahabeas data@, por el cual la persona puede tener control de sus propios datos. Obviamente este derecho, como todo derecho fundamental, no es absoluto y está sometido a limitaciones previstas en las propias normas jurídicas.

 

Por ello, los expertos de la OCDE, concretaron lo siguiente:

 

  1. a) El derecho de acceso deberá ser, en general, fácil de ejercitar. Esto puede significar, entre otras cosas, que debería formar parte del conjunto de las actividades cotidianas del responsable del fichero o del que hiciere sus veces y no requerir proceso judicial o medida análoga alguna. En algunos casos podría quizá ser conveniente prever un acceso intermedio a los datos; así, por ejemplo, en la esfera médica el médico podrá servir de intermediario.

 

  1. b) La condición de que los datos sean comunicados dentro de un plazo razonable puede ser cumplida de modos diversos. Así, el responsable de un fichero que facilite información a los interesados a intervalos regulares puede ser dispensado de la obligación de responder inmediatamente a las peticiones formuladas individualmente. Normalmente, el plazo deberá ser computado desde la recepción de una petición. Su duración podrá variar en cierta amplitud de una situación a otra en función de circunstancias tales como la índole del tratamiento de la información.

 

  1. c) La comunicación de tales datos de manera razonable significa, entre otras cosas, que debe presentarse la debida atención a los problemas de la distancia geográfica, cuando menos.

 

  1. d) El derecho a ser informado de las razones, en los términos previstos en el apartado 3, es limitado en cuanto que se constriñe a situaciones en las cuales hubieren sido desestimadas peticiones de información.

 

  1. e) El derecho a impugnar, contemplados en los apartados 3 y 4, tiene una gran amplitud, y comprende las reclamaciones formuladas en primera instancia ante los  responsables de  los datos y asimismo los subsiguientes recursos presentados ante tribunales, organismos administrativos, órganos profesionales u otras instituciones, siguiendo los cauces previstos en los reglamentos internos de procedimiento. El derecho a impugnar no implica que el interesado pueda decidir cuáles sean los recursos o reparaciones disponibles (rectificación, incluso de una anotación que precise que los datos son objeto de litigio, etc.); tales cuestiones serán resueltas aplicando el Derecho interno y los cauces procesales internos (M.E. núm. 58 a 61).

 

  1. El Principio de responsabilidad. El responsable del fichero deberá responder de la observancia de las medidas tendentes a dar cumplimiento a los principios que anteceden (R.14).

 

Este principio dirigido al responsable de los ficheros constituye el principal principio-deber de éste y principio-derecho de los titulares de los datos personales para demandar su efectividad. Este responsable no  será dispensado de tales obligaciones ni siquiera cuando  el tratamiento de datos es «llevado a cabo por su cuenta por un tercero, como una oficina de servicios, por ejemplo. Más aún, es probable deducir responsabilidad»  al personal de las oficinas de servicios, a los usuarios dependientes y a otras personas. Por ello, las sanciones impuestas por incumplir la obligación de confidencialidad podrán afectar a todas las personas, físicas o jurídicas, encargadas del tratamiento de los datos de carácter personal  (M.E.núm.62).

 

 

2.3.5.   Principios del tratamiento de datos en el ámbito internacional: Libre circulación y restricciones legítimas

 

Este grupo de principios que se concreta en el Principio fundamental de la Libre circulación de los datos, está previsto en la parte III, apartados 15 a 18 de la Recomendación de la OCDE. Decimos grupo de principios porque la Recomendación no deslinda uno a uno, como sí lo hace en el ámbito nacional, los principios aplicables al ámbito internacional. En los apartados mencionados se dan pautas que unidas concretan el principio fundamental que se quiere resaltar, el de la libre circulación de los datos. Sin embargo, no debemos olvidar que siendo la transferencia, flujo o movimiento de datos uno de los ciclos posibles del tratamiento de  datos personales, es lógico pensar que a esta clase de información transmitida en el ámbito internacional se tengan que aplicar los principios generales para todo el tratamiento de la información, es decir, los que hemos comentado en el apartado anterior, para el nivel nacional. Esta tesis se ve reforzada en el texto de la Recomendación misma, pues «los países miembros deberán tender a la formulación de unos principios en el plano interno e internacional que rijan el derecho aplicable en los supuestos de flujos internacionales de datos personales» (R.22), debiendo tener en cuenta estos países «las implicaciones que para otros países miembros tuvieran el tratamiento interno de datos personales y su reexportación» (R.15).

 

Para conseguir la incardinación de dichos principios e implementar las medidas de seguridad necesarias a nivel internacional, «los países miembros deberán adoptar las medidas razonables oportunas para que los flujos internacionales de datos personales, incluso el tránsito por un país miembro, sean ininterrumpidos y seguros» (R.16); es decir, que deben estar protegidos contra los accesos desautorizados, la pérdida, destrucción,  modificación o cancelación de datos. Esta protección debe extenderse a todos los datos personales, incluso a los «datos en tránsito«, o sea, aquellos que transitan de un país a otro  sin  ser  utilizados o almacenados en éste con finalidades de posterior uso o consulta [68].

 

Todo ello, por cuanto a nivel interno, los Estados miembros de la OCDE, presentaban diferentes problemas que no podía resolver aisladamente y surgidos por la adopción de medidas que amparan a la persona con respecto al flujo o movimiento de datos personales a través de sus fronteras [69]. Además porque, este flujo había crecido, a la par con la creación de bancos internacionales de datos (entendiendo como tales, los conjuntos de datos almacenados para poder ser recuperados y para otros fines). Esto no sólo justificaba la necesidad de cooperación internacional entre los Estados para resolver estos problemas, para velar porque los procedimientos aplicables al flujo internacional de datos personales y  la protección de la intimidad y de las libertades individuales sean seguros y compatibles con los de otros países miembros,  sino que consecuentemente fundamentaba el   libre flujo de la información, así como el grupo de principios que éste conlleva, pues hasta ahora la libre circulación de datos «con frecuencia debe ser mitigado en aras de la protección de datos y de las oportunas limitaciones con respecto a su colecta, tratamiento y difusión» (M.E.7).

______________________

(68)       «EI compromiso general que se contempla en el apartado 16 deberá ser considerado, por lo que respecta a las redes de ordenadores, dentro del contexto del Convenio Internacional de Telecomunicaciones de Málaga‑Torremolinos (25 de Octubre de 1973). En virtud de este convenio, los miembros de la Unión internacional de Telecomunicaciones (UIT), entre ellos los países miembros de la OCDE, acordaron entre otras cosas, adoptar las medidas oportunas para crear los canales e instalaciones necesarios con el fin de asegurar un intercambio rápido e ininterrumpido de las telecomunicaciones internacionales. A mayor abundamiento, los países miembros de la UIT acordaron adoptar todas la medidas posibles y compatibles con el sistema de telecomunicación empleado, con objeto de garantizar el secreto de la correspondencia internacional. En cuanto a las excepciones, los miembros se reservaron el derecho de suspender el servicio de las telecomunicaciones internacionales, así como el derecho de comunicar la correspondencia internacional a las autoridades competentes, con el objeto de garantizar la aplicación de su legislación interior o la ejecución de los convenios internacionales en los cuales fueren parte los países miembros de la UIT. Estas normas se aplicarán tan pronto como los datos fueren transmitidos por medio de las lineas de telecomunicación. Dentro de su contexto propio, las directrices constituyen un medio suplementario de garantizar que los flujos internacionales de datos de carácter personal tengan lugar sin interrupción y con plena seguridad» (M.E. núm. 66).

(69)        «Otras razones para completar la reglamentación del tratamiento de datos personales a nivel internacional, son: a) los principios en juego hacen referencia a ciertos valores que varios países ansían preservar y ver respetados; b) pueden contribuir a ahorrar gastos en la circulación internacional de datos; c) los países tienen un interés común en evitar la creación de enclaves en los cuales fuera fácil hurtarse al cumplimiento de las reglamentaciones nacionales internas relativas al tratamiento de la información» (M.E.9).

________________________

Se establece como regla general, la libre circulación de los datos personales, como un principio-derecho, no  absoluto,  y  por  tanto  limitada en los siguientes casos:

 

  1. a) Todo país miembro deberá abstenerse de restringir los flujos internacionales de datos personales que tuvieren lugar entre su territorio y el de otro país miembro, excepto en el supuesto de que este no observare sustancialmente las presentes directrices o cuando la reexportación de dichos datos permitiere soslayar la aplicación de su legislación interna de protección de la intimidad y de las libertades individuales (R.17 Ab initio).

 

  1. b) Todo país miembro podrá asimismo imponer restricciones con respecto a determinadas clases de datos personales para las cuales su legislación interna de protección de la intimidad y de las libertades individuales previere regulaciones normativas específicas basadas en la naturaleza de tales datos, siempre que el otro país miembro no les otorgare una protección equivalente (R.17 In fine). Con ello no se quiere que los países tengan regímenes de protección idénticos (en forma y fondo), sino que sus efectos puedan considerarse en esencia idénticos entre los Estados que intervienen en el movimiento de datos (Emisor/Transmisor de datos. Aunque la Recomendación utiliza una terminología ius-mercantilista criticable de Importador/Exportador de datos).

 

  1. c) Los países miembros deberán abstenerse de dictar disposiciones legales, formular directrices políticas o crear prácticas que, concebidas en nombre de la protección de la intimidad y de las libertades individuales, excedieren las exigencias de dicha protección y fueren por ello incompatibles con la libre circulación de datos personales a través de las fronteras (R.18). Sin embargo, esta restricción impuesta a nivel interno no significa que se limite la actividad legislativa de los Estados sobre flujos transfronterizos en el marco comercial, tarifas aduaneras, empleo y «a otros factores económicos conexos que condicionan el tráfico internacional de datos» (M.E.núm. 68).

 

2.3.6.   Excepciones a las Directrices

 

La regla general que se establece en la Recomendación para estructurar las excepciones a las Directrices, es la de que éstas constituyen en el ámbito de aplicación de los Estados Miembros de la OCDE,  «pautas mínimas susceptibles de ser completadas con medidas adicionales de protección de la intimidad y de las libertades individuales» (R.6).

 

Si bien, ni técnica ni jurídicamente la Recomendación sin fuerza ejecutiva, expone un listado de los supuestos que deben considerarse como excepciones, como se hace en las legislaciones a nivel interno, no debe desdeñarse el hecho de plantear unas pautas generales para su aplicabilidad, partiendo de la expuesta regla general. En efecto, se entiende entonces que las excepciones serán las mínimas posibles y deben darse a conocer al público por medios idóneos (p.e. publicación en diario oficial). Dentro de ese exceptionis mínimum, la Recomendación destaca tres supuestos genéricos: La Soberanía y  la Seguridad nacionales y el orden público. Aspectos estos que en las diferentes legislaciones de los Estados, aún ahora,  han sido definitivos para construir un sistema de excepciones, aún vigente.

 

El sistema de excepciones propuesto por la Recomendación no fue númerus clausus ni concentrado. Lo primero, por lo que se ha dicho anteriormente; y lo segundo, por cuanto no sólo constituyen eventos de excepciones a la regla general del tratamiento  (informatizado o no) de datos, ni a la aplicación de los principios que propenden por su protección y garantía, sino porque en el contexto de la Recomendación se exponen supuestos con el nombre de «limitaciones», «restricciones legítimas», etc., que en  puridad jurídica constituyen casos de excepciones. Bástenos mirar las llamadas restricciones legítimas al flujo internacional de datos.

 

2.4.                 El CONVENIO DE ESTRASBURGO DE ENERO 28 DE 1981

 

Una armonización legislativa internacional en los Estados Europeos sobre la protección de los datos personales sometidos a tratamiento informatizado por medios idóneos, constituía la aspiración capital del Convenio 108 del Consejo de Europa de 28 de Enero de 1981. Esto es lo que se pretendió con el Convenio de Estrasburgo, y en efecto se logró. El Convenio Europeo de 1981, como también se le conoce, relativo a la  protección de personas en relación con el tratamiento automatizado de datos de carácter personal, fue ratificado por España el 27 de Enero de 1984, con lo cual a partir de allí perteneció a los Estados con leyes de protección de datos de la segunda generación. Este texto, aparte de constituir norma jurídica de derecho interno en España, por el ingreso al ordenamiento jurídico (art.96.1 CE) y ser un eficaz instrumento de interpretación de los derechos humanos, en lo referente al «uso de la informática» (STC 254/1993, de 20 de Julio), ha servido de modelo normativo (en forma y contenido no muy fiel, como veremos) a la  Ley Orgánica de regulación del tratamiento automatizado de datos de carácter personal española —LORTAD: L.O.5/1992, Oct. 29 [70]. Incluso a la vigente Ley 15 de 1999.

 

En el Preámbulo del  Convenio de Estrasburgo, se establecen las líneas directrices y programáticas para todos los Estados Miembros del Consejo de Europa, así como las posturas jurídicas a observar por los dichos Estados, respecto a la protección de los derechos y libertades fundamentales, en general, y al derecho a la intimidad (aunque conceptualmente se refiera  a «la vida privada»), en especial. Esta particularidad ha hecho que la protección en el tratamiento informatizado de datos personales sea inmediatamente identificada en su vulnerabilidad con el derecho a la intimidad, tal como lo hicieran otras normas comunitarias y estatales de protección de datos. Así mismo se confirmó varios postulados y principios previstos en la Recomendación de la OCDE de 1980, pero especialmente sobre la Libre circulación de datos, la libertad de información y la conciliación y respeto mutuo de derechos y libertades fundamentales.

 

Estas Directrices capitales son: a) Propender por una unión más íntima entre sus miembros, basada en el respeto particularmente de la preeminencia del derecho así como de los derechos humanos y de las libertades fundamentales; b) Ampliar la protección de los derechos y de las libertades fundamentales de cada uno, concretamente el derecho al respeto de la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos automatizados; c)  Reafirmando al mismo tiempo su compromiso en favor de la libertad de  información sin tener en cuenta las fronteras; y  d)  Reconociendo  la  necesidad de conciliar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos.

 

Muy a pesar de que el preámbulo en todo cuerpo normativo tiene efectos materiales y jurídicos vinculantes sobre el contexto o articulado, el Convenio prefirió pasar de reiterativo y volvió a plasmar estas directrices en forma resumida en el artículo primero, confirmando con ello la protección en el tratamiento informatizado de datos personales de todos los derechos, libertades públicas e intereses legítimos, no única y  exclusivamente el derecho a la intimidad.

________________________________

(70)      Las infidelidades de la LORTAD, fueron causa de recursos de inconstitucionalidad incoados por asociaciones y por la Defensoría del Pueblo Español. El autor destacaba la inspiración de contenido del Convenio seguido por la LORTAD. Vid. ORTI VALLEJO. A. Ob. ut supra cit., p. 17.

____________________________

El Convenio está dividido en siete capítulos, a saber: 1. Disposiciones Generales: Objetivo y fin, definiciones, y ámbito de aplicación; 2. Principios fundamentales de la protección de datos: Obligaciones de las partes, calidad de los datos, clases especiales de datos, seguridad de los datos, garantías complementarias para el interesado, excepciones y restricciones, sanciones y recursos, y ampliación de la protección; 3. De los flujos internacionales: flujos internacionales de datos de carácter personal y derecho interno; 4. Del Mutuo Auxilio: Cooperación entre las partes, asistencia a los interesados residentes en el extranjero, garantías referentes a la asistencia prestada por las autoridades designadas, desestimación de peticiones de asistencia, gastos y tramitación de la asistencia; 5. Del Comité Consultivo: Composición del Comité, funciones del Comité, procedimiento; 6. De las Enmiendas: Enmiendas; y, 7. Cláusulas Finales: Entrada en vigor, adhesión de estados no miembros, cláusula territorial, reservas, denuncia y notificación.

 

De este variopinto contenido, abordaremos el análisis de los siguientes temas: a) Las definiciones nucleares en el tratamiento informatizado de datos personales y, b) Los principios y excepciones fundamentales en el tratamiento y circulación de datos.

 

2.4.1.   Definiciones nucleares en el tratamiento informatizado o no de datos personales

 

El  poder de la informática desde  la  expedición del Convenio y mucho antes, hacía gravitar sobre los usuarios de los sectores públicos y privado la consiguiente responsabilidad social. En la sociedad moderna, gran parte de las decisiones que afectan a los individuos descansan en datos registrados en ficheros o bases de datos (v.gr. Nóminas, expedientes de seguridad social, historiales médicos, judiciales, policiales, etc.). En los años que siguieron a aquella época, el tratamiento informatizado de la información continuó imponiéndose en el ámbito administrativo y de gestión, entre otras cosas, a causa del abaratamiento de los costes del tratamiento informático de los datos, de la aparición en el mercado de dispositivos de tratamiento inteligente y de la creación de nuevos sistemas de telecomunicaciones para la transmisión de los datos, tal como lo destacaba también la Memoria Explicativa del Convenio (M.E.).

 

Un cierto halo de temor que rondaba a los operadores jurídicos (abogados, jueces, administradores, etc.) al aplicar cuerpos normativos jurídico-técnicos, como lo era el Convenio Europeo de 1981, inspiraba a los legisladores a implementar un capítulo preliminar que funcione como glosario técnico-jurídico que guía y orienta a los operadores

jurídicos del Convenio. Así, se paliaba ese temor, que aún ahora subsiste en todas las normas que regulan el fenómeno tecnológico de la información y la comunicación (TIC), unido a la informática.

 

En tal virtud, el Convenio definió los siguientes términos nucleares en todo tratamiento informatizado de los datos: Datos personales, persona identificable, interesado, «fichero automatizado», «tratamiento automatizado» y «autoridad controladora», entre otros.

 

Los datos de carácter personal (o datos personales), se consideran cualquier información relativa a una persona física identificada o identificable («persona concernida», como insiste el Convenio).

 

Se deduce de esta definición, que el concepto de persona concernida, a los efectos de determinar de identificación dentro de un procedimiento informatizado de datos, no solamente abarca los  rasgos de identificación de la persona de carácter  jurídico (como los registros de nacimiento, médico, etc., documento de identificación personal v.gr. Documento Nacional de Identidad DNI en España o Documento de Identidad Nacional DIN o Cédula de ciudadanía en Colombia, Pasaportes, etc.), sino también de carácter físico interno v.gr.  Exámenes sanguíneos, de líquidos humanos diferentes a la sangre (semen, orina, etc.), exámenes morfológicos (color de piel, facial, dentales, ópticos, de estatura, etc.); o de carácter físico externo, con fotografías y  huellas humanas y/o tecnológicas (códigos, password o firmas digitalizadas). Estas huellas, se consideran como rasgos diferenciadores de una persona humana de carácter morfológico o tecnológico  con incidencia jurídica.

 

Esta identificación del ser humano o de la «persona concernida» es la que a  la luz del Convenio constituye el núcleo central del concepto de datos de carácter personal, muy a pesar de que se sostiene en la E.M., del Convenio, que «persona identificable», es aquella  «persona que puede fácilmente ser identificada», sin necesidad de «identificación de personas por métodos complejos» [71]. Quizá en aquella época en que surgió la norma europea, tal proposición pudiera ser válida parcialmente, pero hoy no, pues dicha identificabilidad de las personas, antes y ahora debe incluir métodos y procedimientos científico-técnicos idóneos, máxime si se refiere al tratamiento informatizado de datos personales –con o sin el consentimiento del titular–, que relacionan datos personales contenidos en documentos jurídicos, registros de estado civil, médicos, judiciales, económicos o financieros, etc., en todos los cuales para una debida identificación de la persona se debe emplear medios idóneos de tipo técnico-científicos irrefutables previos al asiento o registro informático o concomitante con éste.

 

Hoy, el ser humano tiene un derecho a la identificación sico-física, como persona humana dotada de cuerpo, mente e inteligencia, válido o validable en todo ámbito social, cultural, político, económico, y sobre todo jurídico o iusinformático. Por lo  tanto, no se puede desdeñar ningún método científico-técnico para la plena identificación en todo procedimiento que tenga incidencia en el pleno ejercicio de los derechos y libertades fundamentales de una persona. El Convenio recoge este parecer cuando sostiene que su objetivo prioritario es  «reforzar la protección de datos, es decir, la protección jurídica de los individuos con relación al tratamiento automatizado de los datos de carácter personal que les conciernen» (M.E.núm. 1).

 

El concepto de persona concernida también se extiende al de persona «interesada», que el Convenio utiliza en varios artículos. Así, interesado, «expresa la idea según la cual toda persona tiene un derecho subjetivo sobre la información relativa a sí misma, aún cuando tal información haya sido reunida por otras personas (cfr. la expresión inglesa data subjetc)[72]

 

El  «fichero automatizado» o bancos de datos.  Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado. Aunque en la E.M., del Convenio eufemísticamente se dice que se prefiere el nombre de fichero al de Banco de datos, porque esta expresión se utiliza «hoy en un sentido más especializado: el de un fondo común de datos accesibles a varios usuarios» [73]. Sin embargo, la diferencia hoy por hoy es simplemente terminológica y de origen idiomático (Banco de datos término anglosajón «database» o, Fichero informatizado del término francés «Fichiers«.

 

___________________________________

(71)       Memoria Explicativa del Convenio 108 de 1981. M.E.núm.28. Compilados por HEREDERO HIGUERAS, Manuel. Legislación Informática. Ed. Tecnos, Madrid, 1994, p.570

(72)       Ibídem., p. 570.

(73)        El M.E. núm. 30 ab initio, sostiene que la «expresión ´fichero automatizado´ ha sustituido a la de ´banco de datos electrónico´ utilizada anteriormente en Resoluciones (73)22 y (74)29 y en algunas leyes nacionales. Por ello, en el transcurso de la investigación utilizaremos indistintamente fichero o banco de datos para referirnos al mismo concepto.

_________________________________________

Los Estados Miembros del Consejo de Europa eran conscientes de que día a día crecían por la irrupción de la tecnología TIC y la informática, maneras y formatos de recolectar y almacenar información de todo tipo (incluida las denominadas «personales») con medios informáticos, electrónicos o telemáticos, y que se materializaban en los llamados ficheros o bancos de datos, por regla general. Eran también, conscientes de que los diversos Estados tenían en sus sistemas jurídicos regulaciones sobre el derecho a la intimidad de las personas, la responsabilidad civil, el secreto o la confidencialidad de ciertas informaciones sensibles, etc. Sin embargo, se echaban de menos unas reglas generales sobre el registro y la utilización de informaciones personales y  en «especial sobre el problema de como facilitar a los individuos el ejercicio de un control sobre informaciones que, afectándoles a ellos, son colectadas y utilizadas por otros» (M.E.núm.3). En tal virtud, se decidió concretar además de el concepto de datos de carácter personal, qué debe entenderse por fichero o banco de datos para proteger los derechos y libertades fundamentales de la persona y facilitar el autocontrol de los mismos por parte de la persona concernida.

 

El concepto de fichero o banco de datos informatizados, comprende «no solamente  ficheros consistentes en conjuntos compactos de datos, sino a si mismo conjuntos de datos dispersos geográficamente y reunidos mediante un sistema automatizado para su tratamiento» (M.E. núm. 30 ab initio).

 

La definición de fichero «automatizado» para diferenciarlo del fichero o banco de datos mecánico o manual, resulta reiterativo cuando menos desde el punto de vista terminológico, cuando  al final sostiene que ese conjunto de informaciones deben estar sometidas a un tratamiento igualmente «automatizado» (que mejor sería decir informatizado[74] ). Sin embargo, esta observación es de menor entidad, frente a la significancia de la inclusión de un término imprescindible en el tratamiento  lógico  de entrada (E/) y salida (/S) de información por medios informáticos, como lo es el de fiche- ro o banco de datos informatizados. Esta aclaración delimita a su vez, el ámbito de aplicación del Convenio, al tratamiento informatizado de los datos o  información de carácter personal, a diferencia de la Recomendación de la OCDE de 1980, que abarcaba incluso el tratamiento no informatizado de datos personales, aunque la definición siguiente desmienta tal diferenciación, al menos en toda su integridad.

 

En efecto, por «tratamiento automatizado»,  se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión (art. 2, c). Este tratamiento de datos se extiende a los datos de carácter personal en los sectores público y privado (art. 3-1, del Convenio) [75]

____________________

(74)     Preferimos decir «informatizado», porque entre otras razones que se dan a lo largo de la investigación, existen  estrechos vínculos entre la información obtenida (cualquiera sea esta, y más si es de tipo personal) con «la informática documental», según los términos del profesor LOPEZ MUÑIZ-GOÑI,M  (En: Informática Jurídica Documental) que utiliza métodos y procedimientos informatizados en el tratamiento lógico, sistemático y analítico de la información que ésta proporciona y no solamente un tratamiento robótico o «automático» de la información, tal como lo hacen los cajeros electrónicos, sistemas electrónicos de detección de personas o cosas, etc. Es un tratamiento logicial con medios informáticos, electrónicos o telemáticos y no simplemente cibernético o robótico  aunque éste sea la base del mismo.

(75)    El Convenio se aplica al sector público y privado. «Si bien es cierto que la mayor parte de la circulación internacional de datos tiene lugar dentro del marco del sector privado, el convenio reviste, no obstante, gran importancia para el sector público y ello por dos razones: en primer lugar, el art. 3 impone a los Estados miembros la obligación de aplicar los principios de la protección de datos aun en el caso del tratamiento de ficheros públicos –que es el supuesto normal– totalmente dentro de sus fronteras nacionales. En segundo lugar, el convenio ofrece asistencia a los interesados que deseen ejercer su derecho a ser informados del registro que de ellas lleve una autoridad pública en un país extranjero. La distinción sector público- sector privado no aparece en las demás disposiciones del convenio, sobre todo porque esta nociones pueden tener significados distintos de un país a otro…» (M.E. núm. 33).

______________________

Las acciones de tratamiento lógico de la información, que se traducen en fases o ciclos informatizados, según la definición de tratamiento automatizado del Convenio puede  efectuarse  total o parcialmente con procedimientos informáticos, con lo cual se introducen métodos de tratamiento mixtos de la información, en los cuales participan acciones mecánicas o manuales e informáticas.

 

El concepto técnico-jurídico abierto de tratamiento de datos personales, abre la posibilidad a la interpretación de que el Convenio no sólo regule el tratamiento informatizado de la información, sino también el no informatizado siempre y cuando contenga alguna parte, acción o fase de carácter informática. Esto es posible cuando la fase inicial o de recolección de información  en un tratamiento lógico o informatizado es carácter mecánico o manual.

 

Las fases o ciclos del tratamiento informatizado, según el Convenio se inician con el registro de datos y frente a él todas las acciones (u «operaciones aritméticas», guardando con ello más relación al tratamiento robótico de la información que al lógico o sistémico) subsiguientes que pueden realizarse: modificación, borrado, extracción o difusión de la información [76]. Todas estas acciones  a excepción de la última,  son componentes de una acción eminentemente tecnológica realizable con los datos ( o «files»: archivos o registros), más que jurídica; puesto que, sí se quería referir a las acciones  técnico-jurídico realizables con cualquier  tipo de datos, debió hacerse mención  a las fases de  recolección, almacenamiento, registro, conservación, rectificación, bloqueo y cancelación de la información, tal como lo hiciera la LFAPD de 1977, y posteriormente, la Recomendación de la OCDE de 1980.

 

Sin embargo, el contexto del Convenio aclara la deficiente definición de tratamiento automatizado, cuando se refiere: a) a  los principios y derechos que tiene toda persona cuando han sido sometidos a tratamiento informatizado los datos personales que le conciernen y, b)  al hacer mención expresa a la fase de recolección ( en los artículos 5-a y 12 del Convenio [77] ) y de transmisión «internacional» (o fase de comunicación) de datos, como fases ineludibles y/o posibles del tratamiento informatizado o no de datos. Esto a pesar de la insistencia de la E.M., núm. 31 ab initio del Convenio  al excluir la fase de recolección o colecta de información «de la noción de  tratamiento»  de  datos,  con  unos argumentos poco convincentes [78]

 

La Autoridad «controladora del fichero», se considera a la persona física o jurídica, la  autoridad  pública,  el  servicio  o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del fichero informatizado, cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les deberá aplicar.

_________________________

(76)      La voz «difusión», según la E.M. núm. 31 ab initio, «es un término genérico que abarca tanto la revelación de información a una persona (o a varias personas), como la consulta de la información por tales personas»

(77)     El Convenio utiliza los términos «obtener» o «reunir», para hacer mención a la fase inicial de recolección o  colecta de datos. En efecto, el art. 5, a), expresa: «Los datos de carácter personal que sean objeto de un  tratamiento automatizado: a) Se obtendrán y tratarán leal y legítimamente», y el Art.12., al referirse a los  «Flujos transfronterizos de datos de carácter personal y el derecho interno : 1. Las disposiciones que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento».

(78)     Se dice que «ante el rápido desarrollo de la tecnología del tratamiento de la información, se consideró conveniente enunciar una definición bastante general de «tratamiento automatizado», susceptible de una interpretación flexible». Y según, la autointerpretación del legislador comunitario del Convenio, la colecta queda excluida del concepto «tratamiento».

____________________________

La definición contiene un concepto ampliado del ente almacenante que trae la LFAPD, en el art. 1-1., y a la vez, una conceptualización casi idéntica a la de «responsable del fichero» contenida en  la Recomendación de la OCDE de 1980, art.1-a. En efecto, la entidad almacenante atribuible a cualquier persona, entidad, servicio o institución pública o privada, tiene como función primordial el almacenamiento (que incluye según la ley alemana, las fases de recolección, registro y conservación)  de datos por sí mismo o por encargo a otro.

 

En cambio, «el responsable del fichero», tanto en el la Resolución de la OCDE, como en el Convenio 108 de 1981, abarca otros ciclos o fases  como funciones  del tratamiento informatizado de los datos o informaciones personales, tales como la transmisión de datos, la determinación de la finalidad del fichero, la categorización de los datos, el registro y hasta «cuáles operaciones se les aplicarán» (art. 2, d), del  Convenio), respectivamente.

 

El Responsable del fichero se diferencia en uno y otro cuerpo normativo (OCDE y Convenio) en la circunstacia de que el «responsable del fichero», en el Convenio es única y «exclusivamente la persona o ente que en última instancia responde de la gestión del fichero, pero no aquellas otras personas que llevan a cabo las operaciones del tratamiento de conformidad con las instrucciones del responsable del fichero» (M.E.núm.32).

 

Este concepto de Responsable del fichero, cuando menos, determina dos aspectos importantes en el tratamiento informatizado de datos: por un lado, la exclusión de cualquier grado o nivel de responsabilidad de los que realizaran actividades de tratamiento por encargo; y de otra, que la determinación del responsable del fichero, lleva aparejada una garantía para las personas concernidas con el tratamiento de dato personales, la cual es, que puedan en todo momento identificar plenamente al responsable del fichero [79].

 

2.4.2.   Principios y excepciones fundamentales  en el tratamiento y circulación datos personales

 

El Convenio 108 del Consejo de Europa de  1981, sobre protección de las personas en relación con el tratamiento informatizado de datos personales, no sólo «refuerza» la protección jurídica de los individuos en relación al tratamiento informatizado de información de carácter personal, tal como se prevé en el preámbulo, la E.M., núm. 1, y en el propio texto (art. 1); sino que además propone una armonización normativa en el ámbito competencial del Consejo de Europa. Quizá uno de los aspectos capitales en los cuales el Convenio más apuesta por la armonización normativa a nivel europeo, es precisamente en la estructuración de los principios y excepciones fundamentales, así como en los derechos subsecuentes para los titulares de datos personales que de aquellos se derivan. En efecto, el Convenio  persigue  homogeneizar todo lo atinente a la regulación de la protección de los titulares de los datos prevista en las leyes protección de aquellos  dictados hasta ese entonces (v.gr. Alemania, Suecia, Suiza, Francia, Noruega, Luxemburgo, Portugal, etc.), como también aquellas otras leyes que se dictaron a su amparo y guía,  como es el caso de la Ley Orgánica de regulación del tratamiento automatizado de datos de carácter  personal española (L.O. 5/1992, de 29 de Oct.).

 

En efecto, las Comisiones y subcomisiones encargadas del estudio, análisis y proposición del texto definitivo del que luego fuera el Convenio Europeo de 1981, reestructuró los principios inmersos en las leyes europeas de protección de datos y en forma mancomunada abordó la tarea de su

 

__________________________

(79)     En efecto, el art. 8., del Convenio 108 de 1981, al hacer referencia a las denominadas «Garantías  complementarias para la persona concernida», sostiene que cualquier persona deberá poder: «a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero.

___________________________

proposición final con el grupo de expertos del Comité respectivo de la OCDE [80]. Especial atención le dedicó a los principios de la libre circulación y seguridad de los datos [81]. Quizá por ello, los principios como excepciones al tratamiento informatizado de datos personales en uno y otro cuerpo normativo comunitarios resultan coincidentes, con la diferencia de que en el Convenio de Estrasburgo, estos y aquellas tienen una especial regulación que los convierte en la  columna vertebral del tratamiento informatizado de datos personales.

 

En efecto, el Convenio Europeo como regla general establece que los principios y excepciones al tratamiento informático de datos, rigen en todo el tratamiento o procedimiento informatizado de datos personales y no en forma exclusiva y/o excluyente de una fase o etapa de dicho tratamiento (v.gr. recolección, almacenamiento, registro, conservación, etc.). Así se deduce de la redacción dada a los arts. 5 a 9 del Convenio. El sistema de principios y excepciones están  ligados entre sí, pues unos y otros tienden a garantizar y proteger los derechos, libertades públicas, intereses legítimos «y los valores fundamentales en una sociedad democrática» (M.E. núm. 55).

 

Es aquí donde halla eco y sentido el denominado «núcleo irreductible«[82] , basado en la catalogación de los principios y excepciones fundamentales del tratamiento informatizado de datos personales, con capitales fines y objetivos de protección y garantía de derechos y libertades fundamentales (no sólo el derecho a la intimidad, como se ha generalizado),   el debido y oportuno cumplimiento que los Estados deben observar en la implementación en el ordenamiento jurídico interno (es decir, armonización legislativa) y la reducción al mínimo de los posibles conflictos de las leyes o de jurisdicción.

 

2.4.2.1.            Principios fundamentales en el tratamiento y transmisión de datos personales

 

Ahora bien, hagamos referencia a los principios en relación con las fases del tratamiento informatizado de datos que es donde tienen aplicabilidad y vigencia.

 

2.4.2.1.1.         Fase de recolección de datos

 

En la fase inicial o de recolección de los datos personales, son aplicables los principios siguientes: a) De lealtad y legitimidad (art.5-a,); b) De Prohibición excepcionada a la recolección de datos pertenecientes al «núcleo duro de la privacy» anglosajona [83] (art. 6); y, c) De información en  la recolección, sobre los objetivos y fines de la misma (art. 8).

 

____________________

(80)      M.E. núm. 14, «Cooperación con la OCDE y con la CEE».

(81)      M.E. núm. 16. «La comisión de las Comunidades Europeas, que ha llevado a cabo estudios sobre la armonización de las legislaciones nacionales dentro del marco de la Comunidad con relación a los flujos internacionales de datos y las posibles distorsiones de la concurrencia, así como sobre los problemas vinculados a la seguridad de los datos, mantuvo estrecho contacto con el Consejo de Europa»

(82)      Institución de derecho público que se explica en relación con los principios y per se. En efecto, «los principios  del ´núcleo irreductible´ reconocen a los interesados en todos los Estados en los cuales se aplique el Convenio  un determinado mínimo de protección con relación al tratamiento automatizado de datos de carácter personal» M.E. núm. 20 in fine).

(83)      Comentado por el profesor MORALES PRATS, Fermín. Comentarios a la parte especial del Derecho Penal. En: Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Ed. Aranzadi, Pamplona, 1996, p. 310 y ss.

_________________________

 

Estos principios se hallan en el Convenio bajo los epígrafes de «calidad de los datos», «categorías particulares de los datos» y «garantías complementarias para la persona concernida».

 

El principio de lealtad y legitimidad, como principio de causa y efecto entre el objeto del tratamiento (datos) y su actividad (recolección),  se entiende que los datos que se van a obtener, recoger o recolectar debe pertenecer a una persona identificada o identificable, procesarse  con métodos informáticos idóneos que permitan no vulnerar  los  derechos  y libertades fundamentales del titular de los mismos y se  proceda  de  conformidad  con  el ordenamiento jurídico vigente en cada Estado y en concordancia con las normas comunitarias. Queda proscrita toda recolección de datos en forma ilícita, ilegítima, indebida, inoportuna o expresamente prohibida. Quizá por esto último resulta incompleta la calificación de este principio como «principio de legalidad» de los datos, que algún sector de la doctrina ibérica lo nomina (Castells, Souviron, López, etc.), pues la ley queda  transvasada, cuando se involucra el interés estatales o personal, el criterio de la oportunidad del tratamiento, etc.,

 

En principio, está prohibida la recolección de datos de carácter personal denominados «sensibles» [84] que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual,  a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales (artículo 6).

 

2.4.2.1.2.         Fase de Almacenamiento de datos

 

En la fase de almacenamiento de datos, serán aplicables los principios de: a)  Exactitud del contenido (o «veracidad», según Souvirón [85]) y de sujeción a la revisión y actualización (art. 5-d); b) De prohibición excepcionada de los datos denominados «sensibles» (art.6); y c) De información en el almacenamiento de datos sobre los objetivos y fines del mismo (art. 8).

 

2.4.2.1.3.         Fase de Registro de datos

 

En la fase de registro de los datos personales, que es la etapa sobre la cual más incide el Convenio Europeo, quizá por las implicaciones de tipo socio-jurídico que se derivan de dicha actividad informatizada de datos, pues ésta sobreviene con carácter definitivo en tanto no haya causas para suspenderla, suprimir o cancelarla de conformidad con el ordenamiento jurídico vigente. Pareciera, por la redacción inicial del Convenio que la  protección de los titulares de los datos se  inicia con el registro de los mismos y no antes. Sin embargo, una recta interpretación del Convenio extiende la protección al momento mismo de la recolección de datos, haciendo énfasis en la etapa del registro porque supuestamente  más afloran los síntomas de vulnerabilidad, aspecto éste que es más apariencia que realidad, como se ha visto.

 

Los principios aplicables a esta etapa del tratamiento informatizado son: a) De compatibilidad de las finalidades (art. 5-b); b) De adecuación, pertinencia y no excesibilidad de las finalidades (art. 5-c); c) Prohibición excepcionada del registro de datos personales denominados «sensibles» (art.6); d) Principio de información en el registro de datos (art. 8); y e) Principio de «Seguridad de los datos» (art. 7).

______________________

(84) Según E. Vilariño, datos sensibles son «aquellos datos personales que se refieren a las características morales  o físicas que, en principio, no son de interés para los demás y no afectan en general a la sociedad y cuyo conocimiento, en cambio, puede perjudicar injustificadamente los derechos e intereses legítimos de esas personas», p. 54. Citado por SOUVIRON, José M. En torno a la juridificación del poder informático del Estado. R.V.A.P. Núm. 40, Sep-Dic., Bilbao, 1994, cita núm. 67 p.153.

(85)   SOUVIRON, José M. Ob. cit. ut supra. pág. 152.

______________________

Se destacan en esta etapa los principios de información y seguridad de los datos, por cuanto, en puridad jurídica es aquí donde nace el derecho de habeas data [86]  y los subsecuentes derechos que este conlleva. Efectivamente, tras el ejercicio el derecho de la información y conocimiento  por parte del titular de los datos, de terceros, de  personas autorizadas  o no,  las personas naturales, jurídicas, públicas o privadas encargadas del tratamiento (o responsables) de datos toman las necesarias  medidas de seguridad para la protección de datos de  registrados en ficheros informatizados, a fin de evitar la destrucción accidental o no autorizada, la pérdida accidental o el acceso, la modificación o la difusión no autorizados.

 

En tal virtud, aquí se ponen en juego las que el Convenio en el artículo 8, llama «Garantías complementarias para la persona concernida», dentro de las cuales cualquier persona podrá: a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero; b) obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible; c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos de «calidad de los datos» y «categoría particular de datos»; d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, luego de conocer la existencia de un fichero con los datos del concernido o de obtener a «intervalos razonales» la confirmación de tal existencia o no.

 

2.4.2.1.4.         Fase de conservación de datos

 

En la fase de conservación de los datos, se aplicará los siguientes principios: a) De identificación del concernido y de compatibilidad de las finalidades. En ejercicio de este principio, se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado (art. 5-e,); b) De Prohibición excepcionada en la conservación de datos personales considerados «sensibles» (art.6); c) De Seguridad de los datos (art. 8); y d) De información en la conservación de datos.

 

2.4.2.1.5.         Fase de transmisión de datos. En particular, «el flujo internacional de datos» [87]

________________________________

(86)        Se considera un derecho fundamental,  que según Fairen Guillen, «ya no (solo) es la libertad de negar información  sobre  los  propios hechos privados o datos personales, sino la libertad de controlar el uso de esos  mismos datos insertos en un programa informático: lo que se conoce con el nombre de habeas data.  Tales son las ideas generalmente admitidas hoy entre juristas y en el Derecho comparado, que ofrece una de las vías para determinar el contenido esencial de un derecho fundamental (S.T.C. 11/1981)» en el derecho español. Cfr. FAIREN GUILLEN, Víctor. El Hábeas Data  y su protección actual sugerida en la Ley Española de Informática de 29 de Octubre de 1992. En: Revista de Derecho Procesal. Núm.3, Madrid, 1996, p. 530.

(87)      La M.E. del Convenio Europeo  especifica el alcance de la noción de flujos internacionales,  ha sido redactado de tal manera que tenga en cuenta la gran diversidad de los factores determinantes del modo en que los datos son transferidos: modalidad de representación (texto libre o codificado), soporte (papel, tarjeta perforada, cinta perforada, cinta magnética, disco, etc.), medio de transporte (transporte físico, correo, enlace de telecomunicación conmutada por circuito o paquetes), interfaz (ordenador con terminal, ordenador con ordenador, manual con ordenador, etc.), el circuito dedicado (directo desde el país de origen al país de destino, o a través de uno o varios países de tránsito), las relaciones entre el emisor y el destinatario (pertenecientes ambos a una misma organización o a distintas organizaciones), etc. (M.E. núm. 63).

_____________________________________

En la fase de transmisión, flujo o movimiento de los datos, a la que el Convenio también le ha prestado especial cuidado y tratamiento, rigen los principios previstos bajo los epígrafes de «calidad de datos», «categoría particular de datos», «Seguridad de datos» y «garantías complementarias para la persona concernida», que antes hemos referenciado, pues al fin y al cabo la transmisión de datos es otra fase más del tratamiento de datos, tal como lo sostiene el art. 12.1 del Convenio Europeo [88]. Pero además, se aplicará  un principio fundamental y específico para esta fase del tratamiento informatizado de datos personales, cual es la «libre circulación de datos» [89], que desde la Recomendación de la OCDE de 1980, ya había sido planteado y sustentado.

 

Esta fase del tratamiento informatizado de datos personales es tan importante como delicada, pues los Estados que poseían medidas legislativas protectoras de  dicho  trata miento habían preparado y aplicado sus normas hacia el interior de sus zonas geográficas, pero no estaban preparados inicialmente para afrontar las dificultades sobrevenidas por la transferencia de datos entre Estados. La creación de «bancos de datos internacionales», con diferentes fines, objetivos y actividades evidenció más aún dichas dificultades, pero a la vez, con la generalización de las transferencias internacionales en los ámbitos sociales, políticos, culturales, jurídicos y sobre todo económicos de la UE, se puntualizó y potenció toda clase de medidas de seguridad, eficacia, oportunidad y celeridad de la transmisión/emisión de datos personales, para eliminar las dificultades y aumentar el flujo necesario de información entre Estados, sin mayores riesgos que los sobrevenidos de actividades indebidas, ilegales o no autorizados, tanto de tipo técnico como jurídico. En efecto, así ocurrió con las  variopintas transacciones comerciales (v.gr. agencias de viajes, operaciones  bancarias,  cajeros  automáticos: tarjetas de crédito, debido, etc.), las transferencias en actividades personales privadas o públicas (.v.gr. Bancos de datos médicos, investigativos, bibliotecológicos, estadísticos, etc.); o en fin, para transmitir información de un lugar geográfico transfronterizo  a otro sin las debidos controles (técnicos o jurídicos, según la M.E. núm. 8), con fundamento en los adelantos de las telecomunicaciones, la informática, o la unión de las dos: la comunicación electrónica o  telemática.

 

En especial, –se decía en el E.M.núm.9– existe el temor de que los usuarios se sientan  tentados a «hurtarse» a los controles impuestos por la protección de datos desplazando sus operaciones, en todo o en parte hacia «paraísos de datos», es decir, a países que tengan leyes de protección de datos menos rigurosas o que carezcan de leyes de protección de datos. Aunque algunos otros Estados para evitar estos riesgos han previsto en su Derecho interno controles jurídicos especiales, como las «autorizaciones de exportación de datos», las cuales pueden resultar excesivos o insuficientes, frente a la avalancha de crecimiento de las transmisiones electrónicas de datos entre Estados.

 

El Convenio, en consecuencia, establece que un Estado no podrá «prohibir o someter a una autorización especial los flujos transfronterizos de datos de carácter personal con destino al territorio» de otro Estado, so pretexto «de proteger la vida privada», salvo: a) En la medida en que su legislación

_______________________

(88)         Artículo 12. «Flujos transfronterizos de datos de carácter personal y el derecho interno 1. Las disposiciones  que siguen se aplicarán a las transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal que sean objeto de un tratamiento automatizado o reunidos con el fin de someterlos a ese tratamiento»  (Cursivas nuestras).

(89)        Este principio fundamental en el tratamiento y transmisión de datos personales, tanto para los individuos como para los Estados, se erigió, «habida cuenta de la rápida evolución de las técnicas de tratamiento de la información y del desarrollo de la circulación internacional de datos…(y de que era) conveniente crear unos mecanismos a escala internacional que permitan a los Estados tenerse informados mutuamente y consultarse entre sí en materia de protección de datos» (E.M. núm. 11 in fine).

_______________________

prevea una reglamentación específica para determinadas categorías de datos de carácter personal o de ficheros automatizados de datos de carácter personal, por razón de la naturaleza de dichos datos o ficheros, a menos que la reglamentación del otro Estado (o Parte) establezca una protección equivalente; b) cuando la transmisión se lleve a cabo a partir de su territorio hacia el territorio de un Estado no contratante por intermedio del territorio de otro Estado, con el fin de evitar que dichas transmisiones tengan como resultado burlar la legislación del Estado  a que se refiere el comienzo del presente párrafo (art. 12 in fine).

 

En estas transmisiones interestatales, el  mayor flujo de circulación de datos lo ocupan las transferencias de datos de carácter personal, por ello, el Convenio plantea como regla general, la libre circulación de información , como principio fundamental, tanto para los individuos como para los Estados (o «pueblos», según la E.M.núm.9) y como excepciones, las directrices previstas con carácter de numerus clausus para algunas categorías de datos personales (básicamente los denominados sensibles) o ficheros que los contengan y para aquellas transmisiones triangulares entre Estados y uno de los cuales no pertenezca al Consejo europeo.

 

Si no fuese así, «tales controles (como el de la autorización, p.e.) podrían crear trabas a la libre circulación de la información», erigida como principio fundamental en el tratamiento y transmisión de datos personales entre Estados. «Había que encontrar, por tanto, una fórmula que garantizara que la protección de datos a escala internacional no vulneraría este principio» (M.E. núm. 9 in fine). Se trata en últimas de conciliar [90] dos aspectos capitales en el tratamiento y transmisión de datos personales, que tienen la particularidad de ser concurrentes y aparentemente excluyentes: por un lado, la protección de datos; y por otro, la libre circulación de los mismos. Concurrencia que se consigue cuando toda transmisión o flujo de datos debe prever cierto mínimo de garantías o de protecciones, pero no de controles especiales ni menos rigurosos que pudieran excluir la libre circulación de los datos. De ahí el establecimiento de una regla general con sus taxativas excepciones.

 

La E.M., del Convenio sustenta una serie de características especiales referentes a los flujos internacionales de datos, las cuales en su conjunto reafirman la regla y excepciones anotadas.

 

En efecto, se establece que con base en el principio del  núcleo irreductible que reconoce a los interesados en todos los Estados en los cuales se aplique el Convenio un determinado mínimo de protección con relación al tratamiento informatizado de datos, y como tal,  al obligarse a aplicarlos los Estados y miembros, «tienden a suprimir entre ellos las restricciones de los flujos internacionales de datos, evitando que el principio de libre circulación de datos sea puesto en tela de juicio por alguna forma de proteccionismo» (M.E. núm. 20 in fine).

 

Respecto de la transmisión o flujos de datos personales calificados de sensible (relativos al origen racial, origen racial, las opiniones políticas, las convicciones  religiosas  u  otras convicciones, la salud [91] o a la vida sexual, según el art. 6 del Convenio) se establece, al menos dos directrices para que un Estado justifique la derogación de las garantías que el Convenio ofrece a esta clase especial de datos personales. Estas son:

___________________________

(90)        Ese es el objeto principal del art. 12 del Convenio de Europa, «conciliar las exigencias de protección eficaz de los datos con el principio de la libre circulación de la información independientemente de la existencia de fronteras, consagrado por el artículo 10 del Convenio Europeo de los Derechos del Hombre» (E.M. núm. 62).

(91)      Los datos de carácter personal relativos a la salud, fue cuidadosamente estudiado por el Comité de expertos  de protección de datos dentro del contexto de sus trabajos sobre los bancos de datos médicos. Tal noción abarca las informaciones concernientes a la salud pasada, presente y futura, física y mental, de un individuo. Puede tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Debe entenderse que estos datos comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas (E.M. núm. 45).

____________________________

 

  1. a) Cuando las medidas específicas de protección de tales datos fueren sensiblemente distintas de las disposiciones del derecho de los demás Estados que hicieren referencia a tales datos y, en especial, cuando tales medidas ofrecieren, de conformidad con el art. 1, (es decir, que ninguna de las disposiciones del capítulo II, se interpretará en el sentido de que limite la facultad, o afecte de alguna otra forma a la facultad de cada Estado, de conceder a las personas concernidas una protección más amplia que la prevista en el presente Convenio) un nivel de protección que transcendiere las normas mínimas contenidas en el Convenio.

 

  1. b) Cuando determinados datos o ficheros que no estuvieren previstos dentro de los denominados datos sensibles, estuviesen sujetos a garantías especiales.

 

No será lícita la derogación, en estos casos, si el Estado destinatario ofreciere una protección equivalente. v.gr. Si un Estado somete los flujos internacionales de datos a una autorización especial, no puede negarse otro Estado, so pretexto de razones de protección de la intimidad, a conceder una tal autorización si el país receptor concede una protección equivalente (E.M. núm. 69 in fine).

 

Respecto de la transferencias triangulares de datos personales, o sea, aquellas que tienen lugar en dirección a un Estado no contratante a través de un Estado contratante, la derogación sólo puede ser invocada si está previsto que los datos transferidos se encuentren en un Estado contratante sólo en tránsito. No deberá ser invocada sobre la base de la mera presunción o expectativa de que los datos transferidos a otro Estado contratante pudieran, en su caso, ser transferidos a un Estado no contratante  (E.M. núm. 70).

 

2.4.2.2.            Excepciones al tratamiento informatizado de datos y a los principios. «Las Restricciones»

 

Para establecer un régimen jurídico de  excepciones en un ámbito interestatal,  se  debe tener en cuenta, al menos  dos reglas primordiales: el objeto y fin de la norma jurídica y la taxatividad en la enunciación de los supuestos de excepciones. Todo ello, para que los Estados no «tropiecen con dificultades en cuanto a la interpretación de la excepción, pues ello podría obstaculizar gravemente la aplicación del Convenio» (E.M. núm. 35 in fine ).

 

Por lo primero, el Convenio Europeo, según el art. 1.,  establece que su objeto y fin es garantizar, en los territorios de los Estados miembros,  a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la intimidad (o «vida privada»), con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»).

 

Respecto de lo segundo, es decir, la regulación numerus clausus de los supuestos de excepciones,  están previstas en el art. 9 del Convenio, con las siguientes anotaciones:

 

La regla general, para las excepciones al tratamiento informatizado de datos, consiste en la no admisión de excepción alguna contra los principios fundamentales previstos para las fases o etapas del tratamiento informatizado de recolección, almacenamiento, registro y conservación de datos personales, salvo que estuviere: prevista en el ordenamiento jurídico vigente del Estado miembro y  constituya una medida necesaria en una sociedad democrática, para: a) la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales; y, b) para la protección de la persona concernida y de los derechos y libertades de otras personas.

 

Estas excepciones a la excepción de los principios fundamentales del tratamiento informatizado, están inspiradas en el Convenio Europeo de los Derechos del Hombre (arts. 6, 8, 10 y 11). Así mismo, la expresión «medida necesaria» en una sociedad democrática, constituye una noción fruto de los acuerdos de la Comisión y el Tribunal de los Derechos Humanos, por la cual, resulta claramente que los criterios de tal concepto no pueden ser fijados para todos los Estados y en todo momento, sino que deberían ser considerados a la luz de la situación dada en cada Estado [92].

 

Las excepciones a la regla general tienen como fuente dos grandes ramales, a saber: los intereses fundamentales de los Estados y los intereses particulares de la persona humana.

 

En efecto, la enumeración taxativa dentro de las causales exceptivas al tratamiento y principios fundamentales de los datos obedece básica y exclusivamente a la delimitación conceptual de los que se consideran intereses principales de los Estados, es decir,  de   aquellas  instituciones  socio-jurídicas ; tales como, la  seguridad del Estado [93], seguridad pública , intereses monetarios del Estado [94] e infracciones penales [95]; y por supuesto, a fin de evitar que en la aplicación del Convenio los Estados puedan tener un «margen de maniobra demasiado amplio» en la interpretación y aplicación de las mismas y conserven la facultad de «rehusar» [96]  la  aplicación  del Convenio en casos concretos por motivos de importancia ponderada (E.M. núm. 56).

 

En cuanto a la enunciación taxativa de las causales de excepción al tratamiento y principios básicos de los datos previstas en el literal b), sobre protección de la persona concernida están  fundadas en los intereses particulares de la persona humana, tales como los del interesado (p.e., información psiquiátrica) o de terceros (p.e., la libertad de prensa, secretos del comercio, etc.).

 

Conjuntamente con este marco de excepciones, el Convenio presenta las que llama «restricciones» al ejercicio de los ciertos derechos de la persona concernida y presentes en los «ficheros automatizados» de datos personales que se utilicen con fines estadísticos  o de investigación científica [97], cuando no existan manifiestamente riesgos de atentado a la intimidad («vida privada») de las personas concernidas (art. 9-3)

 

______________________

(92)      Las excepciones se limitan a las que son necesarias para proteger los «valores fundamentales en una sociedad  democrática». (E.M. núm. 55).

(93)    Se entiende por Seguridad Pública, en el sentido tradicional de protección de la soberanía nacional contra amenazas internas o externas, incluida la protección de las relaciones internacionales del Estado (E.M. núm. 56 in fine).

(94)    Intereses monetarios del Estado, comprende todo aquello que contribuye a facilitar al Estado los recursos financieros de su política. v.gr. La recaudación de los impuestos y al control de cambios. (E. M. núm. 57 ab initio).

(95)     Represión de los delitos, comprende tanto la investigación de los delitos como su persecución (E.M. núm.  57 in fine).

(96)      Artículo 16. Denegación de peticiones de asistencia.  Una autoridad designada, a quien se haya dirigido una petición de asistencia con arreglo a los términos de los artículos 13 («Cooperación entre Estados) o 14 (Asistencia a las personas concernidas que tengan su residencia en el extranjero) del presente Convenio, solamente podrá negarse a atenderla si: a) La petición es incompatible con las competencias, en materia de protección de datos, de las autoridades habilitadas para responder; b) la petición no está conforme con lo dispuesto en el presente Convenio; c) atender a la petición fuese incompatible con la soberanía, la seguridad o el orden público de la Parte que la haya designado, o con los derechos y libertades fundamentales de las personas que estén bajo la jurisdicción de dicha Parte.

(97)        En  los ficheros o banco de datos estadísticos  la posibilidad de limitar el ejercicio de los derechos de los interesados, se centra en las «operaciones de proceso de datos que no llevaren aparejado riesgo alguno… en la medida en que se trate de datos presentados en forma agregada y separada de los identificadores. Igual los ficheros de datos científicos de  conformidad con una recomendación de la Fundación Europea de la Ciencia».  (E.M. núm. 59 in fine ).

______________________________

 

Jurídicamente están restricciones no se consideran excepciones, sino limitaciones al ejercicio de algunos derechos impuestas por razones expresamente previstas en el ordenamiento jurídico, y como tal, pueden ser preventivas (in tempore) o modales (eliminación del riesgo o vulnerabilidad). Sin embargo, en la praxis, estas restricciones pueden esconder verdaderas instituciones nugatorias de derechos, aún cuando fueren preventivas o modales.

 

Las restricciones al ejercicio de algunos derechos en las circunstancias y para ciertos ficheros o bancos de datos previstos en el Convenio, se extiende a aquéllos derechos de la persona concernida que como «garantía complementaria» ostenta en el transcurso del tratamiento informatizado de datos personales. Esos derechos son los componentes del derecho de habeas data que inicia con el de información. En efecto, se admite la restricción al ejercicio de los siguientes derechos: a) De confirmación de la existencia o no de un fichero con datos del concernido, así como el de comunicación de dichos datos; b) De rectificación o borrado de datos, según fuere el caso, si se desconoce los principios fundamentales del tratamiento informatizado de datos (recolección, almacenamiento, registro y conservación) o la consideración de ser datos sensibles; y c) De recurso, ante las autoridades competentes, si no se atiende o se desconoce los anteriores derechos.

 

 

2.5.      ESPAÑA: LEY ORGANICA DE PROTECCION DE LOS DATOS PERSONALES DE 1999 o LOPDP.

 

2.5.1.   Notas preliminares

 

Antes de la vigencia de LOPDP de 1999, en España rigió la Ley orgánica de regulación del tratamiento automatizado de datos de carácter  personal,  L.O. 5/1992, Oct. 29 o LORTAD, la cual a su vez terminaba con la existencia de la disposición transitoria primera de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, a través de la cual  se aplicaba la mencionada ley, aunque en un ámbito de comprensión legislativa y aplicabilidad hermenéutica restringidos (pues sólo se refería «a las intromisiones ilegítimas derivadas del uso de la informática«)  a todos aquellos aspectos referentes al tratamiento informatizado de datos personales, la protección de los derechos y libertades fundamentales e intereses legítimos y el uso de la informática, según lo estipulaba la disposición única derogatoria de la LORTAD.

 

La vida y derogación jurídicas de unas normas jurídicas que regulan el tratamiento informatizado de datos personales en España, estaba marcada no sólo temporal sino espacialmente de una etapa fructífera de cariz legislativo comunitario y estatal europeos  en materia de protección de los titulares de los datos personales, más que de los datos per se, cuando son sometidos a procesos informáticos con soportes y medios informáticos, electrónicos o telemáticos. Quizá eso motivó en su momento la reforma  y derogación parcial de la Ley Orgánica 1/82, y también la derogación total de la LORTAD de 1992 por la nueva Ley de protección de los datos personales de 1999.

 

España como Estado Miembro de la Unión Europea debía no sólo tener una Ley deprotección de datos como la LORTAD, sino que debía adecuarla, homologarla a las normas comunitarias de protección de datos a efectos regular técnica y jurídicamente los instrumentos o mecanismos idóneos que compatibilizaran con los de los demás Estados de la Unión. Esta técnica legislativa comunitaria se conoce como «transposición normativa». España entonces debía transponer las dos últimas directivas comunitarias que se había expedido para el tratamiento de datos personales y la protección de derechos y libertades fundamentales de la persona humana (no jurídica) y del derecho a  la intimidad esencialmente. Esas Directivas eran la 95/46/CE y 97/66/CE, normas comunitarias que constituyeron junto con las normas europeas de 1980 y 1981, ut supra analizadas, el fundamento de la nueva Ley Orgánica de Protección de Datos Española de 13 de Diciembre 1999 o LOPDP.

 

2.5.2.   Estructura de la LOPDP de 1999

 

La LOPDP se compone de Títulos, Capítulos y Artículos, así:

 

El Título I, relativo a las «Disposiciones Generales»,  en los artículos 1º a 3º hace mención al objeto de la ley que consiste en garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

 

También hace relación a ámbito de aplicación de la ley, referido al tratamiento de datos personales de carácter público y privado. Al igual que la LORTAD, la LOPDP, trae una relación numerus clausus  de los ficheros o bancos de datos a los cuales no se aplica la ley. Estos son: (i) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; (ii) A los ficheros sometidos a la normativa sobre protección de materias clasificadas; (iii) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos o APD.
Aclara en el numeral 3 de artículo 2º de la LOPDP, que se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: (i)  Los ficheros regulados por la legislación de régimen electoral; (ii) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública; (iii) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas; (iv) Los derivados del Registro Civil y del Registro Central de penados y rebeldes; (v) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

 

Y finalmente,  en el artículo 3º relaciona un listado básico de términos técnico-jurídicos que se aplican en el tratamiento de datos personales: (i) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables;  (ii) Fichero; (iii) Tratamiento de datos; (iv) Responsable del fichero o tratamiento;  (v) Afectado o interesado; (vi) Procedimiento de disociación; (vii) Encargado del tratamiento; (viii) Consentimiento del interesado; (ix) Cesión o comunicación de datos; y, (x) Fuentes accesibles al público.

 

En el Título II, concerniente a «Los principios de protección de los datos«, en los artículos 4º a 12º, relaciona los siguientes principios: (i) Calidad de los datos; (ii) Derecho de información en la recogida de datos; (iii) Consentimiento del afectado; (iv) Datos especialmente protegidos; (v) Datos relativos a la salud; (vi) Seguridad de los datos; (v) El deber de secreto; (vi) Comunicación de datos; (vii) Acceso a los datos por cuenta de terceros.

 

En el Título III, referente a «Los Derechos de las personas» en los artículos 13º a 19, menciona los siguientes: (i) Impugnación de las valoraciones; (ii) Derecho de consulta al Registro General de los datos; (iii) Derecho de Acceso; (iv) Derecho de rectificación y cancelación; (v) Procedimiento de oposición, acceso, rectificación o cancelación; (vi) Tutela de derechos; (v) Derecho a indemnización.

 

En el Título IV, relativo a «Las Disposiciones sectoriales», compuesto de dos capítulos. En el Capítulo Primero dedicado a «Los Ficheros de titularidad pública», en los artículos 20 a 24, hace mención a lo siguiente: (i) creación, modificación o supresión; (ii) Comunicación de datos entre administraciones Públicas; (iii) Ficheros de las Fuerzas y Cuerpos de Seguridad; (iv) Excepciones a los derechos de acceso, rectificación y cancelación; (v) Otras excepciones a los derechos de los afectados.

 

En el Capítulo Segundo, destinado a «Los Ficheros de titularidad privada» en los artículos 25º a 32º, relaciona lo siguiente: (i) Creación; (ii) Notificación e inscripción registral; (iii) Comunicación de la cesión de datos; (iv) Datos incluidos en las fuentes de acceso público; (v) Prestación de servicios de información sobre solvencia patrimonial y crédito; (vi) Tratamiento con fines de publicidad y prospección comercial; (vii) Censo promocional; y, (viii) Códigos tipo.

 

En el Título V, concerniente al «Movimiento Internacional de Datos» en los artículos 33º a 34º, menciona las normas generales y las excepciones a dicho movimiento.

 

En el Título VI, referente a la «Agencia de Protección de los Datos» en los artículos 35º a 42, se menciona lo siguiente: (i) naturaleza y régimen jurídico; (ii) El director y sus funciones; (iii) El Consejo consultivo; (iv) El Registro General de Protección de Datos; (v) Potestad de Inspección; (vi) Órganos correspondientes de las Comunidades Autónomas; (vii) Ficheros de las comunidades autónomas en materias de su exclusiva competencia.

 

En el Título VII, relativo a las «Infracciones y sanciones» en los artículos 43º a 49º menciona lo siguiente: (i) Responsables; (ii) Tipos de infracciones (relaciona más de una veintena); (iii) Tipos de Sanciones; (iv) Infracciones de las Administraciones Públicas; (v) Prescripción; (vi) Procedimiento Sancionador; y, (vii) Potestad de inmovilización de ficheros.

 

Además establece seis «Disposiciones Adicionales«, relativas a los siguientes aspectos: (i) Sobre ficheros preexistentes; (ii) Ficheros y Registro de Población de las Administraciones Públicas; (iii) Tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social; (iv) Modificación del artículo 112.4 de la Ley General Tributaria; (v) Competencias del Defensor del Pueblo y órganos autonómicos semejantes; (vi) Modificación del artículo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados.

 

Tres «Disposiciones Transitorias«, referentes a lo siguiente: (i) Tratamientos creados por Convenios Internacionales; (ii) Utilización del Censo Promocional; (iii) Subsistencia de normas preexistentes.

 

2.5.3.               Comentarios sucintos a la LOPDP

 

Dada la complejidad y amplitud temática de la LOPDP, a los efectos del presente trabajo tan solo abordamos y comentamos los siguientes temas: a) Las definiciones técnico-jurídicas; b) Los principios fundamentales aplicados a las fases del tratamiento informatizado de datos  personales; y  c) Los órganos de  protección de los datos personales.

 

2.5.3.1.            Definiciones Técnico-jurídicas de la LOPDP

 

Con los antecedentes legislativos de Estados europeos como Alemania, Suiza, Francia, entre otros, y con los antecedentes normativos comunitarios, básicamente de la Recomendación de la OCDE de 1980 y el Convenio de Estrasburgo o Convenio de Europeo de 1981, el Estado Español introdujo en su ordenamiento jurídico, una legislación homogénea, pero no plena en el tratamiento (informatizado o no) de datos de carácter personal de titularidad pública y de titularidad privada, con cierto retraso frente a la legislación estatal europea existente sobre la materia y sobre todo, con los avances tecnológicos del fenómeno TIC e informática [98], que se concretó inicialmente en la L.O. 5/1992, de 29 de Octubre conocida como LORTAD y luego 7 años después se expidió la L.O. de 13 de Diciembre de 1999, o Ley de Protección de Datos de España o LOPDP ajustándola a las Directivas Comunitarias de 1995 y 1997 sobre protección de datos personales, garantía de los derechos y libertades constitucionales y especialmente de la Intimidad personal y familiar y del honor. Transposición normativa comunitaria de la LOPDP que también tuvo retraso de cuatro y dos años respectivamente.

 

Retraso normativo inicial morigerado, según se  ha sostenido porque desde 1984, se conocía «un conjunto de normas heterogéneas que no siempre distinguían entre ficheros automatizados y ficheros convencionales» [99] y porque en nuestro criterio, se aplicaba teóricamente la Ley Orgánica núm. 1 de 5 de Mayo de 1982, relativa a la protección civil de los derechos del honor, la intimidad y el propia imagen, como norma jurídica subsidiaria en todos los asuntos relacionados con las intromisiones ilegítimas derivadas del uso de la informática (Disposición Primera Transitoria).

 

Este antecedente referencial legislativo, condujo a la LORTAD en 1992 y a la LOPDP en 1999, a decantar y  mejorar varias definiciones técnico-jurídicas aplicables al tratamiento informatizado de datos personales y la estructuración de procedimientos técnicos informáticos, a fin de hacerlas más inteligibles al operador jurídico, pero principalmente al juzgador que debe aplicar e interpretar la norma jurídica.

 

___________________________________________

(98)       La LORTAD, «se ha demorado quince años, pero finalmente está ya publicada», para destacar el epígrafe sobre «riesgos para los derechos de la personalidad que pueden derivar del acopio y tratamiento de datos por medios informáticos». Cfr. GONZALEZ NAVARRO Francisco. Derecho Administrativo Español. Ed. Eunsa, 1a., ed. de 1987 y 2a., ed.,  Pamplona, 1994, p. 166.  En igual sentido, CASTELLS, quien sostiene:  «La aparición de España de una red de tráfico de datos personales obrantes en registros públicos a comienzos de la década de los 90, reveló lo que una política puramente promocional del fenómeno informático, sin suficientes alertas en el plano cautelar, podía ocasionar, Pérez Luño ha mencionado «la paradoja dramática», consistente en compensar el retraso en la incorporación al desarrollo tecnológico, con la vanguardia mundial en la piratería del «software», la delincuencia informática y las agresiones informáticas a la libertad». Vid.  CASTELLS ARTECHE, José M., Derecho a la privacidad y procesos informáticos: Análisis de la LORTAD. R.V.A.P. Bilbao, 1997,  p. 251.

(99)       El autor cita como ejemplos de dichas normas, entre otras, las siguientes: la LGT (arts. 111 y 112,  modificado en 1985 y 1990), la ley 19 /1988 de 12 de julio, de auditoría de cuentas (arts. 13 y 14), y la ley 30/1984, de 2 de agosto, de Medidas para la reforma de la función pública (que prohibía registrar datos «sensibles» en los expedientes de personal). Refiriéndose ya específicamente a ficheros automatizados cabe citar la legislación electoral y la ley de la Función estadística pública, de 1982. Vid. GONZALEZ NAVARRO, Francisco. Derecho... Ob. cit., p. 168.

____________________________________________

 

En la LORTAD, se incluyeron las siguientes definiciones: (i) Datos de carácter personal, (ii) Fichero automatizado, (iii) Tratamiento de datos, (iv) Responsable del fichero, (v) Afectado, y (vi) Procedimiento de disociación.

 

En la LOPDP de 1999, el listado de términos aumentó porque la doctrina y jurisprudencia ibérica había hecho serios reparos son la terminología pendular empleada por titulares, usuarios, responsables de los ficheros y hasta los mismos órganos de control de los datos, como la Agencia de Protección de datos. Para corregir la ambigüedad en la terminología aplicable al tratamiento de datos personales, la nueva ley definió con precisión los siguientes términos:

 

  1. a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

 

  1. b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

 

  1. c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 

  1. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

 

  1. e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento de datos respectivo.

 

  1. f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

 

  1. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

 

  1. h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

 

  1. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

 

  1. j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

 

A continuación comentaremos a espacio los siguientes términos:

 

Datos de carácter personal o simplemente datos personales, se considera  cualquier información concerniente a personas físicas identificadas o identificables. Esta definición es idéntica a la prevista en el Convenio de 1981, por ello son válidas las observaciones realizadas en aquél aparte. Sin embargo, la LOPDP incluye entre sus definiciones la de «afectado o interesado», para indicar que se trata de una persona física titular de los datos que sean objeto del tratamiento informatizado, con lo cual abunda sin necesidad sobre el concepto de persona física (identificada o identificable) con el inri de que dicha persona no es en strictu sensu un afectado como lo sostenía la LORTAD, sino también un interesado como adicionó la LOPDP, pues la persona física es el titular de los datos personales o concernido en un tratamiento o procedimiento informatizado que tiene derechos y también deberes, no simplemente obligaciones o cargas como sugería el concepto de solo «afectado».

 

El titular de datos personales o interesado, contextua la idea de toda persona que tiene derechos subjetivos sobre la información relativa a sí misma, aún cuando tal información haya sido reunida por otras personas. Esta visión no sería posible si le anteponemos el calificativo de afectado para referirnos a esa misma persona.

 

La LOPDP, como lo hiciera en su momento la LORTAD, destaca las definiciones de los conceptos de «tratamiento de datos» informatizado o no  y de «fichero» (que la LORTAD le adicionaba un apellido de «automatizado», que resultaba innecesario y equívoco, porque excluía a los ficheros manuales, mecánicos o escriturales).

 

Quizá por ello, la LOPDP al eliminar el término automatizado dado a fichero terminó con el equívoco anotado, puesto que en la definición actual quedan involucrados en el término genérico, los ficheros, bases o bancos de datos tanto los manuales o escritos, como los electrónicos o informáticos, al decir, que el  fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

 

La LOPDP al definir el «Tratamiento de datos»  retomo en su integridad el suministrado por la LORTAD. En efecto, se dice que el Tratamiento de datos son aquellas operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, extiende el tratamiento a todo procedimiento técnico no informatizado y estructura el procedimiento de datos personales, a través de un iter compuesto de etapas o fases que encadenadas por un tratamiento informático, vale decir, con soportes y medios informáticos, electrónicos o telemáticos se dirigen a producir un dato informatizado, con el cual los responsables de la gestión, los titulares de los datos o los usuarios puedan desarrollar cualquier acción jurídico-técnica posible. v.gr. grabación, almacenamiento, bloqueo o interconexión. La definición de tratamiento de datos, destaca el iter informático que en su conjunto produce un proceso de igual carácter, es decir, un proceso informatizado de datos compuesto de fases o etapas, tales como las iniciales, de desarrollo y  terminación.  Estas fases, se estructuran con base en los principios fundamentales de la protección de los titulares de los datos personales.

 

En las definiciones anteriores se exaltan las etapas o fases del tratamiento informatizado de datos personales que conforman un procedimiento ibídem. En efecto, se destaca las fases de recolección, almacenamiento, registro, conservación y la comunicación (Emisión/transmisión y cesión) de datos personales. En tanto, que las acciones informáticas de revisión, actualización, rectificación, bloqueo y cancelación son originadas tras el ejercicio del derecho de información y acceso que tiene toda persona concernida con datos personales; vale decir, tras el ejercicio del derecho de habeas data.

 

Por ello, «la Ley introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; dicho en otros términos, no los entiende sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal al que antes se hizo referencia», según lo destacaba en su momento la Exposición de Motivos de la LORTDA en el numeral 1º .

 

El Responsable del fichero o tratamiento, se considera a la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad contenido y uso del tratamiento. La LOPDP, al definir  al responsable del fichero o tratamiento, retoma la definición de la LORTAD, pero solo agregándole el término «o tratamiento» que esta no lo tenía.

 

En esencia, esta definición contiene los elementos de la definición inmersos en el concepto de «autoridad controladora del fichero«, previsto en el Convenio Europeo de 1981, con la diferencia que en éste se especifican las funciones decisorias acerca de  cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les aplicarán a los ficheros, en tanto que la LOPDP, engloba y amplia el radio de acción, al expresar que dichas decisiones se extienden a «la finalidad, contenido y uso del tratamiento» y no simplemente a la existencia per se de los ficheros o el tratamiento, en particular.

 

Efectivamente, como lo sostiene el profesor González Navarro [100], aparte de los dos sujetos (titular de los datos y el responsable del fichero), en el tratamiento de datos puede intervenir un tercer sujeto que es «el contratista o comisionista» que presta sus servicios de tratamiento informatizado de datos personales dentro de un procedimiento ibídem. Por su parte, la Ley Federal alemana de  protección de datos personales  (LFADP) extiende los efectos del principio de responsabilidad en el tratamiento de datos de los denominados «responsables del fichero» a las personas físicas o jurídicas, públicas o privadas que actúan como  terceros en el mismo (v.gr. Oficinas de servicios informáticos), tanto de los deberes-derechos que estos tienen, como de las sanciones y la obligación de guardar la confidencialidad de los datos.

 

Por ello, la LOPDP al llenó el vacío existente en la LORTAD, al crear y definir al Encargado del tratamiento, como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

 

De otra parte, la LOPDP recoge la misma definición dada en la LORTAD al «procedimiento de disociación», definido como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

 

 

__________________________

(100)        Este tercero, según el art. 27 no puede aplicar o utilizar los datos obtenidos con un fin distinto del que figura  en  el contrato de servicios, ni cederlos a otras personas ni siquiera para su conservación. Igualmente, una vez  cumplida la  prestación contractual, los datos personales deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se presten tales servicios, porque razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un período de cinco años. Ob. ut supra cit., p. 170.

___________________________

 

Este derecho-garantía para el titular de los datos personales y el Estado que debe regular, el tratamiento, uso y utilización de los mismos conforme  a derecho, tiene  aplicación práctica, así: En la distinción de dato anónimo [101], «dato reservado» [102], comúnmente empleado en las normas jurídico-penales y ius-administrativistas españolas. En efecto, a pesar de ser ambos datos de carácter personal deducibles de una persona física, se diferencian en que éste último se predica única y exclusivamente de una persona identificada o identificable, so pena de desvirtuarse, y más aún, no haber existido, si alguna vez eso ocurrió. Tal es el caso,   en el ámbito penal y más concretamente al referirse a los delitos contra la intimidad en el título X, Libro II del Código Penal Español de 1995. Igualmente, en el ámbito administrativo, al referirse a las infracciones al tratamiento informatizado de datos previsto en la LOPDP (arts. 43 y 49).

 

De igual manera,  tiene la aplicabilidad práctica  el procedimiento de disociación cuando se refiere a los datos anónimos, a los efectos de  hacerles perder la determinabilidad de una persona humana a la que le conciernen  los datos de carácter personales. p.e., en los  datos estadísticos, históricos, científicos, investigativos, publicitarios, etc.

 

2.5.3.2.            Principios fundamentales aplicables a las fases del tratamiento de datos personales

 

La institucionalización de «los principios reguladores de la recogida, registro y uso de datos personales«, según sostenía la Exposición de Motivos de la LORTAD, en su momento y agregamos, como en las demás fases o etapas del tratamiento informatizado o no  de datos personales, tales como el almacenamiento, conservación y comunicación constituyen una garantía para el derecho al honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos y libertades constitucionales en el derecho público ibérico.  Por ello, la existencia de los principios fundamentales del tratamiento informatizado de datos personales  sólo  encuentra  validez, eficacia y presentación en la estructuración de sus fases o etapas, tales como la de recolección,  almacenamiento, registro, conservación y comunicación de datos personales, reguladas por la LOPDP e inmersos en el Título II, en los artículos 4º a 12º. Estos son: (i) Calidad de los datos; (ii) Derecho de información en la recogida de datos; (iii) Consentimiento del afectado; (iv) Datos especialmente protegidos; (v) Datos relativos a la salud; (vi) Seguridad de los datos; (v) El deber de secreto; (vi) Comunicación de datos; (vii) Acceso a los datos por cuenta de terceros.

 

La LOPDP, agregó a la lista de principios que traía la LORTAD, los relativos a «La comunicación de datos» y «el acceso a los datos por cuenta de terceros«, pues estos estaban previstos en las Directivas comunitarias de 1995 y 1997 y se requería su urgente transposición a las normas internas de protección de datos personales a efectos de normalizar u homologar los textos normativos comunitarios con los textos normativos de España.

 

___________________________

(101)       Los datos anónimos, que constituyen información de dominio público o recogen información, con la finalidad, precisamente, de darla a conocer al público en general. v.gr. como pueden ser los registros de  la propiedad o mercantiles. Por ello, al determinar el ámbito de aplicación de la LORTAD, ésta excluía en el artículo 2-a la aplicación del tratamiento informatizado de datos personales, a los ficheros de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

(102)           De la interpretación doctrinal de los arts. 197.2 y 200 del Código Penal Español de 1995, se pueden deducir varios conceptos de  dato reservado, a saber: 1. «Dato reservado es cualquier información concerniente a personas físicas identificadas o identificables cuyo conocimiento esta limitado a los usuarios del archivo, registro o fichero automatizado o convencional de acceso restringido. 2.  Dato reservado es aquel que es indispensable libremente por terceros, requiriéndose para ello autorización de su titular. 3. Dato reservado es aquel que potencialmente puede lesionar el derecho a la intimidad de su titular; en lo que respecta a las personas físicas, y cuyo descubrimiento o revelación debe incidir en la esfera «personal o familiar» de su titular… Vid. BAJO FERNANDEZ, Miguel et all. Compendio de derecho penal (Parte Especial). Vol. II. Ed. Centro de Estudios Ramón Areces, S.A. Madrid, 1998, p. 201-202

_______________________

El artículo 11 de la LOPDP, al regular el principio de comunicación de datos, estipuló lo siguiente:

 

  1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  2. Este consentimiento exigido no será preciso: (i) Cuando la cesión está autorizada en una Ley; (ii) Cuando se trate de datos recogidos de fuentes accesibles al público; (iii) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique; (iv) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas; (v) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos; (v) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

 

  1. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

 

  1. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  2. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la LOPDP de 1999.

 

  1. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

 

Por su parte el artículo 12 de la LOPDP, al reglamentar el principio de «Acceso a los datos por cuenta de terceros», sostuvo:

 

  1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

 

  1. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la LOPDP que el encargado del tratamiento está obligado a implementar.

 

  1. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

 

  1. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

Ahora veamos brevemente la aplicación de los demás principios en las diferentes fases o etapas del tratamiento de datos.

 

2.5.3.2.1.         Fase Inicial de recolección de datos

 

En  la  fase  inicial de  recolección  de los datos, se aplicarán los principios de la congruencia y racionalidad, según lo sostenía la Exposición de Motivos de la LORTAD.

 

Además es aplicable a esta fase del tratamiento de datos, el principio de calidad. En efecto, según el artículo 4-1 de la LOPDP, los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

 

Concordantemente con lo anterior, el numeral 7º del mencionado artículo «prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos».

 

Por el principio del consentimiento, o de autodeterminación  (artículo 6 LOPDP), todo tratamiento de datos de carácter personal, y por supuesto, la recolección de los mismos, «requerirá el consentimiento inequívoco» del titular, interesado o persona concernida, pues con él, se «otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su base está constituida por la exigencia del consentimiento  consciente e informado del titular o interesado para que la recogida de datos  sea lícita».

 

Sin embargo, según el numeral 2 del artículo 6 de la LOPDP, no será preciso el consentimiento, en los siguientes casos:  (i) cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; (ii) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (iii) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la LOPDP [103]; (iv) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

___________________

(103)     No obstante lo dispuesto en los apartados anteriores podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo (datos especialmente protegidos: «núcleo duro» de la Intimidad), cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

_____________________

 

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

 

Por el principio de información, previo al principio del consentimiento y concomitante con el ejercicio de algunos derechos (v.gr. derecho de acceso a la información) y posterior con el ejercicio de otros, tales como el  de habeas data, el titular de los datos personales puede informarse plenamente y en forma a priori, de qué datos suyos pudieran ser recolectados y sometidos a tratamiento informatizado o no.

 

Este principio fundamental que también es un derecho subjetivo de la persona concernida, porque le permite al titular de los datos «ser previamente informado de modo expreso, preciso e inequívoco» (artículo 5-1 LOPDP), cuando sean solicitados datos a él referentes y vayan a ser objeto de recolección y tratamiento informatizado. Quizá, por esto es uno de los principios de  importancia capital para el pleno ejercicio del derecho de Hábeas data y los demás derechos y libertades fundamentales, y se aplica no sólo a la fase de recogida de datos sino al conjunto de fases o etapas del tratamiento de datos.

 

2.5.3.2.2.         Fase de almacenamiento de datos

 

En la fase de almacenamiento de datos se aplicarán los siguientes: a) El principio de adecuación, pertinencia y no excesibilidad de los datos con relación al ámbito y las finalidades legítimas (artículo 4-1 LOPDP). Este principio que es válido para la recolección de los datos, lo es también para el almacenamiento, por cuanto, éste se requiere para todo dato personal que sea «sometido a tratamiento» informatizado o no , y obviamente el almacenamiento posterior a la recogida de datos es una fase ineludible del tratamiento; b) El principio del consentimiento (artículo 6-1 Ibid), con igual razonamiento al precedente, se aplica este principio a la fase del almacenamiento de los datos, pues el consentimiento del titular se requiere durante todo el tratamiento; c) El principio de veracidad de la información. Los datos personales serán exactos y puestos al día de forma que respondan con veracidad a la situación real del titular (artículo 4-3 Ibid); d) El principio de información (artículos 5º Ibid), que opera en todo el tratamiento informatizado de la información y que le permite al titular de los datos ejercer los derechos de acceso,  habeas data e impugnación contra actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento o personalidad.

 

El principio del consentimiento en esta fase del tratamiento es importante, porque «otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes», niveles que «se refuerzan singularmente en los denominados ´datos sensibles´, como pueden ser, de una parte, la ideología o creencias religiosas ‑-cuya privacidad está expresamente garantizada por la Constitución en su artículo 16.2-‑ y, de otra parte, la raza, la salud y la vida sexual. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de recopilación mediando dicho consentimiento o una habilitación legal expresa, habilitación que, según exigencia de la propia Ley Orgánica, ha de fundarse en razones de interés general; en todo caso, se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales que expresen las mencionadas características. En este punto, y de acuerdo con lo dispuesto en el artículo 10 de la Constitución, se atienden las exigencias y previsiones que para estos datos se contienen en el Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos con carácter personal, de 1981, ratificado por España».

 

2.5.3.2.3.         Fase de Registro de Datos

 

En  la etapa del Registro de los datos, se aplica: a) El principio de exactitud y completud de los datos. Si los datos personales registrados resultaren ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados,  sin  perjuicio  de  las  facultades  que los titulares de los mismos devenidas del ejercicio del derecho de Hábeas Data –llamados  por  la  LOPDP  «derechos  de  rectificación   y   cancelación» ,  artículo  16– (artículo 4-4 Ibid) [104]. Así mismo, por aplicación de éste principio, podrán ser cancelados los datos «cuando hayan dejado de ser necesarios o pertinentes para la finalidad para cual hubieren sido recabados o registrados» (artículo 4-5 Ibid).

 

Igualmente se aplicarán los principios del consentimiento, principio de información y el principio de seguridad de datos. Este último, como condición sine qua nom  para el registro de datos, puesto que no se registrarán datos personales en ficheros informatizados o no  que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas (artículo 9-2 Ibid).

 

Por el principio de la confidencialidad de los datos, aplicable a todo el tratamiento informatizado de datos, pero particularmente a las fases de registro,  conservación y comunicación de datos, el responsable del fichero y quienes intervengan en «cualquier fase del tratamiento de los datos» personales están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo (artículo 10 Ibid).

 

2.5.3.2.4.         Fase de conservación de los datos

 

En esta fase del tratamiento informatizado se aplicará:

 

__________________________

(104)      Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

  1. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
  2. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.

Cumplido el citado plazo deberá procederse a la supresión.

  1. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación .
  2. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

__________________________

 

  1. a) El principio de la temporalidad de los datos. Aplicable en dos formas: 1. no se serán conservados en forma que permita la identificación del titular de los datos durante un período superior al necesario para los fines en base a los cuales hubieran, salvo que deban mantenerse en su integridad atendiendo al valor histórico que los datos puedan tener de conformidad con el ordenamiento jurídico vigente (artículo 4-5 Ibid); y 2. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el titular de los mismos.

 

  1. b) Por el principio de seguridad de los datos, el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural (artículo 9-1 Ibid).

 

  1. c) Por el principio de tutela de derechos del titular de los datos, integrado por los anteriores principios y los referentes al derecho de habeas data, el titular podrá ejercer el derecho de acceso, a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes –artículo 15-3—

 

2.5.3.2.5.         Fase de comunicación de datos

 

Esta fase del tratamiento informatizado se estructura en la emisión y transmisión de los datos personales, a través de soportes y medios informáticos, electrónicos o telemáticos idóneos para la comunicación o la cesión de los mismos. Se entiende por cesión de datos, toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero; y sobre todo, la actividad de interconexión con otros ficheros y la comunicación de los datos realizada por una persona distinta del titular de los datos personales.

 

En consecuencia, serán  aplicables  los principios de consentimiento, información, confidencialidad y seguridad de los datos, por tener aplicabilidad en todas las fases del tratamiento informatizado.

 

La LOPDP, en el artículo 11º ut supra transcrito mejoró la redacción y entendimiento que la LORTAD, le daba a la «cesión de datos», cuando en el fondo se estaba refiriendo a un fenómeno técnico jurídico más genérico como era la «comunicación de los datos», el cual tiene concordancia con el fenómeno regulado en las Directivas Comunitarias y últimamente en la LOPDP en los artículos 33 y 34, sobre el «Movimiento Internacional de Datos».

 

El principio de libre circulación de datos, aplicable a las comunicaciones de datos personales denominado por la LOPDP, como «movimiento internacional de datos» (artículo 33). En este punto, la Ley traspone la norma del artículo 12 del Convenio 108 del Consejo de Europa, apuntando así una solución para lo que ha dado en llamarse flujo transfronterizo de datos. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida actual de la que las transferencias bancarias, las reservas de pasajes aéreos o el auxilio judicial internacional pueden ser simples botones de muestra. Se ha optado por exigir que el país de destino cuente en su ordenamiento con un sistema de protección equivalente al español, si bien permitiendo la autorización de la Agencia cuando tal sistema no exista pero se ofrezcan garantías suficientes. Con ello no sólo se cumple con una exigencia lógica, la de evitar un fallo que pueda producirse en el sistema de protección a través del flujo a países que no cuentan con garantías adecuadas, sino también con las previsiones de instrumentos internacionales como los Acuerdos de Schengen o las futuras normas comunitarias.

 

2.5.3.3.            Órganos de Protección de los datos personales

 

La LOPDP establece como órganos de la protección de los datos personales a los siguientes: a) La Agencia de protección de datos, que como organismos de régimen jurídico sui géneris cuenta con un Director asesorado con un «Consejo Consultivo»; b) El Registro General de protección de datos, como órgano integrado a la Agencia; la Inspección de Datos y la Secretaría General, como órganos jerárquicamente dependientes del Director de la Agencia (artículo 11-3, R.D.núm.428/1993, de 26 de Marzo).; y c) Órganos de protección de datos de las Comunidades autónomas.

 

2.5.3.3.1.         La Agencia de Protección de Datos o APD

 

La Agencia de Protección de Datos Española,  es la entidad pública, con personalidad jurídica propia y plena capacidad pública  y privada, que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones, con un régimen jurídico sui géneris (integrado por la LOPDP y por un Estatuto propio dictado por el Gobierno R.D.núm.428/1993, de 26 de Marzo).

 

La Agencia, tiene como objetivo prioritario velar por el cumplimiento de la legislación en materia de protección de datos personales informatizados en España, pero particularmente, la garantía del cumplimiento y aplicación de las previsiones contenidas en la Ley Orgánica 15/1999, de 13 de Diciembre, sobre la Protección los Datos de Carácter Personal y los derechos y libertades fundamentales e intereses legítimos implicados en ella.

 

La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el  establecimiento  de un mandato fijo que sólo puede ser acortado por un numerus clausus de causas de cese.

 

La Agencia de Protección de datos, según el artículo 37 de la LOPDP tendrá como funciones, las siguientes:

 

  1. a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

 

  1. b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

 

  1. c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.

 

  1. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

 

  1. e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
  2. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

 

  1. g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.

 

  1. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

 

  1. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
  2. j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

 

  1. k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

 

  1. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

 

  1. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46 («Infracciones de las Administraciones Públicas».
  2. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

 

2.5.3.3.2.         El Director de la Agencia de Protección de Datos

 

El Director de la Agencia de Protección de Datos,  dirige la Agencia y ostenta su representación. Prioritariamente el Director hará cumplir y cumplirá todo lo atinente a la legislación sobre tratamiento informatizado de datos personales y en su carácter de funcionario ejecutor de las políticas, recomendaciones y sugerencias de la Agencia de Protección de Datos, velará y controlará el ejercicio de los derechos de información,  Hábeas Data (acceso, actualización, rectificación, bloqueo y cancelación de datos) y el pleno de derechos y libertades fundamentales e intereses legítimos.

 

El Director será nombrado, de entre quienes componen el consejo Consultivo, mediante Real Decreto, por un período de cuatro años. Cesará antes de la expiración del  período, por las siguientes causas: 1. A petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo; 2. Por incumplimiento grave de sus obligaciones, 3. Por incapacidad sobrevenida para el ejercicio de su función, y, 4. por incompatibilidad o condena por delito doloso.

 

El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

 

El Director de la Agencia, tiene una gama variopinta de funciones, tales como las de Dirección, de Gestión y designación, que apuntan a determinar que su cargo se desempeña con dedicación absoluta, plena independencia y total objetividad, y por ello no estará sujeto a mandato imperativo, ni recibirá instrucciones de autoridad alguna.

 

2.5.3.3.3.         El Registro de Protección de Datos        

 

El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. Serán objeto de inscripción en el Registro General de Protección de Datos:

  1. a) Los ficheros de que sean titulares las Administraciones Públicas.
  2. b) Los ficheros de titularidad privada.
  3. c) Las autorizaciones a que se refiere la LOPD
  4. d) Los códigos tipo a que se refiere el artículo 32 de la LOPD
  5. e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

 

Según el numeral 3º del artículo 39 de la LOPDP, por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

 

2.6.      LAS DIRECTIVAS 95/46/CE y 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO DE 1995 Y 1997, RESPECTIVAMENTE

 

Las Directivas comunitarias hacen referencia, la primera de 1995, a los principios, derechos y garantías de los titulares de los datos personales generales y sensibles y las fases del proceso informatizado o no de los datos y a la «circulación de datos». La segunda de 1997 hace referencia a la fase de comunicación del proceso informatizado de datos y en los principios y garantías de tutela de los titulares de los datos personales.

 

2.6.1.   LA DIRECTIVA 95/46/CE, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

 

La  Directiva 95/46/CE., en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, contiene una estructura normativa  sui géneris muy propia de las normas comunitarias europeas, pertenecientes a las fuentes del llamado Derecho Derivado Comunitario [105]

 

La Directiva está dividida en dos grandes partes: una, de carácter interpretativo o hermenéutico; y otra, de carácter normativo propiamente dicho, y por ende con efectos jurídicos,  dividida  en  capítulos,  secciones y  artículos. La primera parte, contiene un amplísimo número de considerandos, 72 en total, los cuales constituyen la exposición de motivos de la norma jurídica; vale decir, la parte de interpretación hermenéutica plasmada por el propio legislador comunitario a fin de desentrañar y justificar el cuerpo del texto normativo.

_________________________

(105) Este  derecho  escrito  es el creado por los organismos comunitarios (El Parlamento, La Comisión y El Consejo, especialmente). Comprende en primer término, los actos jurídicos expresamente previstos en  los Tratados de creación de la CE (hoy UE, Unión Europea); actos que contienen reglamentaciones obligatorias para los Estados Miembros. Estos son: los Reglamentos, LAS DIRECTIVAS, y las Decisiones dirigidas a particulares y al Estado Respectivo; así como las Recomendaciones o razones que emanan del Tratado de la CECA, y los Acuerdos Internacionales que conciernen a la Comunidad Europea. Mis trabajos: Las fuentes del derecho comunitario europeo. En: Revista FORO UNIVERSITARIO. Ed. UNED, Univ. de Nariño, Núm. 15,  Pasto, 1988, p.65-75; y, Los denominados recursos ante los Tribunales de Justicia de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995, p. 11 y ss.

__________________________

La segunda parte, se estructura así: Capítulo I. Disposiciones Generales: Objetivo de la Directiva (art.1), Definiciones (art.2), Ámbito de aplicación (art.3), Derecho nacional aplicable (art.4). Capítulo II. Condiciones generales para la licitud del tratamiento de datos personales: Secc. I. Principios Relativos a la Calidad de datos (art. 6). Secc. II. Principios Relativos a la Legitimación del Tratamiento de datos (art. 7). Secc. III. Categorías Especiales de tratamiento (arts.8 y 9). Secc. IV. Información del interesado (arts.10 y 11). Sec. V. Derecho de Acceso del interesado a los datos (art.12). Secc. VI. Excepciones y limitaciones (art.13). Secc.VII. Derecho de Oposición del interesado (art. 14 y 15). Secc. VIII. Confidencialidad y Seguridad del Tratamiento (arts. 16 y 17). Sec. IX. Notificación (arts. 18 a 21). Capítulo III. Recursos Judiciales, Responsabilidad y Sanciones (arts. 22 a 26). Capítulo IV. Códigos de Conducta (art.27). Capítulo VI. Autoridad de control y grupo de protección de las personas en lo que respecta al tratamiento de datos personales (arts. 28 a 30). Cap. VII. Medidas de ejecución comunitarias (art. 31). Disposiciones Finales (art.32 a 34).

 

Los principios de protección a las personas físicas (identificadas o identificables, no anónimas  [106]) en el tratamiento informatizado o manual (aunque sólo extensible a los denominados ficheros no a las  carpetas de datos) [107] de datos personales, previstos en la Directiva, tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos. Estas obligaciones, se refieren en particular, a la calidad de datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento. De otra parte, estos principios hacen referencia a los derechos otorgados a las personas cuyos datos sean objeto de tratamiento, tales como, el de ser informados acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias [108].

 

2.6.2.   LA DIRECTIVA 97/66/CE, relativa a la protección de los datos personales y de la intimidad en relación con el sector de las telecomunicaciones y, en particular, la red digital de servicios integrados (RDSI) y las redes móviles digitales públicas

 

La fase  informatizada de comunicaciones  (o «telecomunicaciones» como prefiere, la Directiva) de datos personales con el desarrollo constante  y  revolucionario  de  las nuevas tecnologías de la información y comunicación (TIC) [109] , día a día, se va super especializando cara a los intereses, derechos y libertades fundamentales dignos de protección  y garantía  por parte del Estado e incluso de los mismos  particulares; así como el de preservar los principios de la libre circulación de los datos y la confidencialidad de las comunicaciones [110] que transiten entre los Estados de la UE, conjuntamente con los cada vez, paradójicamente por el mismo avance, espectros de riesgo y vulnerabilidad que crecen geométricamente y se concretan; entre otras actividades,  en el acceso, la transformación o la interceptación no autorizada de datos personales y continentes en bases de datos públicas o privadas, a través de medios muy sofisticados de tipo informático, electrónico o telemático. Acciones humanas  indebidas, abusivas o ilegales  que generan  reproche social y normativo que  en España van, desde las sanciones administrativas por infracciones (o contravenciones) al régimen del tratamiento informatizado o no de datos personales, previsto en la LOPDP,  hasta las sanciones penales por estar incursos en formas delictuales contra los derechos y libertades fundamentales (entre ellos, la intimidad, la imagen y el honor, la información, etc.)  [111].

 

_____________________

(106)     En similar sentido, los considerandos 25, 26, 68 y 72 de la Directiva.

(107)     Según el considerando 27 de la Directiva  sostiene que «La protección de las personas debe aplicarse tanto al tratamiento automático de  datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva».

(108)        Para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. Por tanto, los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado. Los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado (Considerando 26).

(109)          En efecto, son los Estados de la UE, quienes mediante sus disposiciones normativas, garanticen, la confidencialidad de las comunicaciones realizadas a través de las redes públicas de telecomunicaciones y  de  los servicios públicos de telecomunicaciones. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de interceptación o vigilancia de las comunicaciones por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando esté autorizada legalmente (Considerando 5).

(110)       El Parlamento Europeo y el Consejo de la Unión Europea (UE), consciente de dichos avances y de que la  Directiva 95/46/CE, constituye un buen instrumento, pero jamás suficiente,  de defensa de los derechos y  libertades fundamentales de la persona humana, ha venido trabajando una propuesta común que se concrete en una Directiva Comunitaria que refuerce y especialice la protección de esos intereses y derechos, ya que «en la actualidad están apareciendo en la UE nuevas redes digitales públicas avanzadas de telecomunicación que crean necesidades específicas en materia de protección de datos personales y de la intimidad de los usuarios; que el desarrollo de la sociedad de la información se caracteriza por la introducción de nuevos servicios de telecomunicaciones; que el desarrollo transfronterizo de estos servicios, como el vídeo por pedido o la televisión interactiva, depende en parte de la confianza de los usuarios en que no se pondrá en peligro su intimidad» (C. 2). Texto Completo de la Proposición Común (CE) nº 57/96, relativa a la protección de los datos personales y de la intimidad en relación con el sector de las telecomunicaciones y, en particular, la red digital de servicios integrados (RDSI) y las redes móviles digitales.  En: www.cc.cec Database CELEX.

(111)        RIASCOS GOMEZ, Libardo Orlando. El delito informático contra la Intimidad de las personas: Una visión constitucional y penal.  En: Revista FORO UNIVERSITARIO nº 22 de Noviembre de 2004, ISSN 1692-7923, Universidad de Nariño, Pasto, p. 9 a 40.

____________________________

La Directiva 97/66/CE, constituye una norma jurídica comunitaria  que refuerza, amplía y concreta  el régimen previsto en la Directiva 95/46/CE, sobre protección a los derechos y libertades fundamentales (particularmente, el derecho a la intimidad) de las personas humanas, cuando sus datos han sido tratados con medios informáticos, electrónicos o telemáticos, haciendo énfasis en la fase de transmisión (emisión/recepción) de datos. En tal virtud las normas de la Directiva 95/46/CE, se aplicarán por extensión, en cuanto a  los recursos judiciales, régimen de responsabilidad y sanciones (art. 14-2); así mismo se podrá limitar el alcance de las obligaciones y derechos previstos en los denominados por la Directiva 95, «Principios relativos a la calidad de datos» (art.5 y 6), y los datos de «categorías especiales de tratamiento» (art. 8-1 a 8-4), cuando dichas limitaciones constituyan una medida necesaria para proteger la seguridad nacional, la defensa, la seguridad pública, la prevención, la investigación, la detección y la persecución de delitos o la utilización no autorizada del sistema de telecomunicaciones (art. 14-1).

 

La Directiva consta de una parte interpretativa y hermenéutica (26 considerandos) y un cuerpo normativo, con los siguientes temas: Objetivo y ámbito de aplicación (art. 1), Definiciones (art. 2), Servicios regulados (art.3), Seguridad (art.4), Confidencialidad de las comunicaciones (art. 5), Tráfico y facturación (art.6), Facturación desglosada (art. 7), Presentación y limitación de la identificación de la línea llamante y conectada (art. 8), Excepciones (art. 9), Desvío automático de llamadas (art.10), Guías (11), llamada no solicitada (art. 12), Características técnicas y normalización (art. 13), Extensión del ámbito de aplicación de determinadas disposiciones de la Directiva 95/46/CE (art. 14), Aplicación de la Directiva (art.15), y Destinatarios (art. 16).

 

 

 

BIBLIOGRAFIA GENERAL

 

(1)         AA.VV. Colección de discos compactos de Aranzadi. Ed. Aranzadi, Pamplona, 1997.

(2)        AA.VV. Microsoft® Encarta® 2007. © 1993-2006 Microsoft Corporation. Reservados todos los derechos.

(3)        AA.VV. Documentación informática. Serie Amarilla. Tratados Inter. núm.2.

(4)        BAJO FERNANDEZ, Miguel et all. Compendio de derecho penal (Parte Especial). Vol. II. Ed. Centro de Estudios Ramón Areces, S.A. Madrid, 1998

(5)        BLANDON FIGUEROA, José. El amparo contra particulares.  http://www.pa-digital.com.pa/

(6)        CASTELLS ARTECHE, José M., Derecho a la privacidad y procesos informáticos: Análisis de la LORTAD. R.V.A.P. Bilbao, 1997,

(7)        DAVARA RODRIGUEZ. Miguel A. Manual de derecho informático. Ed. Aranzadi S.A., Pamplona (Nav.), 1997, pág. 56-61.

(8)        DE LEON BATISTA, Hernán. Amparo de garantías: ¿un recurso muy especial?. En: http://mensual.prensa.com/

(9)         DAPKEVICIUS, Rubén Flórez. Protección de Datos Personales de Informes Comerciales: Ley 17838 de Uruguay. Invitado en el WEB: El Derecho Público Mínimo. En: http://www.udenar.edu.co/derechopublico

(10)      FAIREN GUILLEN, Víctor. El Hábeas Data  y su protección actual sugerida en la Ley Española de Informática de 29 de Octubre de 1992. En: Revista de Derecho Procesal. Núm.3, Madrid, 1996.

(11)      GONZALEZ NAVARRO, Francisco. Derecho administrativo  español. Ed. Eunsa, 1a., ed., 1987 y 2a., ed., 1994, Pamplona.

(12)      MOEYKENS, Federico Rafael. Derecho a la libertad informática: consecuencias del Habeas Data. Revista de Derecho Informático. Alfa-Redi nº 046, Mayo de 2002. Vía Internet.

(13 )     HEREDERO HIGUERAS, Manuel. Legislación Informática. Ed. Tecnos, Madrid, 1994.

(14)      MIRABELLI, «Banche dati e contemperamento degli interessi», Bance dati telematica e diritti della persona, Cedam, Padova, 1984.

(15)      ORTI VALLEJO, Antonio. Derecho a la intimidad e informática (Tutela de la persona por el uso de ficheros y tratamiento informáticos de datos personales. Particular atención a los ficheros de titularidad privada). Ed. Comares, Peligros (Granada), 1994.

(16)       PORCELL D., Kenia I. El Amparo de Garantías Constitucionales, una Acción Inaccesible (Parte I y II) Abogada Asistente Secretaría de Asuntos Legales, Procuraduría General de la Nación. En: http://www.ministeriopublico.gob.pa/

(17)      PEREZ JARAMILLO, Rafael. El Hábeas Data no admitidos y argumentos de rechazo conforme a los fallos de la Corte. Vía Internet.

(18)      RIASCOS GOMEZ, Libardo O. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España).

(19)      ————————. Los datos personales de carácter financiero en los proyectos de ley estatutaria de Hábeas Data de origen parlamentario y gubernamental en Colombia. Ensayo jurídico para la Revista Electrónica Española de Derecom, Universidad de Valladolid (España). Vía Internet En: www.derecom.com.es

(20)        ———————–. El derecho a la Intimidad, la visión ius-informática y los delitos relativos a los datos personales. Tesis Doctoral, Universidad de Lleida, Lleida (España).

(21)      ————————-. Los denominados recursos ante los tribunales de Justicia de la UE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia), 1995.

(22)      ————————–. Las fuentes del derecho comunitario europeo. En: Revista FORO UNIVERSITARIO. Ed. UNED, Univ. de Nariño, Núm. 15,  Pasto, 1988, p.65-75; y, Los denominados recursos ante los Tribunales de Justicia de la CE y Andino. Ed. UNED, Universidad de Nariño, Pasto (Colombia).

(23)      SEMPERE RODRIGUEZ, César. Artículo 18: Derecho al honor, a la intimidad y a la imagen..

(24)      SOUVIRON, José M. En torno a la juridificación del poder informático del Estado. R.V.A.P. Núm. 40, Sep-Dic., Bilbao, 1994, cita núm. 67.

(25 )     TANUS, Gustavo D. Protección de datos personales: principios, derechos, deberes y obligaciones.  En: http://www.protecciondedatos.com.ar

 

Sitios de WEB:

http://www.defensoriadelpueblo.gob.pa/

http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

http://www.pcm.gob.pe/Transparencia/

http://www.privacyinternational.org/countries/uruguay/Proyecto-ley-Habeas-Data-1002.pdf.

 

 

 

10Nov/15

Sentencia Tribunal Constitucional del Perú, 21 diciembre 2007

Expediente nº 06164-2007-HD/TC.

RESOLUCIÓN DEL TRIBUNAL CONSTITUCIONAL

Lima, 21 de diciembre de 2007

VISTO

El recurso de agravio constitucional interpuesto por don Jhonny Robert Colmenares Jiménez contra la sentencia de la Tercera Sala Civil de la Corte Superior de Justicia de Arequipa, de fojas 155, su fecha 12 de setiembre de 2007, que declara improcedente la demanda de autos; y,

ATENDIENDO A

1.- Delimitación del petitorio

1.- Que con fecha 17 de julio de 2006 el recurrente interpone demanda de hábeas data contra el Banco Continental-sucursal de Arequipa, solicitando se le ordene:
a) rectificar la información de riesgos referida al reporte de deuda inexistente por S/. 10, 020.71, que se encuentra en la Central de Riesgos de la Superintendencia de Banca y Seguros (SBS) con la calificación de cliente pérdida al cien por ciento (100%) en perjuicio de su perfil crediticio, reclasificándolo como cliente normal al 100%;
b) suprimir los reportes deudor por la cantidad indicada, que en contra de la percepción crediticia del titular – demandante como cliente pérdida al 100%, viene informando a la Central de Riesgos de la SBS; y
c) el reembolso de los gastos notariales incurridos y de las costas y costos que irrogue el presente proceso, a ser liquidados en ejecución de sentencia. Manifiesta que se lesiona su derecho a la autodeterminación informativa.

2.- Tipos de hábeas data

2. – Que este Colegiado considera pertinente, a efectos de cumplir la función pedagógica de sus resoluciones, precisar los tipos de hábeas data que se encuentran establecidos tanto en la Constitución Política(art. 200, inciso 3) como en el Código Procesal Constitucional (art. 61 °). En tal sentido, los tipos de hábeas data son los siguientes:

1.- Hábeas Data Puro: Reparar agresiones contra la manipulación de datos personalísimos almacenados en bancos de información computarizados o no.

1.1.- Hábeas Data de Cognición: No se trata de un proceso en virtud del cual se pretende la manipulación de los datos, sino efectuar una tarea de conocimiento y de supervisión sobre la forma en que la información personal almacenada está siendo utilizada.

1.1.1.- Hábeas Data Informativo: Está dirigido a conocer el contenido de la información que se almacena en el banco de datos (qué se guarda).

1.1.2.- Hábeas Data Inquisitivo: Para que se diga el nombre de la persona que proporcionó el dato (quién).

1.1.3.- Hábeas Data Teleológico: Busca esclarecer los motivos que han llevado al sujeto activo a la creación del dato personal (para qué).

1.1.4.- Hábeas Data de Ubicación: Tiene como objeto que el sujeto activo del poder informático responda dónde está ubicado el dato, a fin de que el sujeto pasivo -el accionante- pueda ejercer su derecho (dónde).

1.2.- Hábeas Data Manipulador: No tiene como propósito el conocimiento de la información almacenada, sino su modificación.

1.2.1.- Hábeas Data Aditivo: Agrega al banco de datos una información no contenida. Esta información puede consistir: en la actualización de una información cierta pero que por el paso del tiempo se ha visto modificada; también puede tratarse de una información que tiene como objeto aclarar la certeza de un dato que ha sido mal interpretado; o incorporar al banco de datos una información omitida que perjudica al sujeto pasivo.

1.2.2.- Hábeas Data Correctivo: Tiene como objeto modificar los datos imprecisos y cambiar o borrar los falsos.

1.2.3.- Hábeas Data Supresorio: Busca eliminar la información sensible o datos que afectan la intimidad personal, familiar o cualquier otro derecho fundamental de la persona. También puede proceder cuando la información que se almacena no guarda relación con la finalidad para la cual ha sido creado el banco de datos.

1.2.4.- Hábeas Data Confidencial: Impedir que las personas no autorizadas accedan a una información que ha sido calificada como reservada. En este tipo, se incluye la prohibición de datos que por el paso del tiempo o por sentencia firme se impide su comunicación a terceros.

1.2.5.- Hábeas Dala Desvinculador: Sirve para impedir que terceros conozcan la identificación de una o más personas cuyos datos han sido almacenados en función de determinados aspectos generales como la edad, raza, sexo, ubicación social, grado de instrucción, idioma, profesión.

1.2.6.- Hábeas Data Cifrador: Tiene como objeto que el dato sea guardado bajo un código que sólo puede ser descifrado por quien está autorizado a hacerlo.

1.2.7.- Hábeas Data Cautelar: Tiene como propósito impedir la manipulación o publicación del dato en el marco de un proceso, a fin de asegurar la eficacia del derecho a protegerse.

1.2.8.- Hábeas Data Garantista: Buscan el control técnico en el manejo de los datos, a fin de determinar si el sistema informativo, computarizado o no, garantiza la confidencialidad y las condiciones mínimas de seguridad de los datos y su utilización de acuerdo con la finalidad para la cual han sido almacenados.

1.2.9.- Hábeas Data Interpretativo: Tiene como objeto impugnar las valoraciones o conclusiones a las que llega el que analiza la información personal almacenada.

1.2.10.- Hábeas Data Indemnizatorio: Aunque no es de recibo en nuestro ordenamiento, este tipo de habeas data consiste en solicitar la indemnización por el daño causado con la propalación de la información.

2.- Habeas Data Impuro: Solicitar el auxilio jurisdiccional para recabar una información pública que le es negada al agraviado.

2.1.- Hábeas Data de Acceso a Información Pública: Consiste en hacer valer el derecho de toda persona a acceder a la información que obra en la administración pública, salvo las que están expresamente prohibidas por la ley.

Aunque el Código hace una relación de los posibles casos de acumulación objetiva, las pretensiones en el hábeas data no tienen por qué entenderse como limitadas a los casos que establece la ley. Hay posibilidad de extender su alcance protector a otras situaciones o alternativas que pudiesen darse en la realidad. La propuesta del artículo 64° es simplemente enunciativa.

3.- Análisis del caso

3.- Que en el presente caso el recurrente afirma que el banco demandado ha suministrado información errónea a la Central de Riesgos de la SBS ya que él no tiene deuda pendiente con el banco como se demuestra con los reportes de las consultas de movimiento por usuario y consulta de movimiento cobranza de la tarjeta de crédito Conticard nº 4921 1201 2032 7501, que emitió el banco a nombre del actor.

4.- Que como se advierte la pretensión del recurrente se encuentra circunscrita a la rectificación y supresión de los datos contenidos en los reportes emitidos por la Central de Riesgos de la SBS, que lo califica como cliente pérdida. Se trata, así, de un hábeas data correctivo.

5.- Que sin embargo de autos fluye la existencia de diversos hechos controvertidos directamente vinculados a la deuda que mantendría el recurrente con el Banco Continental; esto es, si pagó o no la deuda ascendente a S/ 11, 020.71, pues solo desvirtuando este hecho se podrá modificar los datos contenidos en la Central de Riesgo de la SBS. Además que existe un proceso sobre obligación de dar suma de dinero seguido por el banco ahora demandado que aún esta pendiente de resolución y en el que se podrá determinar la existencia, o no, de la deuda.

6.- Que en tal sentido la demanda incoada no puede ser atendida debido a las limitaciones del proceso por su carencia de estación probatoria, conforme a lo establecido por el artículo 9 del Código Procesal Constitucional. Esta conclusión no es óbice para que el recurrente haga valer la presente en un proceso ordinario dotado de estación probatoria, para lo cual queda a salvo su derecho.

Por estos considerandos, el Tribunal Constitucional, con la autoridad que le confiere la Constitución Política del Perú

RESUELVE

1.- Declarar IMPROCEDENTE la demanda de hábeas data.

2.- Declarar que queda a salvo el derecho del recurrente para hacer valer su pretensión en la vía ordinaria.

Publíquese y notifíquese.
MESÍA RAMÍREZ
VERGARA GOTELLI
ÁLVAREZ MIRANDA

15Sep/15

Procedencia de las medidas cautelares en el Hábeas Data

Sumario

  1. Una acción constitucional moldeada por la doctrina y jurisprudencia.
  2. Breves consideraciones respecto a la cuestión cautelar en el proceso.
  3. La cuestión cautelar en el hábeas data.
  4. Requisitos de procedencia.
  5. Posibles medidas cautelares específicas a prever en una ley de hábeas data o de protección de datos.
  6. Conclusiones.

1. Una acción constitucional moldeada por la doctrina y la jurisprudencia

A seis años de su expresa recepción en el texto de la Constitución Nacional [1] , todavía no se ha dictado la pertinente legislación reglamentaria respecto del instituto del hábeas data.

Tras el veto total del ejecutivo a la ley Nº 24.745, sancionada en diciembre de 1996, la que entre otros aspectos, incluía lo referente al hábeas data [2] , no ha dictado el Congreso otra norma que reglamente la acción, ha pesar de existir varios proyectos en tal sentido en el seno del mismo.

Si bien queda claro que tal ausencia de una norma específica a nivel de ley, no invalida en modo alguno su directa operatividad, en razón de lo dispuesto en la norma constitucional, sí plantea a los efectos de su tramitación procesal, una serie de incertidumbres, las que deben de ser superadas «atendiendo a las modalidades y finalidades previstas en la Constitución» [3] .

Recaída pues, sobre los actuarios de la realidad forense, la tarea de hacer funcionar en la realidad tal instituto protectivo, ha sido pues, la labor de los mismos, la de los trabajos de la doctrina y la jurisprudencia de los tribunales, la que a lo largo de todo este tiempo, ha ido perfilando las características distintivas de la acción [4] .

Consagrado en forma expresa en nuestro ordenamiento jurídico por la reforma constitucional de 1994 en el tercer párrafo del artículo 43, el cual ,tal como lo expresa Sagües, «…da las bases sustanciales del hábeas data, concibiéndolo como una especie del amparo, ya que lo presenta como una variante de esta acción, después de describir a la de amparo» [5] .

La Constitución Nacional ha instituido en virtud de dicha cláusula al hábeas data como una acción de amparo especial que permite a toda persona tomar conocimiento de los datos o informaciones a ella referidos o que lo afecten o puedan afectarla, alterando o restringiendo indebidamente sus derechos, especialmente de intimidad y a la veracidad de su imagen, y una vez comprobada la inexactitud, falsedad, carácter discriminatorio o lo indebido de la difusión a terceros de los mismos, otorga al afectado la potestad, a través de la misma, de exigir su supresión, rectificación, modificación, actualización, o confidencialidad, según fuere al caso.

No toda la doctrina concuerda con la decisión constitucional de configurar al hábeas data como una especie del amparo. Por citar un ejemplo, Almark y Molina Quiroga [6] , entienden que respecto de tal circunstancia que: » Al consagrar el hábeas data, asimilándolo a la acción de amparo, se corre el serio riesgo de desvirtuar la finalidad del instituto. Mientras al amparo como remedio o vía procesal de naturaleza excepcional, requiere que exista «ilegalidad o arbitrariedad manifiestas, el «hábeas data», en cambio, tiene una finalidad muy específica, que es otorgar a toda persona un medio procesal eficaz para proteger su intimidad, o evitar que terceras personas hagan un uso indebido de información de carácter personal que le concierne».

Respecto de la discutida cuestión de su naturaleza procesal, podemos distinguir en la doctrina dos posturas: la primera, que en atención a la regulación constitucional nacional, la entiende como una especie particular, dentro del género del amparo, sin que resulte alcanzada, a mérito de tal especificidad, por lo dispuesto en la primera parte del art. 43. En tanto la segunda, que diferencia la figura por entero del amparo, dotándola de perfiles propios.

Más allá de la diferencia de posturas, como es observable, la diferencia de las mismas no es tal, para que en la práctica de las cosas, la adopción de una u otra lleve a soluciones diametralmente opuestas. Pero entendemos que en el presente estadio de formulación de la acción, resulta prudente no escindirla por entero del amparo, a fin de posibilitar la consideración y la aplicación a la resolución de problemas que se presenten, la pródiga doctrina y jurisprudencia de la materia del amparo.

2. Breves consideraciones respecto a la cuestión cautelar en el proceso.

Podemos definir a la medidas cautelares procesales como aquellas de carácter precautorio que cumplen la función de significar un anticipo asegurativo de la garantía jurisdiccional, para impedir que el derecho cuyo reconocimiento se pretende obtener por medio del proceso, pierda su virtualidad o eficacia hasta el pronunciamiento de la sentencia definitiva [7] .

Concordamos por ello, con que la medida cautelar se otorga, más que en interés del solicitante de la misma, en el de la administración de justicia [8] . Ya que, «… cuando el Estado pone su autoridad al servicio del acreedor en peligro, no actúa sólo en defensa a satisfacción de un interés privado, sino en beneficio del orden jurídico en su integridad. La jurisdicción, por también en este caso, no funciona uti singulo, sino uti civis. Tales decisiones se dirigen más que ha defender los derechos subjetivos, a garantizar la eficacia, y por así decirlo, la seriedad de la función jurisdiccional, el imperium judicis» [9] .

Hay por tanto, siempre en la cuestión, un «orden público cautelar», al decir de Acosta [10] , que lleva a que el acto de la ponderación y concesión (o no ) de las mismas trascienda el mero interés particular, circunstancia que se acentúa en la materia del hábeas data, atento su especial carácter de instituto de resguarda de derechos personales básicos, de cuño constitucional y universalmente reconocidos.

3. La cuestión cautelar en el hábeas data.

En la substanciación de la acción de hábeas data, como en cualquier otro tipo de proceso [11] , resulta, en principio, susceptible de solicitar medidas cautelares.

Observando la jurisprudencia respecto del punto [12] , que no resulta muy abundante, encontramos que el principal obstáculo a la concesión de cautelares en el hábeas data resulta ser la aplicación de la tradicional jurisprudencia respecto de la imposibilidad de dictar medidas en tal carácter que se confundan con el objeto perseguido en el litigio [13] .

Pero tal ponderación no puede constituirse, sin más, en una valla para la procedencia de las mismas, atento al hecho que todo lo referente a las medidas cautelares no debe ser interpretado con carácter restrictivo [14] , por resultar comprometido en las mismas ese orden público cautelar al que hiciésemos referencia en el apartado anterior.

Asimismo, el hecho de que el objeto de una medida cautelar coincida —total o parcialmente—con el objeto de la pretensión principal, no invalida por sí la cautela solicitada. Sí, en cambio, exige un mayor análisis de los elementos en que se funda la solicitud [15] .

Lo antedicho, obviamente, no releva a quien solicita una cautelar en el proceso de hábeas data, de acreditar la existencia de los presupuestos de procedencia de la misma, de modo y con los alcances impuestos a cualquier peticionario de una cautelar.

Entendemos que el estándar de procedencia de las cautelares en el hábeas data, resulta la ponderación de si la permanencia en el tiempo de la situación de hecho aparentemente irregular, hasta el dictado de la sentencia, pueda convertir en ineficaz los términos de la misma en virtud de la difusión anterior de tales datos o informaciones. Ello se halla en directa relación con la capacidad de los mismos para influir de modo definitivo, con perjuicio del derecho que se aseguraría en la sentencia, en el ánimo de quienes sabrían el dato o datos en cuestión [16] .

4. Posibles medidas cautelares específicas a prever en una ley de hábeas data o de protección de datos.

A mérito de lo expresado por la doctrina más autorizada, así como de las líneas juriprudenciales que se han trazado respecto del instituto, entendemos que a los fines de lograr una mayor eficacia de la acción, la reglamentación concreta del instituto de hábeas data debería receptar, en materia de medidas cautelares, las siguientes de naturaleza específica:

a) Anotación de dato litigioso: En opinión de Palazzi [17] , tal medida «… tendría como fundamento la medida de cautelar de anotación de litis pero en el propio registro demandado, con la obligación de informar, al difundir el dato a terceros que el mismo está siendo cuestionado en un litigio. A nuestro juicio, resultan aplicables al caso los arts. 229 y 232 del Código Procesal Civil y Comercial». La medida se halla ya establecida en diversas legislaciones extranjeras, como la Suiza e igualmente estaba contemplada en el proyecto de hábeas data del Senado de la Nación que desechó la Cámara de Diputados.

b) Suspensión provisional de la difusión de datos: Resulta una especie dentro del género de las medidas de no innovar. Supone la indisponibilidad del dato o datos en cuestión para su difusión a terceros, en tanto se substancia el proceso. Entendemos procedente la misma, atento su mayor carácter restrictivo que la anterior en cuanto a la circulación de la información, sólo en los casos de información sensible, de discriminación y en aquellos en que el dato tenga la virtualidad de, una vez conocido por terceros, ser de muy dificultosa o nula posibilidad de reparación posterior por la sentencia a dictarse en el proceso.

5. Conclusiones

Lo referente a las cautelares en el hábeas data, en cuanto a su procedencia, no presenta mayores rasgos distintos de la cuestión a nivel general del proceso. Entendemos plenamente válidas la solicitud y concesión de tales medidas, cuyo solicitante igualmente deberá cumplimentar con las requisitos requeridos para posibilitar el dictado de las mismas.

En donde sí se aprecia la especificidad del instituto en cuestión, es en cuanto a las medidas en particular susceptibles de aplicarse en el trámite del hábeas data. La especificidad propia de la acción y la especial naturaleza de la misma, en relación al objeto litis, nos lleva al convencimiento que en esta cuestión, el logro de la mayor eficacia práctica y aseguramiento de los resultados del proceso, va necesariamente unido al establecimiento de medidas específicas para este tipo de proceso, tal como ocurre en la mayoría de los ordenamientos provinciales,  que en tipificado de la medida cautelar de la suspensión de los efectos del acto administrativo, en los procesos contenciosos administrativos.

A falta de la consagración específica en el presente de tales medidas, entendemos procedente conceder, llegado al caso, una cautelar con alguno de los alcances detallados en el apartado anterior, con base en el artículo 232 del CPCCN.


[1] Arts. 43, 3º del texto reformado del año 1994.

[2] La citada norma iba mucho más allá de la mera reglamentación del instituto del hábeas data, fijando el marco regulatorio a que debía supeditarse el manejo de la información en general, tanto de la órbita pública como privada, estableciendo asimismo la autoridad de aplicación del caso. Si bien escapa al presente la consideraciones sobre el mismo, somos de la opinión, coincidiendo con Palazzi, que la reglamentación del hábeas data debe ser realizada por una norma autónoma que contemple tan sólo los aspectos procesales del mismo, ya que un marco regulatorio de la información en general, no traería de por sí mayor claridad o seguridad jurídica respecto de la utilización del hábeas data como acción procesal.

[3] Conclusión Nº 4 del Tema B de la comisión de Derecho Procesal Constitucional y Administrativo del XX Congreso Nacional de derecho Procesal, realizado en San Martín de los Andes, en octubre de 1999 publicada en Jurisprudencia Argentina, Nº 6176, del 12 de enero de 2000.

[4] Atento su carácter constitucional de especie dentro del género del amparo, somos de la opinión que el instituto del hábeas data resulta igualmente, una acción procesal en cuanto a su naturaleza, tal como lo sostuviéramos respecto del primero (Práctica del Amparo, Alveroni Ediciones, Córdoba, 1998, pag. ).  A favor, de tal tesis respecto del amparo, entre otros,  se pronuncian Salgado (Juicio de amparo y acción de inconstitucionalidad, pag 20) y Bidart Campos (Régimen legal y jurisprudencial del amparo, pag. 338), quien ha marcado con claridad la diferencia existente entre la acción de amparo (que se aplica perfectamente al hábeas data) como ejercicio del derecho de los individuos a la jurisdicción, del juicio de amparo, que es el tipo de proceso jurisdiccional donde se pone en movimiento dicha acción.

[5] Elementos de Derecho Constitucional, tomo 1,  Astrea, Buenos Aires, 1997, pag. 255.

[6] Informática y Derecho. Aportes de la doctrina internacional, volumen 6, Régimen jurídico de los bancos de datos, Depalma, Buenos Aires, 1998, pag, 165.

[7] Conf. C Nac. Civ., sala A en autos Di Paolo v. Burstyn y otros, JA Nº 6176 del 12 de enero de 2000, pag 73.

[8] Conf. Mercader, Amilcar, Estudios de Derecho Procesal, Ed. Librería Editora Platense, La Plata, 1968, pag 196; Acosta, José, el proceso de revocación cautelar, Rubinzal-Culzoni, Buenos Aires, 1986, pag. 14.

[9] Couture, Estudios de Derecho Procesal Civil, Tomo I, Ed. Depalma, 2º ed. Buenos Aires, 1978, pag. 499. Al igual que la referencia anterior sobre Mercader, aparecen también citados en Acosta, op. cit. , pag. 14.

[10] Op. Cit., pag. 14.

[11] Art. 195, CPCCN.

[12] Palazzi, Pablo Andrés, Reseña de jurisprudencia: hábeas data 1994 -1997, en http:// ulpiano.com; Sistema Argentino de Informática Jurídica; Archivo informático La Ley; Archivos de Jurisprudencia Argentina.

[13] Conf. Palazzi, Pablo andrés, El hábeas data en el derecho argentino, en http:// ulpiano.com. En particular nos estamos refiriendo a los autos «Yusin S.A. c/ Organización Veraz S.A. s/ sumarísimo», C Nac. Com, sala C, del 24/04/96.

[14] C. Nac. Civ., sala B en autos «Harcavi, Meir y otro v. Gdud, Juan y otros», del 24/04/1997; JA Nº 6176 del 12 de enero de 2000, pag 75.

[15] Conf. C Nac. Civ., sala D, en autos «Bella, Elvira v. Federación Argentina de Tiro», del 26/09/1997; JA Nº 6176 del 12 de enero de 2000, pag 75.

[16] Conf. C Nac. Com., sala B, en autos «Yusin, Mauricio G. C/ Organización Veraz s/ sumarísimo s/ inc. de apelación», E.D. del 20/06/1997, cit. por  Palazzi en sus obras.

[17] El hábeas data en el derecho argentino, en http:// ulpiano.com.

17Feb/15

Sentencia del 21.7.03. (Colombia) en una acción de tutela por la violación al derecho constitucional de habeas data, autodeterminación informática y la intimidad mediante spam

Sentencia del 21.7.03 (Colombia) en una acción de tutela por la violación al derecho constitucional de habeas data, autodeterminación informática y la intimidad mediante spam.

República de Colombia
Rama Jurisdiccional del Poder Público
Juzgado Segundo Promiscuo Municipal Rovira Tolima
Julio veintiuno (21) de dos mil tres (2003)
Rad. 73-624-40-89-002-2003-053-00

Procede esta instancia constitucional a proferir la sentencia que en derecho corresponda dentro de la presente acción de tutela, instaurada por el ciudadano JUAN CARLOS ** ** en contra de JAIME **, HECTOR ** Y OTROS, no encontrando el despacho causal alguna de nulidad que pueda invalidar lo actuado.
SITUACIÓN FÁCTICA PROCESAL
1. La narra el apoderado de la parte actora en los siguientes términos:

1.1 Juan Carlos ** es titular del correo electrónico jc**@i-network.com y de todos los demás correos creados bajo el nombre de dominio «inetwork.com».

1.2 Jaime ** es una persona natural que actúa bajo el nombre comercial «VIRTUAL CARD».

1.3 VIRTUAL CARD ofrece los servicios de mailing, multimedia, bases de datos, boletines electrónicos y consultorías e-business a través de Internet.

1.4 El 21 de Julio de 2002, Juan Carlos ** recibió el primer correo electrónico no solicitado de la firma VIRTUAL CARD

1.5 A este correo, Juan Carlos ** respondió solicitando que fuera retirado de la lista de la base de datos de VIRTUAL CARD, ya que no había informado su correo a ninguna base de datos ni lista de correos.

1.6 El 21 de Julio de 2002 a las 20:31, Jaime **, respondió a la solicitud de Juan Carlos ** lo siguiente:
i) que Juan Carlos ** se encontraba fuera de la lista de VIRTUAL CARD,
ii) que en mercadeo es permitido buscar prospectos de clientes por todos los medios de comunicación, incluido Internet y,
iii) que no conocía ninguna legislación sobre privacidad que pudiera limitar la actividad desarrollada por su empresa.

1.7 El 22 de Julio de 2002, Juan Carlos ** reitera su solicitud de ser retirado de la lista de correo y aclara que el problema radica en que la estrategia de mercadeo se realice sin solicitud ni autorización de los usuarios.

1.8 A pesar de que Jaime ** le había asegurado a Juan Carlos ** en la comunicación enviada el 21 de Julio que se encontraba fuera de la lista de VIRTUAL CARD, el 2 de Septiembre de 2002, Juan Carlos ** recibió un nuevo correo de VIRTUAL CARD en el que le «recordaban» los beneficios del correo electrónico como estrategia de marketing.

1.9 El 3 de Septiembre de 2002, Juan Carlos ** envió dos mensajes a VIRTUAL CARD, en los que solicita una vez más que sus correos sean retirados de la lista de correos. Señala además que ya ha intentado eliminarse de todas las formas posibles

1.10 Un mes después, el 3 de Octubre de 2002, Juan Carlos ** recibió un correo firmado por HECTOR ** y CONSUELO MORENO en el que le anunciaban la «alianza estratégica» de VIRTUAL CARD, OKSON GROUP y HECTOR ** y le solicitaban su autorización para enviar sus promociones a su dirección mail

1.11 Juan Carlos ** contestó el 3 de octubre con un contundente «POR NESIMA VEZ SAQUEME DE SU LISTA…»

1.12 El 5 de Octubre de 2002, luego de recibir un nuevo correo de TIME SEMINARIOS, cliente de VIRTUAL CARD, Juan Carlos ** intenta una vez más
ser retirado de la lista.)

1.13 Ese mismo día TIME SEMINARIOS le responde que en efecto ha sido retirado de la lista

1.14 Todos los intentos anteriormente descritos resultaron fallidos. El 18 de Octubre de 2002, Juan Carlos ** recibió un nuevo correo de la Corporación INNOVAR, otro cliente de VIRTUAL CARD.

1.15 El 19 de Octubre de 2002, Jaime **, envió un nuevo correo a Juan Carlos ** en el que señala que «sabe» que su forma de trabajo no es del agrado de Juan Carlos **. Agrega que «la base general se dejará de usar desde noviembre de 2002 en la cual ustedes se encuentran» y luego señala «creo que es hora de cambiar el método de esperar un permiso de una persona que nunca lo va a suministrar por el problema del spam y el junkmail opt in». Y concluye su correo con la siguiente frase «Señor ** no es por consolarlo pero a mi correo virtualcard me llegan 150 correos publicitarios, porno, basura, virus, etc. que filtramos en el servidor únicamente por colocar la dirección en un directorio de empresas de publicidad.

1.16 Por un tiempo pareció que VIRTUAL CARD esta vez había cumplido su promesa. Sin embargo, el 2 de Diciembre de 2002, Juan Carlos ** recibió un nuevo correo de LAMY, cliente de VIRTUAL CARD.

1.17 Finalmente, el 27 de Mayo de 2003, Héctor **, quien se identifica como el encargado de la base de datos, envió un nuevo correo a Juan Carlos **

1.18 En resumen, los DEMANDADOS y sus clientes, en conjunto, han enviado por lo menos ocho correos electrónicos a Juan Carlos **, y éste a su vez les ha enviado por lo menos siete correos electrónicos suplicando de todas las maneras, ser eliminado de la base de datos de VIRTUAL CARD.

TRÁMITE DE LA ACCIÓN

La presente acción de tutela fue remitida al Juzgado Promiscuo Municipal Reparto, por correo electrónico oficial ([email protected]) por el accionante JUAN
CARLOS ** ** representado por apoderado judicial Dr., ÁLVARO RAMIREZ BONILLA, poder presentado virtualmente ante el Señor Notario Diecinueve del Círculo de Bogota ([email protected]) Dr. Norberto Salamanca F. quien da fe del contenido del mensaje/poder otorgado, acción que fuera repartida extraordinariamente en soporte electrónico, correspondiéndole al Juzgado Segundo Promiscuo Municipal su trámite.

Mediante auto de fecha julio ocho de dos mil tres se admitió la solicitud de tutela y se corrió traslado a los accionados JAIME **, HECTOR ** Y OTROS, a su domicilio virtual por medio electrónico (H**@virtualcard.d2g.com; j**@virtualcard.d2g.com; [email protected] y [email protected] para que dentro del término de tres (3) días dieran contestación, todo lo anterior con base a los preceptos del artículo 12 de la Ley 794, que modificó el artículo107 del Código de Procedimiento Civil, en donde se permite a los Despachos Judiciales hacer uso de las nuevas tecnologías
R E S Ú M E N E S D E L AS C O N T E S T A C I O N E S


1. CONTESTACIÓN DEL CIUDADANO JAIME LEONARDO ** GONZÁLEZ

Manifiesta el accionado que la competencia para conocer de la acción de tutela recae sobre los jueces donde ha ocurrido la violación o la amenaza que motivan la solicitud en
primera instancia sea contra autoridad pública o particular y por consiguiente no es el Juez promiscuo municipal de Rovira el competente para conocer y fallar la presente tutela ya que los hechos no ocurrieron en este Municipio.

Argumenta que el factor territorial es el elemento principal para que se conozca o no de
la acción y que los hechos denunciados ocurrieron en la ciudad de Bogotá por lo cual sería éste el territorio donde se debió instaurar la acción de tutela pues ha sido desde esa ciudad donde se han enviado los correos electrónicos y donde el señor ** supuestamente recibió los agravios.

Igualmente, agrega no estar de acuerdo con lo plasmado en el auto que admitió la tutela pues dice que la tesis plasmada por el señor Juez no tiene un respaldo legal, doctrinario ni jurisprudencial, pero que sí es aplicable para casos en que las comunicaciones puedan enviarse desde cualquier parte y para un usuario que supuestamente no se tiene conocimiento en donde se encuentra pero que en el presente evento se tiene conocimiento el lugar donde se produjo y donde se recibió el supuesto agravio.

Sigue argumentando el accionado que el accionante ha escogido este Despacho judicial en forma deliberada pudiéndolo hacer en la ciudad de Bogotá donde funcionan cerca de ciento cincuenta (150) Despachos Judiciales competentes para conocer de la misma con competencia funcional y territorial para hacerlo y por consiguiente buscar:

Impedimento de ejercer el Derecho de defensa. Precisamente, ante la distancia
existente y la dificultad de comunicaciones no se puede tener acceso a la totalidad del libelo de tutela. Vulneración del Debido proceso. Este aspecto manifiesta que todas y cada una de las pruebas se solicitan a entidades destacadas en esta ciudad o al suscrito en la misma ciudad de Bogotá. Por lo anterior no se puede tener un debido proceso, por no existir la inmediación, porque la práctica de Inspección Judicial, medio idóneo y eficaz para aclarar los supuestos alegados por el accionante y poder determinar que no se ha vulnerado principio fundamental alguno al supuesto ofendido, no se podrá practicar debido a la distancia existente entre el lugar donde funciona este Despacho y la ciudad, de Bogotá donde reposan los diferentes medios de prueba.

Respecto de los derechos vulnerados como lo son el de la intimidad y de Habeas Data, estos no han sido violados en ningún momento pues no se encuentran descritos en las sentencias aportadas y que por el contrario con estas sentencias se está explicando que estos derechos no han sido coartados pues ninguno de los textos enviados por él se ajustan a la descripción realizada por la Corte Constitucional y por el Congresista que defiende una ley relacionada con delitos y situaciones informáticos, luego no entiende de donde se pueda generar la vulneración del derecho fundamental a la intimidad.

Respecto de la violación del Habeas data manifiesta que solo posee una dirección electrónica del señor JUAN CARLOS **, y no tiene almacenado algún dato personal. Es mas que inicialmente no conocía el nombre de la persona que mantenía este correo, menos aún su actividad, lugar de residencia y cuales sus ocupaciones.

Argumenta el accionado que luego de cruzar algunas comunicaciones con el señor **, su correo electrónico desde finales del año pasado ha sido suprimido de sus bases de datos y en lo corrido del año no ha enviado correos ofreciendo productos. Que si ha sido otra persona en este caso el señor HECTOR ** y quizá otras personas quienes han remitido correos al señor ** a ellos y solo a ellos corresponde abstenerse de hacerlo como el ya lo hizo desde finales del año 2002.

Que en su base de datos solo existía su correo electrónico, el cual puede ubicarse en cualquier seminario en el que el mismo actúe, en bases de datos que se adquieren de otras personas o clientes con fines comerciales, etc., pero que nunca contienen ninguna información personal del supuesto ofendido como tampoco nada que pueda serle negativo en su intimidad.

Que no es un hecho cierto que el señor ** continúe en sus bases de datos ya que para finales de 2002 fue definitivamente retirada esta dirección electrónica de su base de datos y que en sus comunicaciones siempre se da la opción al cliente de marcar si quiere recibir mayor información del producto que se le ofrece o si por el contrario, no quiere recibir mas información y para ello, solo basta dar un clic en la casilla que se escoja. Este corresponde al permiso que se le solicita a la persona.

Por lo demás, el usuario puede bloquear o no abrir los correos no deseados o basura que diariamente inundan nuestras direcciones electrónicas, especialmente si las mismas corresponden a Hotmail, cuyos servidores operan en el exterior,.

Define el término Spam como aquella actividad por la cual se envía información no solicitada a un destinatario especifico, sin su consentimiento u aprobación. Este se caracteriza por que no registra el origen donde procede entendiéndose por ello la dirección electrónica Email de origen y se envía a múltiples destinatarios.

El sistema de envío de Virtualcard, por el contrario, detalla en sus mensajes la dirección de correo de origen, el asunto, la solicitud de permiso para recibir más información, la opción de salir de la lista de envío y la opción de salir de cualquier lista que se encuentre el usuario que lo solicita. Todo lo anterior dando cumplimiento a las características mínimas de cumplimiento de los boletines de permiso y las herramientas que debe contener para que el usuario no reciba más información.

Por Lo anterior considera que no se ha violado el derecho fundamental de HABEAS DATA que alega el accionante, por lo que tampoco puede prosperar la acción elevada.

Concluye diciendo que hará las averiguaciones correspondientes para verificar la legalidad del correo utilizado para su notificación ante el Consejo Superior de la Judicatura y lo relacionado con la reglamentación o cambio de competencia para que la tutela se tramite fuera de Bogotá.
2. CONTESTACIÓN DEL CIUDADANO HÉCTOR **

El despacho por el mismo medio electrónico notificó la acción de tutela al señor HÉCTOR **, correo que según su manifestación escrita abrió el l4 de julio del año en curso y se «enteró » del contenido de la acción respondiéndola escuetamente de la siguiente manera :

Dice haber enviado un propuesta como agencia de publicidad buscando nuevos productos por este medio electrónico ya que según él, el e-mail marketing es un medio novedoso y de refuerzo y asegura: » siempre y cuando no se maneje como SPAM «. Que es de conocimiento del accionante Juan Carlos ** que al colocar el e-mail en tarjetas comerciales o en eventos empresariales está sometido a recibir comunicaciones en cualquier momento.

Argumenta que es totalmente viable por su parte y como publicista profesional utilizar las empresas que poseen los equipos para enviar esta información por esta razón recurrió a Jaime ** por la economía del servicio. Por lo tanto considera que no incurrió en ninguna violación de la intimidad al ya mencionado señor ** por cuanto se trataba solamente de una propuesta comercial y que su mail es utilizado únicamente para recibir propuestas comerciales y que es solo su responsabilidad el envío del paquete promocional.

Concluye tomando esta situación como un impase y no como una situación que genere un conflicto judicial.
C O N S I D E R A C I O N E S D E L D E S P A C H O
1. El problema jurídico planteado

Conforme a los antecedentes que se han planteado el problema jurídico planteado impone al despacho determinar si es procedente la tutela contra el particular JAIME LEONARDO ** y determinar que la tutela es viable procesálmente, si analizada la situación que dio origen a ella deben ampararse o no los derechos fundamentales cuya protección invoca el actor.


2. La Competencia del Juzgado

Se ha planteado que el Juzgado no es competente porque la consumación de la conducta vulneradora del derecho fundamental acaeció en la ciudad de Bogotá y que el lugar de residencia de las partes es ese Distrito Capital.

El demandado, algo extraño pues conocedor de las nuevas tecnologías, precisamente porque haciendo uso de ellas se le acusa de vulnerar un derecho fundamental, alega una jurisdicción material, olvidándosele la virtualidad que comprende todos las conductas informáticas con implicaciones jurídicas.

Ya sobre el lugar de los efectos que produce la vulneración de un derecho fundamental el Consejo de Estado[1] precisamente estudiando el decreto que el demandado arguye en su contestación, al respecto la Sala Plena de esa Corporación se ha pronunciado al afirmar que el lugar donde se produce la violación o amenaza al derecho fundamental no sólo es aquel donde se despliega la acción o se incurre en la omisión, sino también a
donde alcanzan los efectos de tales conductas; si bien es cierto que no habla textualmente sobre los efectos virtuales, tal vez por lo novedoso del tema, no es menos verdad que los efectos jurídicos del manejo inadecuado de las nuevas tecnologías se desplegaron en el ciberespacio en donde está ubicado el domicilio virtual del actor; el hecho que ninguna norma lo establezca hasta este momento no nos impide considerar que este Juzgado como cualquier otro en cualquier parte de la República de Colombia, es el competente para conocer de un asunto de esta naturaleza hasta cuando taxativamente la ley señale lo contrario.

Los efectos jurídicos del uso de las nuevas tecnologías y su jurisdicción, considera el Estrado no se deben tomar con una simple subsunción, como lo pretende hacer ver el demandado de ubicarlo materialmente en un circunscripción física y formal como se le ha conocido desde antes que se creara la informática como medio de comunicación. Además la Ley Estatutaria de la Administración de Justicia[2], contempla el uso de las
nuevas tecnologías al servicio de la administración de justicia, precisamente en su artículo 95, reza que los Juzgados, Tribunales y Corporaciones judiciales podrán utilizar cualesquier medio técnico, electrónico, informático y telemático para el cumplimiento de sus funciones. Agrega la norma en comento que los documentos emitidos por los citados medios, cualquiera que sea su soporte, gozarán de validez y eficacia de un
documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales. También dice que los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad y seguridad de los datos de carácter personal que contenga en el término que establezca la ley.

Como Juez Constitucional el ámbito jurisdiccional es todo el territorio nacional y la norma no excluye mi competencia en el ciberespacio, porque recordemos de que se está hablando de un hecho ocurrido en este ámbito así el demandado no lo quiera reconocer pese a que se trata de un informático, resultando muy asombroso su actitud de que querer quitarle relevancia al medio en donde precisamente está realizando sus tareas de e-marketing. La competencia, el demandado la está circunscribiendo a unas coordenadas físicas, pero se le ha olvidado que el meollo del asunto es la virtualidad y precisamente el domicilio virtual del señor JUAN CARLOS ** es su correo electrónico, tan seria es esta dirección que nuestra legislación le dio amparo cuando obliga a los comerciantes a registrar su domicilio virtual en la cámara de comercio en donde aparecen asociados, tal es el caso del artículo 29, parágrafo único de la Ley 794, de 2003.

Sobre la implementación de los recursos informáticos, ya el Dr. Santiago Muñoz Medina[3] director del cendoj, realizó una dilecta conferencia en el Hotel Ambalá de Ibagué y para aquella oportunidad afirmó: «Con esto (la informática) tiene que ver con la descongestión física del despacho, no es fácil implantar la informática y la telemática, no es suficiente dotar una red para que nos mantenga informados, lo mas importante de esta nueva política es la resistencia a la tecnología que no hace fácil el uso de estos recursos, además el abuso en la utilización de este recurso porque en realidad no se utiliza para lo que debería utilizarse, no se le da eficiencia y eficacia que exige la Constitución.[4]»

Sobre la competencia virtual, pese a que somos pocos los colombianos que lo exponemos, existen varios tratadistas latinoamericanos que hablan sobre el domicilio, entre otros, el Maestro Julio Núñez Ponce[5] que afirma que el tema de domicilio virtual está directamente relacionado con el tema de jurisdicción y competencia en Internet y que los comentarios efectuados a normas existentes a su ordenamiento jurídico (Perú) le permiten aproximarse al contenido que podría darse al domicilio virtual en sus implicaciones civiles, societarias y tributarias, esto es, que el domicilio material de un ciudadano se le toma como el de la dirección (o lugar) de la ciudad en donde habita ora en donde desarrolla sus actividades profesionales, igualmente pasa con la dirección del correo electrónico, es allí en donde desarrolla diferentes actividades virtuales las que puede realizar en cualquier parte del mundo, siendo éste su domicilio virtual que jamás debe ser asimilado en forma exacta con la materialidad de otros domicilios. .

El Domicilio Virtual estaría conformado por la dirección electrónica que constituye la residencia permanente en la Web de la persona.

Pensemos que el domicilio ordinario de un ciudadano común lo constituye la residencia habitual que tiene en un lugar, lo que implicaría en tratándose de su domicilio virtual, la utilización constante de una dirección electrónica, la que puede ser su homepage ora su e-mail, como lo son actualmente los comerciantes y personas jurídicas[6] inscritos en el registro mercantil, porque deben registrar su e-mail pop3 o smtp[7] ora el de su Homs page que es otra forma de notificación virtual, ya en otrora oportunidad este Estrado notificó a Ministros del Despacho de la Administración del Dr. Andrés Pastrana, por acción de tutela que se incoó para ese entonces en contra de la Nación, accediendo a su página virtual; lugar en donde se le enviarían las notificaciones informáticas; algo igual acontecería, con las personas jurídicas o comerciantes para la ejecución de actos
jurídicos electrónicos, sobre todo en materia de notificaciones judiciales, comercio electrónico y transferencia de fondos.

Por lo plasmado anteriormente, no es de recibo para el Estrado lo referente por el accionado respecto del contenido del auto admisorio de la tutela en donde manifiesta que lo anteriormente esbozado es una simple teoría sin respaldo legal, doctrinario o jurisprudencial, cuando la realidad legal es totalmente diferente, porque el parlamento no solo ha proferido las leyes 5277[8] de 1999 y 794[9] de 2003, que se refieren al uso del dato informático, porque además existen toda una reglamentación que sobre el tópico expiden las diferentes superintendencias del país.

Traigo a colación una frase sobre la aterritorialidad de la Internet de JOHNSON y POST: » El ciberespacio no tiene fronteras basadas en el territorio ya que el costo y velocidad de envío de la transmisión de un mensaje en la Red es casi completamente independiente de la ubicación física: los mensajes pueden ser transmitidos desde cualquier ubicación a cualquier ubicación sin arruinarse. degradarse o demorarse sustancialmente más y sin que ninguna barrera física o que pueda mantener lugares y personas remotamente alejados separados unos de otros. La Red permite transacciones entre gente que no se conoce, y en muchos casos , entre gente que no puede conocer la ubicación física de la otra parte. La ubicación continua siendo importante, pero solo la ubicación dentro de un espacio virtual compuesto por las «direcciones» de las máquinas entre las cuales los mensajes y la información es ruteada» [10]

3. La Firma Electrónica

El demandado ha argüido que los documentos expedidos por este Estrado en soporte electrónico no tienen ninguna validez en razón a que no están firmados analógicamente y no tiene el amparo de ninguna entidad de certificación de firma digital. Se conoce en el mundo del Derecho Informático la diferencia entre firma digital y firma electrónica, precisamente el maestro Rodolfo P. Ragoni[11] define la firma digital como los datos
expresados como formato digital utilizados como método de identificación de un firmante y de la verificación de la integridad del contenido de un documento digital, agrega que debe cumplir con los requisitos de pertenecer únicamente a su titular, encontrarse bajo su absoluto y exclusivo control, ser susceptible de verificación y estar vinculada a los datos del documento digital de modo que cualquier modificación de los mismos ponga en evidencia se alteración. El mismo define la firma electrónica como los datos en forma electrónica, asociados a otros datos electrónicos o vinculados de manera lógica con ellos, utilizados como medio de identificación, y que no reúne uno o mas de los requisitos para ser considerada como firma digital.

Parece que el demandado no ha comprendido el sentido de la ley 527 de 1999, en lo que se refiere a la validez de mensaje de datos. Precisamente el artículo 6° de la norma en estudio, establece que cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta.

Ahora bien en tratándose de la firma, motivo de preocupación del libelista, la ley de marras establece precisamente en su artículo séptimo que cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se ha utilizado un método que permita identificar al hincado de un mensaje e datos y para indicar que el contenido cuenta con su aprobación. Igualmente que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado.

Y en lo que se refiere al original, preceptúa que cuando la norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos si existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma. Agrega que de requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar.

Como se puede observar, todos los requisitos relacionados en la ley en estudio se han surtido en el trámite de la presente acción de amparo, puesto que se han llenado a cabalidad. Hemos realizado la emisión de documentos en soporte electrónico y no hemos estampado allí firmas digitales toda vez que la Rama Judicial aún no cuenta con fedatarios que certifiquen tal situación. No obstante la firma electrónica, no digital, repetimos se debe entender en los documentos expedidos por el Estrado, toda vez que se ha utilizado un método que permite identificar al iniciador, como es el uso de la cuenta oficial del Consejo Superior de la Judicatura, las consecuencias originadas por los documentos emitidos son legales y el contenido ha contando siempre con mi aprobación, que soy su emisor. En cuanto a la integridad y conservación de la información digital creada por este Estrado ha permanecido en forma completa e inalterada en los equipos informáticos del Juzgado, en donde se custodia como cualquier expediente en soporte papel.

El método es confiable, pues se está haciendo uso del derecho constitucional de la Buena Fe y creemos que las partes, hasta cuando no se demuestre lo contrario, están actuando bajo ese derecho fundamental.

Seguramente la presente actuación electrónica generará algunas falencias, por razones propias, tal vez esta pieza procesal se torne en la primera en el país y origina una novedad en el uso de las nuevas tecnologías, pero el Estrado cree que a medida que pase el tiempo el uso de la informática será masivo, cumpliendo así los propósitos del CENDOJ de la descongestión (Despachos al día), economía (no mas soporte papel) y celeridad (rapidez en al información) de las actuaciones judiciales.

La firma digital, cuando se implemente en los trámites judiciales, tal vez superemos los escollos que hoy se presentan con el manejo de los documentos en soporte electrónico. Ésta consiste básicamente en la aplicación de algoritmos de encriptación a los datos, de esta forma, sólo serán reconocibles por el destinatario, el cual además podrá comprobar la identidad del remitente, la integridad del documento, la autoría y autenticación,
preservando al mismo tiempo la confidencialidad. La seguridad del algoritmo va en relación directa a su tipo, tamaño, tiempo de cifrado y a la no violación del secreto.

Ahora bien, este despacho judicial está recibiendo correspondencia continuamente procedente de la oficina de la administración judicial, consejo seccional de la judicatura y otros entes judiciales, a la cual se le da plena credibilidad, por provenir, precisamente de despachos acreditados y confiables, así la correspondencia llegue en fotocopia y sin una firma original; pero lo que se quiere dar a entender es la confiabilidad de su
procedencia para así mismo no dudar del contenido; para citar el caso mas reciente tenemos el recibo de la circular nº 47 emanada de la presidencia de la Sala Administrativa del Consejo Superior de la Judicatura en donde el presidente Dr. Gustavo Cuello Iriarte, establece unas directrices para el trámite de las comisiones, comunicación que no viene con rúbrica analógica. Siguiendo el lindero interpretativo del demandado, el Estrado no debería acatar lo ordenado en dicha circular por la potísima razón de no venir firmada.

Con ello queremos significar que el método utilizado para el envío de dicho documento, la Dirección de Administración Judicial del Tolima, nos permite identificar el iniciador del mensaje, lo que indica que su contenido cuenta con su aprobación; el método de comunicación se torna confiable y apropiado para cumplir los propósitos de su contenido. Todo esto se le debe sumar el principio constitucional de la buena fe, que se entiende plasmado en todas las conductas del hombre hasta cuando no se le pruebe lo contrario.

4. La Solución al problema

Considera el Estrado que desde el punto de vista procesal es procedente la acción de tutela contra el particular Jaime Leonardo **, porque el solicitante con respecto a éste se encuentra en un estado de indefensión.

En relación con el estado de indefensión, recordemos que en el texto constitucional correspondiente al artículo 86, dice que la ley establecerá los casos en que la acción de tutela procede contra particulares respecto de quienes el solicitante se encuentre en estado de subordinación o indefensión.

Es importante resaltar entonces que la indefensión se predica respecto del particular contra quien se interpone la acción. Este particular es quien con su conducta activa u omisiva pone en peligro o vulnera un derecho fundamental correcto del indefenso. Además la tutela se torna procedente porque el accionante acreditó cómo en varias oportunidades lo hizo la súplica a los demandados para que no le enviaran mas mensajes no solicitados como también lo borraran de sus base de datos, porque no había autorizado su difusión y recepción de mensajes.

De conformidad con el numeral 4º. Del art. 42 del decreto 2591 de 1991, el estado de indefensión acaece o se manifiesta cuando la persona ofendida por la acción u omisión del particular, sea éste persona jurídica o su representante, se encuentra inerme o desamparado, es decir, sin medios físicos u jurídicos de defensa o con medios y elementos insuficientes para resistir o repeler la agresión o la amenaza de vulneración a su derecho fundamental; estado de indefensión que se debe deducir, mediante el examen por el Juez de la tutela, de los hechos y circunstancias que rodean el caso en concreto.

No es otra la situación del accionante puesto que el medio utilizado por el particular tiene el suficiente poder de penetración que no ha podido ser repelido por el agredido a pesar de sus múltiples súplicas para que se deje de bombardear con información no solicitada, lo cual denota la situación de indefensión pues este no parece disponer por sí mismo de una situación de equivalencia que le permita contrarrestar en igualdad de
condiciones la sensación adversa generada en su contra.

5. Los presuntos derechos vulnerados

5.1. El medio empleado para vulnerarlos El Spam

El apoderado del actor, alega que a su cliente se le vulneraron los derechos de habeas data, autodeterminación informática y el de intimidad, a través de correo spam; antes que analicemos si se han violado o no dichos derechos fundamentales, el Estrado considera necesario entrar a hacer algunas consideraciones sobre lo que es el spam o ACE[12], como lo llaman en Europa .

El Maestro Iñigo de la Maza Gazmuri[13] hace un juicioso estudio sobre la expresión «spam» en donde nos dice que corresponde originariamente al nombre de un tipo de carne enlatada con especies -jamón con especias (spiced ham)- producida por Hormel Foods a partir de 1926, cuya principal característica era que no requería refrigeración. Esta característica la hizo extremadamente atractiva para el ejército y la popularizó durante la Segunda Guerra Mundial[14]. Según algunos comentaristas[15] la expresión adquirió relación con las comunicaciones electrónicas a partir de un episodio que tuvo lugar a mediados de los ochenta en el que un participante de un MUSH[16] , es un tipo de MUD es decir «Un entorno simulado [generalmente con base de texto]. Algunos son diseñados únicamente con fines de diversión y otros son desarrollados con propósitos
más serios como el desarrollo de software o educación en general. Una característica significativa de la mayoría de los MUDs es que los usuarios pueden crear cosas que permanecen una vez que ellos han dejado el escenario y con los cuales otros usuarios pueden interactuar, permitiendo de esta manera la construcción gradual y colectiva de un mundo» Enzer, Matisse, Glosary of Internet Terms[17]. creó y usó un macro que
repetidamente tipeaba la palabra SPAM interfiriendo con la posibilidad de participar de otros.

Es muy probable que el creador del macro se haya inspirado en un sketch realizado en la televisión británica por Monty Python´s Flying Circus en el que la palabra SPAM se repetía en el menú de un restaurante hasta el absurdo. En un principio, la expresión se utilizó para referir a artículos u otros tipos de adiciones puestas en grupos de noticias (newsgroups) Usenet (Usenet es «un sistema mundial de grupos de discusión con
comentarios pasados a través de cientos de miles de máquinas.») [18] u otros foros de discusión vulnerando las reglas de dichos foros.

Posteriormente el uso de la expresión derivó hacia los mensajes de correo electrónico no deseados enviados masivamente. Actualmente, la expresión spam se utiliza para designar cualquier especie de comunicación no solicitada (faxes, llamadas telefónicas, correo regular, etc.), en las páginas que siguen su uso queda restringido a comunicaciones electrónicas no deseadas.

El envío de correos electrónicos no solicitados posee costos relevantes que se radican mayoritariamente en los usuarios y en los proveedores de servicios de Internet.2 Se trata además de una práctica que se difunde con bastante indiferencia de las fronteras territoriales ora virtuales. De esta manera la distinción entre países tecnológicamente avanzados y atrasados pierde vigor. Finalmente, el spam es una práctica cuyas especiales características la hacen inédita en la historia de la humanidad.

A continuación el Estrado hará un pequeño estudio sobre el spam, examinaremos los elementos que deberían reunirse en una definición de spam y las controversias que giran en torno a las definiciones disponibles. Haremos una pequeña reseña histórica del spam. Argumentaremos las diferencias que existen con otras especies de marketing directo y la necesidad de restringirlo. Examinar las respuestas que es posible dar a este
fenómeno desde el punto de vista del derecho, las normas sociales, soluciones tecnológicas o de «código», y el mercado). Resaltaremos los avances legislativos sobre el tópico en Colombia y en las Comunidades Europeas.

No existe una sola definición generalmente aceptada de spam. Definirlo como correo electrónico no deseado no elimina este problema. Al reflexionar sobre la regulación del spam no interesa, en verdad, saber si el correo es deseado o no. De lo que se trata es de decidir cuando resulta legítimo el envío de este correo no solicitado y cuando no. Tomada esa decisión, recién es posible preguntarse qué modalidades regulatorias y en qué medida pueden ser utilizadas para enfrentarlo. Aún cuando para algunos cualquier correo no solicitado es spam, las dos definiciones más aceptadas de spam son: correos electrónicos comerciales no solicitados CECNS[19] y correos electrónicos masivos no solicitados CEMNS[20] .

Lo que resulta común en ambos casos es que se trata de correo electrónico no solicitado. Generalmente se ha entendido por no solicitado un correo en aquellos casos en que: no existe relación previa entre las partes y el receptor no ha consentido explícitamente en recibir la comunicación. Puede significar también que el receptor previamente ha buscado terminar una relación existente, usualmente instruyendo a la otra parte de no enviarle más comunicaciones en el futuro. Por supuesto no basta que se trate de correo no solicitado en los términos recién expuestos. Lo que, en principio, cualifica al correo no solicitado como spam es su carácter comercial, la cantidad enviada o, desde luego, una mezcla de ambos.

Aún cuando la definición de comercial varía en las distintas legislaciones del mundo, lo que suele considerarse en el caso de las comunicaciones comerciales es la promoción de algún tipo de bienes o servicios. En este sentido, por ejemplo, laDirectiva 2000/31 de las Comunidades Europeas[21] define en su artículo 2 letra f) comunicaciones comerciales como: «todas las formas de comunicación destinadas a proporcionar directa
o indirectamente bienes, servicios o la imagen de una empresa, organización con una actividad comercial, industrial o de profesiones reguladas…»

Con respecto al carácter masivo se plantean dos interrogantes. La primera es si debe tratarse del mismo mensaje enviado en forma multitudinaria para que califique como spam o puede tratarse de mensajes substancialmente similares. La segunda es cuántos mensajes deben enviarse para que dicho envío sea considerado masivo. La principal pregunta a este respecto es si debiese fijarse un umbral -por ejemplo, 1000 correos
electrónicos- o dejar la norma abierta.

Aún suponiendo que las definiciones de comercial y masivo no sean problemáticas, un inconveniente que subsiste es si el spam debe ser definido como CECNS o como CEMNS. Existen argumentos a favor de ambas posturas. En el caso de definirlo como CECNS: ¿Por qué el traslado de costos desde el emisor hacia el receptor de los mensajes es particularmente susceptible de objeciones en el caso comercial?

¿Si se define como CEMNS entonces resultará necesario fijar un umbral a partir del cual se trate de correo masivo? Los correos no comerciales -en particular los políticos y los religiosos- pueden estar protegidos por la normativa relativa a libertad de expresión. ¿En el caso de los comerciales la protección suele ser menor? La regulación destinada a limitar mensajes comerciales posee mejores probabilidades de ser aprobada que aquella que también cubre otro tipo de discursos.

En el caso de definirlo como CEMNS: El principal argumento es que el daño que se inflige con los correos masivos es absolutamente independiente de la naturaleza del mensaje. Los costos soportados por los receptores de los mensajes y las redes intermedias no poseen así relaciones con el contenido de la comunicación. Si de lo que se trata es de cautelar ese daño, distinguir según el contenido no tiene sentido. Por supuesto una tercera alternativa es definir spam como correo comercial masivo no solicitado.

El spam es un gran negocio que invade nuestros buzones. La mejora de los accesos a Internet ha incrementado el volumen del spam tanto por parte de los emisores como destinatarios. Los emisores porque disponen de mas posibilidades de ancho de banda y uso de servidores propios. Los receptores porque debido a las tarifa planas y la consecuente reducción del costo de recoger correo ya no es tan gravoso económicamente que la recepción de spam se asumen con resignación. El spam es un simple reflejo de la actual sociedad donde la publicidad inunda todos los rincones. Los contenidos del spam son variados y difíciles de clasificar, pero es cierto que los hay de carácter fraudulento e ilegal y sobre todo molesto. La naturaleza internacional de Internet y de las direcciones IP origen inhabilita cualquier medida legal para reducir el spam.

5.1.1. Las diferencias entre el spam y otras especies de mensajes no deseados.

Resulta evidente que el envío de publicidad no deseada como mecanismo de marketing directo es un fenómeno que antecede con creces a Internet y el spam[22]. Diariamente las casas y departamentos son bombardeadas con cartas, a veces nominativas y otras no, que ofrecen servicios no solicitados. Asimismo, aunque quizás con menor frecuencia, no es extraño recibir o recuperar de la contestadora telefónica llamadas a través de las cuales, una vez más, se ofrecen servicios no solicitados. ¿Por qué entonces no tratar al spam como una más de estas prácticas?

Las respuestas son varias. Antes de examinarlas con mayor atención, una aproximación general sería responder que mientras las solicitudes comerciales no deseadas han sido un hecho de la vida por un largo tiempo, nunca antes ellas habían amenazado la viabilidad de todo un modo de comunicación. Para utilizar una imagen aproximada de lo que es el spam, para aquellos que lo toman simplemente como otra forma de comunicación directa equivaldría a tratar a un rinoceronte como si fuera un unicornio.

La economía del spam. La ventaja de los mecanismos de marketing directo es que permiten llegar a los consumidores en términos que, al menos estadísticamente, llamarán su atención con mayor intensidad que mecanismos alternativos como publicidad en las calles o avisos en televisión. Lo anterior, sin embargo, posee costos. En el caso del envío de publicidad por correo regular, por ejemplo, es el avisador quien soporta la gran mayoría -sino todos- los costos del envío de la publicidad. De esta manera se invertirá en marketing directo en la medida que la ganancia proveniente de la respuesta de los consumidores supere a los costos de alcanzar a los consumidores. En el envío de publicidad masiva por correo electrónico, sin embargo, la ecuación entre costos y beneficios difiere. En el caso del spam la mayoría de los costos del envío no son soportados por quien envía las comunicaciones. [23]. En general los costos que asume quien envía el spam son el de encontrar un proveedor de servicios de Internet suficientemente inocente, la composición del mensaje y el establecimiento de un sistema de procesamiento de pago por los bienes o servicios, en el caso que los provea el mismo, o bien la contratación de este servicio en caso contrario. El costo marginal de enviar un correo electrónico más es prácticamente inexistente, por lo tanto, los incentivos del emisor son enviar tantos mensajes como sea posible. Junto a los costos marginales prácticamente nulos, el envío masivo se justifica porque la tasa de retorno obtenida por el emisor dependerá del número de correos que envíe. Si se suman ambas cosas el resultado es que aún resulta económicamente razonable enviar 10.000.000 de correos electrónicos aún si las respuestas son muy pocas. Como ha advertido AMADITZ[24] «(U)n spammer puede enviar avisaje a través del correo electrónico a un millón de personas por la suma de cien dólares. A este precio, aún si un solo receptor entre diez mil responde, el spammer puede obtener beneficios y olvidar a los restantes 9.999 enojados receptores.»

Una segunda razón de carácter económico milita a favor del spam. En el caso de la publicidad por correo normal la tasa de conversión (conversión ratio) es entre 0,5 – 2% en el caso del marketing a través de correo electrónico, esta asciende entre 5 -15%. Igual cosa sucede entre el marketing a través de correos electrónicos y la publicidad de banners la que, en los Estados Unidos ha caído hasta un 0,65%.31 En pocas palabras,
el envío de correos electrónicos comerciales masivos no deseados es barato y produce resultados. En este sentido, constituye una práctica absolutamente inédita, «no existe otra forma de avisaje que se le pueda comparar».

5.1.2. Métodos de captura de direcciones para spam

Las tácticas más populares para recoger direcciones de correo de forma masiva son: ·
· Compra de bases de datos selectivas. Son bases de datos de direcciones de correo-e clasificadas por temáticas de interés. Estas bases de datos son creadas por responsables Web sin escrúpulos que recogen direcciones de los usuarios que pasan por su portal. ·
· Listas Opt-In. Son servicios a los que cualquiera se puede suscribir de forma voluntaria. Muchas veces marcando la casilla que dice «No me envíe ofertas», al final las recibe. Evidentemente la mayor parte de las listas optin son legales pero hay mucho engaño e incumplimiento de lo que ellos mismos dicen y además difícil de demostrarlo.
· Páginas Web. Son robots capaces de hacer barridos en Internet o determinadas zonas para localizar miles de direcciones de correo-e. Los spammers los usan día y noche.
· Servidores de correo-e. Son robots que extraen direcciones de correo de los servidores de correo, simulando una transacción SMTP y preguntando si tal usuario es o no correcto. Hacen barridos automáticos de nombres de usuario con diccionarios.
· Virus y códigos maliciosos. Son virus que se propagan por correo-e consistiendo su actividad en capturar los datos de la libreta de direcciones del usuario contaminado y enviarlos determinadas direcciones para su procesamiento y almacenamiento.

· Métodos de distribución de spam
Distribuir un mensaje a miles de destinatarios es una tarea sencilla y económica. Basta con conocer el diálogo de las transacciones SMTP (Simple Mail Transfer Protocol) descritas en el RFC822 (RFC2822). Los ingredientes para la distribución son:
o Programa sencillo que reproduzca un diálogo SMP, colocando los campos Remite: y
o Destino: que le vengan en gana y falsificando algunas de las cabeceras de tránsito (Received: )

· Base de datos de direcciones de correo a los que distribuirá el mensaje de spam ·
Máquina (Estafeta) con la que establecer el diálogo SMTP. En este caso puede ser: o
Máquina local con un paquete de servidor de correo-e o Máquina remota a la que se accede por el puerto 25 (SMTP).

Entendiendo como spam todo mensaje de correo electrónico no solicitado Podríamos clasificar al spam en dos categorías en función del uso de recursos (máquina, CPU, disco, ancho de banda) por parte de terceros.

Spam legal: Uso de recursos propios. Es el spam procedente de Empresas distribuido desde sus propias máquinas dentro de sus campañas de marketing y promoción. También el procedente de Proveedores de servicios Internet (ISPs) que es usado por usuarios o Empresas que no disponen de recursos propios de distribución masiva.

Spam ilegal: Uso de recursos ajenos. Es el spam que para su distribución se aprovecha de Estafetas ajenas mal configuradas openrelay[25]. Existe entre los spammers bases de datos de máquinas (IP) mal configuradas para poder ser usadas.

El spam ilegal es uno de los más extendidos y suele ser el que viene en idioma inglés. Generalmente procede de USA pero utilizan para su distribución máquinas open-relay de cualquier parte del mundo con el objeto de evitar la legislación de dicho país. El spam en idioma castellano suele ser spam legal procedente de ISPs o empresas. El protocolo SMTP que regula todas las transacciones de correo de Internet se creó allá por 1981 de forma insegura para ser usado por científicos sin pensar en ningún uso comercial. Ya existían listas de distribución (LISTSERV-1984) que eran usadas para
distribuir información de uno a muchos. La explosión de Internet en 1994 a nivel social y comercial hizo que se «descubrieran» los agujeros de SMTP para ser utilizado como el mejor y mas barato mecanismos para distribuir y hacer llegar directamente a miles de buzones cualquier tipo de información. La gran explosión del spam empezó en 1995-1996 donde cualquier máquina con un servidor de correo podía ser usada por los indeseables spammers para distribuir su información. En esos años el spam que se recibía en el buzón era muy inferior al actual del 2003. El gran problema eran los
ataques que sufría el puerto SMTP (25) para distribuir spam. Ya el Cendoj[26] en alguna oportunidad ha recibido estos ataques masivos de spam. En dicha época el servidor de correo mas extendido era Sendmail, el cual solucionó las deficiencias de SMTP con sus reglas de configuración y se empezaron a solucionar muchos de los problemas, los de servidores con otro tipo de sistema operativo llegaron mas tarde. Aún así estos problemas de configuración no están erradicados en el 100% de las máquinas de Internet por lo que siguen existiendo máquinas open-relay.

5.1.3. Efectos del spam

Algunos los efectos negativos y problemas del spam:

1 Inunda los buzones saturando la capacidad máxima de los mismos y por tanto provocando la pérdida de correo deseado y útil.

2 Reduce la efectividad del correo-e al ser molesto u ofensivo al receptor.

3 Afecta a los recursos de la Estafeta de correo-e ya que mientras está procesando spam ralentiza el procesamiento del correo normal.

4 Afecta al ancho de banda congestionando las infraestructuras de comunicaciones

5 Afecta el tiempo de los usuarios empleado en borrar, denunciar, filtrar etc. y al de los responsables del correo.

6 Afecta la imagen de la Empresa que distribuye spam. Por poner un ejemplo un servicio clásico en Internet como las News de Usenet está siendo bastante afectado en su funcionalidad por el incesante uso que se le está dando para distribuir spam a través de muchos de sus grupos. Otros ejemplos graves de efectos del spam en cualquier empresa son:

§ Tamaño del mensaje. La distribución masiva de spam incluyendo ficheros grandes puede perjudicar gravemente a las Estafetas de una empresa o inhabilitar el correo de algún usuario. De aquí la necesidad de limitar el tamaño del correo entrante.

§ Direcciones falsificadas. Este es un efecto difícil de explicar en pocas líneas. Básicamente consiste en atacar una Estafeta openrelay[27] (E1) para ser la distribuidora del correo. El truco está en que el mensaje de spam lleva como dirección de correo emisora la de cualquier dominio. La Estafeta de este dominio será la atacada. ¿cómo?

Dicho dominio es quien recibirá los mensajes de error de las miles de direcciones inyectadas en la Estafeta (E1). Estos errores serán los producidos en las transacciones SMTP desde la máquina open-relay a los diferentes destinos. La máquina atacada (E2) recibirá miles de mensajes destinados a direcciones de su dominio con el agravante que la parte local de la dirección no existe generándose un nuevo error y una nueva transacción SMTP produciendo el colapso de los servidores de correo.

Todos estos problemas nos pueden llevar a pensar en la fragilidad del correo-e en Internet y la pérdida de confianza en este útil servicio. Si al spam habitual, se le añaden sus efectos colaterales mas allá de la simple recepción de correo no deseado, los virus y la generación mensajes y confusión producida por los Antivirus en las Estafetas, la falsificación de mensajes etc. podemos llegar a la conclusión que el Servicio de Correo electrónico en Internet es inútil. Actualmente los virus es el problema mas grave del correo-e pero éstos tienen sus patrones y por tanto son interceptables con los actuales Antivirus. El spam es un problema del correo-e por la dificultad de evitarlo.

Un problema colateral del incesante aumento del spam es la regulación legislativa que puede llegar a encubrir la regulación de otros aspectos de Internet. Es claro que la legislación en Internet ya comenzó y mucha de ella está relacionada con la protección de datos, el correo-e y el spam.

5.1.4. Medidas contra el spam

Qué es lo que se quiere solucionar:¿ el correo basura en los buzones de los usuarios? o ¿reducir el impacto en los servidores de correo y líneas de comunicaciones? O por el contrario se quiere combatir el spam en general por ser un tormento en la Internet.

En función de cuales sean nuestros objetivos, debemos enfocar las posibles alternativas al problema. No son iguales las soluciones o medidas a adoptar para una Empresa que para un Proveedor de servicios Internet que para una comunidad amplia como puede ser la Comunidad científica Colombiana o latinoamericana Alfa-Redi o mejor la mejor comunidad española RedIRIS. En función de cómo queremos reducir los efectos del spam podemos clasificar las soluciones en:

Precavidas: Medidas que colaboran a evitar recibir o distribuir spam en o desde Empresa o Proveedores. En este bloque se englobaría: eliminación del tag html «malito:» en las páginas Web, Políticas de Uso Aceptable en Empresas y Proveedores, Formación, cumplimiento de la LOPD y registro de ficheros etc.

Reactivas: Medidas que se toman después que el correo (spam) haya llegado a los servidores y buzones. Son medidas del tipo Filtros de contenidos (Content-Filter) tanto para servidores como clientes de correo. Filtros como los existentes en nuestras cuentas oficiales suministradas por el cendoj[28] para evitar el acceso de éstos.

Proactivas: Medidas que se toman antes que el correo (spam) llegue a los servidores. Son medidas del tipo listas negras , denuncias y Legislación.

Es necesario dejar claro que no hay solución ni exacta ni infalible ni global, la aplicación de todas si reducirá el impacto del spam. Esto no implica que no se deban tomar medidas porque las que se tomen siempre reducirán en mayor o menor grado el impacto del spam. Las técnicas de los spammers cambian continuamente a medida que aparecen nuevas técnicas para evitarlo.

Estas medidas son necesarias para prevenir la captura de nuestras direcciones de correo. La distribución de spam sólo es posible si se dispone de muchas de estas direcciones. La captura de direcciones escaneando páginas Web es una técnica habitual para la distribución de spam. Existen numerosos programas de manejo sencillo y distribución pública que permiten este tipo de técnicas. Un diseño de páginas donde se tenga en cuenta evitar utilizar el tag mailto: será un primer paso para evitar capturar direcciones que acaben alimentando estas bases de datos y reducir el spam. La mejor alternativa al uso de estos tag es la implementación de formularios Web cuya información sea enviada por correo al buzón correspondiente para lectura.

Otra de las medidas preventivas que debería ser adoptada es la disponibilidad de un documento que defina la Política de Uso Aceptable del correo-e en la Empresa o en Proveedores. Básicamente este tipo de documentos deben definir los derechos y obligaciones del uso del servicio con recursos de la empresa o Proveedor. El uso del correo electrónico e Internet en las empresas ha abierto un nuevo capítulo en el debate sobre los límites de la privacidad y el control. Es claro que se minimizan los conflictos en una empresa por aspectos relacionados con el correo-e cuando las empresas
disponen de Políticas de Uso sencillas, claras y conocidas por todos. En dicho documento la Empresa debería aceptar que las técnicas de spam no forma parte de su mecanismo de marketing y publicidad. Un tema muy importante a tener en cuenta es la labor de formación e información continua de los empleados en todos los aspectos relacionados con el correo: lo qué es, uso correcto, tipos de abuso, legislación relacionada y descripción del spam.

Evidentemente estas políticas de uso en un proveedor de servicios Internet (ISP) tendrían enfoques diferentes ya que no hay empleados sino usuarios/clientes que usarán los servicios. Los Servicios de los ISP son los que usan las empresas para distribuir spam por lo que deberían de disponer de una reglamentación contundente especificando claramente los tipos de abuso en el correo-e como la distribución masiva de correo así como sus penalizaciones. Este es un buen ejemplo de un extracto de la Política de Uso de Aceptable de un proveedor[29] :

«Por esta razón, se entenderá que los clientes han infringido la política de usos aceptables de VERIO y el Contrato de servicios cuando los clientes realicen las siguientes acciones consideradas como prohibidas: Spamming – Enviar correo no solicitado y/o mensajes comerciales no solicitados a través de Internet (llamado «spamming»).

No es solamente por el impacto negativo que pueda crear en el consumidor hacia VERIO, además puede sobrecargar la red de VERIO haciendo que el servicio que se ofrece al cliente no pueda ofrecerse en condiciones plenas de calidad. De la misma forma, el mantener una pasarela SMTP abierta está prohibido. Cuando una queja es recibida VERIO tiene la potestad de determinar si cumple o no las características que infringen las normas o determinan que se ha realizado Spamming.»

Los ISP que ofrecen servicios de conectividad también deberían especificar en los contratos las condiciones de uso dejando claro que como responsables de las direcciones IP no se acepta la distribución de spam por sus líneas y por tanto cualquier denuncia recibida será canalizada convenientemente.

5.1.5. Regulando el spam.

La forma en que regulan las normas jurídicas según el sistema de precios sombra postulado por autores como POSNER[30] . De acuerdo a este modelo, las sanciones que se adjuntan a determinadas conductas representarían el costo -o precio sombra- de esas conductas. Se trata de sanciones aplicadas al sujeto en forma centralizada por un órgano que posee el monopolio de la fuerza.

Junto a las normas jurídicas existen un segundo conjunto de normas que constriñen la conducta de las personas. Estas son las normas sociales. Coinciden con las jurídicas en que los incentivos de la conducta quedan determinados por sanciones ex post. Difieren, sin embargo, en el hecho que dichas sanciones son aplicadas descentralizadamente.

Estas cuatro modalidades regulan la conducta de los sujetos independientemente de si esta tiene lugar en el espacio real o en el ciberespacio. De esta manera existen leyes que sancionan el robo con violencia e intimidación en las personas y leyes que sancionan violaciones a la propiedad intelectual en las plataformas digitales. Existen normas sociales que regulan qué decir en una reunión y normas sociales que regulan qué escribir en un grupo de discusión. Los precios constriñen nuestras posibilidades de viajar a la costa una vez al año en primera clase y limitan nuestra posibilidad de
disponer de una conexión a Internet por cable para cada uno de los miembros de la familia. Finalmente, la arquitectura de una ciudad favorece la interacción social si posee amplios espacios verdes accesibles a todos sus habitantes, la lesiona si los espacios verdes son reemplazados por plazas cercadas. Asimismo la arquitectura -o el código en el caso de las plataformas digitales- regula la conducta en el ciberespacio, determinando a qué lugares se puede ingresar y a cuáles no, a dónde se recolecta información y en cuales se respeta el derecho a la privacidad del sujeto, etc.

En el caso de la transmisión de los sistemas de comunicación de información, este rango incluye encriptación, detección de duplicación de mensajes, secuenciamiento de mensajes, entrega garantizada de mensajes, detección de fallas de anfitrión, y recibos de envíos. En un contexto más amplio, el argumento parece aplicarse a muchas otras funciones del sistema operativo de un computador, incluyendo su sistema de archivos.

5.1.6. Utilizando el derecho para regular el spam.

Actualmente existe un nutrido conjunto de normas legales que regulan el tratamiento de datos personales y, con diversidad de enfoques y mayor o menor intensidad, el spam[31] . Aún cuando no es posible examinar detalladamente aquí la fisonomía de las distintas regulaciones, un rápido examen de algunas proposiciones para regular el spam puede dar noticia acerca de los contornos entre los cuales se mueven los cuerpos normativos. Según Maza Gazmuri pueden considerarse cinco opciones al momento de regular el spam:
(1) la opción prohibitiva,
(2) (2) el «etiquetamiento» de spam como spam,
(3) la opción anti-fraude,
(4) La utilización de bienes muebles sin autorización (trespass to chattels), y
(5) la opción «opt. out.»

(1) En su versión extrema, la opción prohibitiva consiste en proscribir todo tipo de publicidad comercial no consentida. Una versión más popular consiste en prohibir únicamente el envío de publicidad por correo electrónico cuando esta no haya sido solicitada -es decir el receptor haya prestado su consentimiento sobre la recepción de correos- o bien exista una relación anterior entre el emisor y el receptor. La ventaja de este enfoque es evidente, por una parte reduce significativamente el número de correos enviados, y por otra, solo reciben correos quienes lo desean.

(2) El etiquetamiento de los correos comerciales consiste en indicar en el «asunto»(subject) del mensaje su carácter comercial. De esta manera, solo serían permitidos aquellos correos que identificaran con suficiente elocuencia su contenido Etiquetar correos posee dos ventajas, de una parte permite a los usuarios disminuir el tiempo y recursos que utilizan bajando correos, de otra facilita el funcionamiento de los filtros que utilicen los usuarios para evitar el ingreso de publicidad a sus respectivas casillas.

(3) El enfoque anti-fraude consiste en sancionar aquellos correos electrónicos masivos cuando

(1) utilizan el nombre de dominio de una tercera parte sin su autorización o, de otra manera, disfrazan el verdadero punto de origen del correo electrónico o

(2) contienen información falsa o engañosa en la línea del «asunto» del correo electrónico.

La importancia de ambos mecanismos es que endosan dos de los problemas más frecuentes en el envío de correos no deseados, a saber la introducción de nombres de dominio falsos o información de enrutamiento (routing) y el despliegue de información engañosa en la línea de asunto del correo electrónico. Ambas prácticas son utilizadas por spammers más avanzados para engañar a los servidores y a los usuarios sobre la fuente de los correos electrónicos.

(4) Utilización de bienes muebles sin autorización[32] . Cierta legislación basada en un nutrido contingente de casos resueltos por tribunales norteamericanos en los últimos años, ha utilizado esta figura para enfrentar el spam. Para que el spammer sea imputable de la utilización no consentida de bienes muebles, quien la alega debe acreditar algún tipo de interferencia sustancial al ejercicio de su dominio. En el caso del spam, quizás el precedente más famoso sea el sentado a partir de Compuserve Inc, v. Cyberpromotions, en el cual Compuserve alegó que el envío masivo de correos electrónicos por parte de Cyberpromotions había producido daño físico al equipo del demandante y, además, había dañado su reputación y buenas relaciones con sus clientes

(5) Opt-out. Las legislaciones que funcionan con esquemas de opt-out permiten el envío de correos masivos no solicitados a menos que el receptor le haya informado al spammer que no desea seguir recibiendo correos (opt-out específico) o bien el receptor se haya incluido en una lista o registro (registros de opt-out) a través de la cual se informa a los spammers que esa persona no desea recibir publicidad. Aunque el opt-out es una de las opciones preferidas al momento de legislar sobre spam presenta en sus dos versiones bastantes problemas. En el caso del opt-out específico, existe alguna
evidencia que un número relevante de spammers utiliza las cláusulas de remoción para verificar la dirección de correo electrónico del receptor y no lo remueve de sus registros aún cuando este ha utilizado la cláusula de remoción según las instrucciones del spammer. de los registros de opt-out, una de las principales críticas es que los mismos registros pueden ser utilizados para recolectar direcciones. En adición a lo anterior, un segundo problema -la Directiva 2000/31 reside en la administración de las listas o registros de exclusión, si existe una gran cantidad de ellos es muy improbable que los spammers asuman el costo de revisar cada una de ellas antes de enviar sus correos.

La legitimidad de la legislación y su notificación. Desde Rousseau al menos afirmamos que la última fuente de legitimidad de la ley reside en el hecho que ella plasma la voluntad de los sujetos imperados por ella. Esta legitimidad se fractura al desvanecerse los límites territoriales en que habitan dichos sujetos. Respecto a la noticia, las fronteras físicas entre países constituyen recordatorios para quienes las traspasan del hecho que están ingresando a un espacio regido por leyes determinadas. En el ciberespacio no existe una diferencia relevante a estos efectos en el acceso a un sitio Web ubicado en Nueva Delhi, Tokio, La Paz o Santiago de Chile[33] .

Una defensa frente a la «aterritorialidad» de Internet consiste en sostener que esta puede ser corregida a través de tratados internacionales. Esto, sin embargo, supone uniformidad entre las diversas legislaciones sobre spam que, como se ha advertido, a la fecha no existe, sólo conocemos la ya referenciada española y el proyecto de ley colombiano. Junto al problema de la aterritorialidad de Internet, aún es posible registrar tres inconvenientes más al momento de utilizar la legislación para regular el envío masivo de correos no solicitados. El primero es el dinamismo de la tecnología, el segundo es la legitimación de ciertas formas de correo no deseado al prohibir otras Finalmente, el tercero, tiene que ver con la especial protección que suele recibir la libertad de expresión.

Las normas sociales constituyen una modalidad de regulación privada caracterizada por un acuerdo tácito sobre la validez de un cierto esquema normativo. En el caso de Internet este tipo de acuerdos tácitos constituyeron, en los comienzos, la forma más común de regular la interacción social. Aproximadamente hasta 1996 la presión social fue el enfoque predominantemente utilizado para combatir el spam. Particularmente en las primeras etapas de Internet, las reglas informales de netiqueta (netiquette) y algunas políticas de uso aceptables perdidas por ahí, prohibían o al menos desincentivaban la mayoría de los usos comerciales de Internet. El spam, y en menor grado toda la actividad comercial, poseía un estigma suficiente para disuadir a la mayoría de los usuarios de Internet de incurrir en ella. El problema con este tipo de regulación, es que únicamente parece funcionar en comunidades pequeñas que presentan escasos cambios en el tiempo en la composición de sus miembros. Tanto la internalización de las normas sociales como la sanción por su incumplimiento se ven perjudicadas en comunidades demasiado extensas, particularmente cuando la composición de estas presenta altos grados de dinamismo. En el caso de Internet, la comunidad original estaba compuesta por un grupo pequeño y homogéneo de programadores y hackers que compartían una cierta visión de la Red. El grupo, sin embargo, ha crecido, actualmente la «comunidad Internet» cuenta con alrededor de 500 millones de miembros distribuidos alrededor de todo el mundo. En este escenario resulta difícil pensar en la internalización de normas sociales o en una sanción por su incumplimiento. Esta característica distingue a las normas sociales de otros esquemas de regulación privada como la regulación horizontal a través de contratos. El problema del spam, sin embargo, es que los costos de transacción involucrados dificultan la utilización de esquemas contractuales para regular privadamente el spam.

En la medida que el tamaño de un grupo aumenta resulta menos probable que todos sus miembros sigan compartiendo una comunidad de intereses. Los miembros comienzan a sentirse anónimos y, por lo tanto, a sentir menos presión social sobre sus acciones. Alguien podría sentirse avergonzado de transgredir una barrera moral en frente de personas que conoce, pero deseoso de hacerlo en frente de extraños. Respecto de esto último, a diferencia de los mecanismos de regulación legales, la sanción del incumplimiento de normas sociales carece de un ente centralizado que la aplique. Aún cuando exista un cierto consenso respecto a la reprochabilidad de una práctica, la aplicación de la sanción se encuentra distribuida al interior de la comunidad.

En el caso del spam, la sanción suele estar de cargo de tres actores: los proveedores de servicios de Internet, algunas asociaciones empresariales, generalmente relacionadas con servicios de marketing y los «vigilantes».

Proveedores de servicios de Internet. Un gran número de proveedores de servicios de Internet contempla entre sus términos de servicios la prohibición a sus suscriptores de incurrir en envío masivo de correo no deseado. Sin embargo, algunas de las prohibiciones son equívocas, de manera que la prohibición puede referirse únicamente al envío de correos no deseados a suscriptores de ese proveedor. Otro problema es que los mismos proveedores pueden obtener ganancias vendiendo a spammers las direcciones de sus propios suscriptores o enviar ellos mismos correos no deseados a sus suscriptores.

Los vigilantes. Se trata en este caso de personas privadas que actúan en la Red sancionando a quienes incurren en actividades relacionadas con spam. De esta manera, alguna de las técnicas empleadas para sancionar son poner a los spammers en listas negras, «llamear» (flaming) al spammer o bien utilizar programas llamados Cancelbots que borran automáticamente los avisos múltiples puestos en grupos de discusión. Si no es posible identificar al spammer, entonces se sanciona al proveedor de servicios desde donde se enviaron los correos.

El caso de los vigilantes ilustra aquello de tomar la justicia en las propias manos, con todas sus ventajas y riesgos. Por una parte, el vigilantismo contribuye a solucionar la falta de posibilidades sancionatorias a quienes violan una norma social comúnmente aceptada. Sin embargo su falta de institucionalización transforma el vigilantismo en una práctica con escasos niveles de predictibilidad y amplios márgenes de error y arbitrariedad.

El resultado de la aplicación de normas sociales como mecanismos reguladores del spam no es parejo. En Estados Unidos, por ejemplo, los miembros de la Asociación de Marketing Directo (DMA) han intentado enfrentar el problema del spam con mecanismos autorregulatorios. Estos mecanismos, sin embargo, han tenido escaso éxito. La explicación de lo anterior tiene que ver con dos razones, la primera es que el spam siempre ha sido una actividad que ha operado al margen de las convenciones sociales, por lo mismo, es poco lo que la presión social puede hacer sobre ella. La segunda es que este tipo de mecanismos carece, por lo general, de métodos suficientes
para llevar adelante las sanciones.

5.1.7 Cómo actuar frente al spam:

o No responder nunca un mensaje no solicitado. Lo único que hará es confirmar que su dirección está activa.
o No responda uno de estos mensajes con insultos y cosas por el estilo.Puede volverse en su contra.
o Quejarse al postmaster de la persona que realiza el spam.
o Configurar filtros o reglas de mensaje en el programa de correo para no recibir más mensajes de una dirección determinada.
o No dejar la dirección de mail en cualquier formulario o foro de Internet.

Si está recibiendo demasiado correo basura, tal vez lo mejor sea cambiar la dirección de correo.

6.2. Los Derechos Fundamentales Vulnerados

6.2.1 La sensibilidad del dato electrónico, la autodeterminación informática, el derecho a la intimidad y habeas data.

Actualmente, todos los individuos – voluntariamente – proporcionan sus datos personales a distintas instituciones públicas o privadas, por distintas razones. El apropiado tratamiento de los datos, permite convertirlos en información útil para el logro de determinados objetivos. Pero esos datos pueden amenazar la dignidad de los hombres por el uso arbitrario y malicioso de la informática. El peligro se concreta con la capacidad de almacenamiento en la memoria de los ordenadores, la celeridad de todo el proceso, el desarrollo de las disímiles técnicas reservadas para el manejo de volúmenes de información, etc.

El ordenador puede verificar los datos sobre un individuo introducidos en su memoria y cotejar la imagen real de los datos del individuo en cuestión. Todos esos datos deben ser protegidos contra el acceso de quienes no estén autorizados. Esta necesaria protección es un límite al manejo de la informática ante el temor de que pueda atentar la intimidad de los ciudadanos y que pueda restringir el ejercicio de sus derechos.

Una base de datos, esta compuesta por todo tipo de información aportados por las personas para determinados fines. Pero también existe una gran variedad de medios a través de los cuales se compila información de las personas sin su consentimiento, tal como sucede en algunos sitios de Internet que cruzan datos de las personas que lasvisitan y conforman un perfil del interesado.

La existencia de enormes bases de datos que contienen gran cantidad de información referida a las personas, es una consecuencia de la informática y sin la cual seria imposible su existencia.

Lo importante es la finalidad para el cual se usara la información allí almacenada para evitar que seamos discriminados debido a un uso desatinado de sus datos.

La cuestión es aun mas grave si especulamos que esas bases de datos pueden ser atacadas por crackers que son aquellos aficionados a la computación que obtienen accesos no autorizados a los sistemas de computación, robando o destruyendo datos, y que buscan información para si o para terceros.

La ambición para conseguir datos no es el mismo que para actualizarlos, rectificarlos, suprimirlos o modificarlos.

La doctrina especialista en el tema, se refiere al amparo debido a los ciudadanos contra la posible utilización por terceros de sus datos personales susceptibles de tratamiento automatizado para confeccionar una información que afecte a su entorno personal, social o profesional en los límites de su intimidad.

La protección de datos esta prevista por las innovadoras legislaciones mediante el derecho a la intimidad y su transmisión telemática cuando aparece una nueva relación entre datos y personas que necesitan ser protegidos mas allá de las normas referentes a la intimidad.

Lo primordial es que los datos no generen situaciones de segregación por cuestiones de salud, raza, ideas, costumbres y datos que pudieran llegar a limitar nuestras posibilidades.

Son base de datos privadas los datos que tienen regulados situaciones o circunstancias en que la persona se ve obligada a darlos o ponerlos en conocimiento de un tercero, debiendo impedir su difusión y respetar la voluntad de secreto sobre ellos, de su titular. A su vez, dentro de los privados encontramos los datos personales íntimos, que son aquellos que el individuo puede proteger su difusión frente a cualquiera y que, de acuerdo con un fin determinado, esta obligado a dar, salvo algunas excepciones. Estos datos secretos son los denominados datos sensibles, definidos por la Constitución Nacional en su artículo 15 que en su tenor literal dice: «Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer a actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas»

Y como datos personales que requieren una protección especial, tales como ideas políticas, creencias religiosas, salud física o mental, comportamiento sexual de los individuos y la autodeterminación informática. Este es el derecho conocido como habeas data, considerado hoy como uno de los más importantes derechos fundamentales, especialmente dado el desarrollo de la cibernética, la informática y la telemática y en general de la información y las comunicaciones[34] en la actualidad.

En forma errada el demandado constitucional alega que el derecho de habeas data sólo es viable para cuando se refiere a datos financieros, precisamente sobre el tópico el Dr. Nelson Remolina[35] en conferencia ofrecida en el Hotel Ambalá, en la ciudad de Ibagué, se refería que el habeas data se establece el manejo de cualquier dato sensible, de ahí el porque se torna viable una acción de tutela para cuando, v/gratia en un centro asistencial se le diagnostica a un paciente erradamente una enfermedad terminal y se publican sus datos. Compartimos la tesis del Dr. Remolina, porque no puede ser excluida en ninguna ley, la viabilidad de la acción de amparo para cuando se manejan datos diferentes a los financieros como los que usualmente manipulan la mayoría de las empresas que conservan bases de este tipo.

Podríamos decir que una de las mas frecuentes violaciones de los derechos humanos en el presente la constituyen las actuaciones de entidades particulares o públicas que tienen por objeto recopilar información confidencial o personal de los individuos, sin que el dato sea verificado, ni conocido por la persona afectada por el mismo o ilegalmente manipulado. Igualmente este manejo informático del dato impide la actualización y el olvido con que la persona está sujeta irredimiblemente a soportar la carga de su pasado o de un uso impropio de la información confidencial o de sus registros informáticos, para ser utilizada como medio de presión para alcanzar fines desleales o propósitos ilícitos.

Para una mayor ilustración analizaremos el término de Intimidad: según el diccionario Jurídico Espasa[36] es un derecho constitucionalmente reconocido y protegido, es objeto de tutela en la diversas ramas del ordenamiento jurídico, entre ellas la penal, según el Diccionario de la Academia de la Lengua Española, es la zona espiritual y reservada de un grupo de personas; esta definición coincide con la llamada «doctrina de la autodeterminación informativa», creada por el Tribunal Constitucional Alemán en un fallo del 15 de diciembre de 1983, donde se instituye que es titular de los datos personales la propia persona y debe ser requerido su consentimiento por parte de terceros que deseen almacenarlos, cederlos o publicarlos; el Diccionario Jurídico de Ossorio y Gallardo, define al derecho a la intimidad como el derecho que tienen las personas a que su vida intima sea respetada, que nadie se entrometa en la existencia ajena publicando retratos, divulgando secretos, difundiendo correspondencia, mortificando a otros en sus costumbres y perturbando de cualquier otro modo su intimidad.

Por su parte nuestra Corte Constitucional ya se ha referido al respecto sobre el derecho de la intimidad afirmando que: «Es un derecho entonces, personalísimo, según inspiración constitucional relativa a la dignidad humana, que debe ser tutelado cuando, por la acción de terceros, se produce una intromisión indebida en el ámbito personal o familiar del sujeto que conlleva la revelación de asuntos privados, el empleo de su imagen o de su nombre, o la perturbación de sus afectos o asuntos más particulares e íntimos relativos a su sexualidad o salud, con o sin divulgación en los medios de
comunicación.

Se ha considerado doctrinariamente, que constituyen aspectos de la órbita privada, los asuntos circunscritos a las relaciones familiares de la persona, sus costumbres y prácticas sexuales, su salud, su domicilio, sus comunicaciones personales, los espacios limitados y legales para la utilización de datos a nivel informático, las creencias religiosas, los secretos profesionales y en general todo «comportamiento del sujeto que no es conocido por los extraños y que de ser conocido originaría críticas o desmejoraría la apreciación» que éstos tienen de aquel. [37]

El avance de este derecho no es reciente, ya que podemos remontarnos al año 1890 donde una publicación en el diario «Harward Law Review» salvaguardaba la propiedad de cada individuo sobre la propia privacidad, como el derecho de estar solo (to be let alone); pero en el siglo XX, el derecho a la intimidad adquiere un predominio especial ya que actualmente cubre un cúmulo de relaciones que el individuo mantiene sobre otros y que deben ser preservados como de su reserva personal. El derecho a la intimidad es el derecho de toda persona a que se le respete en su vida privada y familiar, y a evitar injerencias arbitrarias en la zona espiritual íntima y reservada de una persona.

El nuevo derecho a la intimidad posee una faz preventiva y una faz reparadora:
preventiva por la facultad de conocer los datos personales que constan en registros automatizados, de exigir la rectificación, actualización y cancelación de la información; y reparadora por la posibilidad de resarcimiento de daños y perjuicios por parte de quien lo padece.

En nuestro derecho positivo, que posee un rango constitucional, la evolución de este derecho puede resumirse desde el «secreto» al «control» de la información que se tiene de uno mismo en los bancos de datos.

Este derecho a la intimidad se encuentra por estos días seriamente amenazado por la capacidad que posee tanto el sector público como el privado, de acumular gran cantidad de información sobre los individuos en forma digital. Con el desarrollo constante e ininterrumpido de la informática y las telecomunicaciones, se permite a tales entidades a manipular, alterar e intercambiar datos personales a gran velocidad y bajo costo. Así obtenemos sociedades altamente informatizadas en la que nuestras conductas y acciones son observadas y registradas y será imposible evitar la estigmatización y encasillamiento.

No se trata aquí de agotar el problema de la definición, sino nada más de dar noticias sobre las dificultades que existen al momento de determinar los elementos que la componen. Como no es difícil advertirlo, estas dificultades son uno de los escollos que deben ser superados al momento de legislar sobre el tema o aplicar la legislación vigente.

En Colombia se tramita el proyecto de Ley nº 16638 de 2003, el que » Por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax » y en lo que se refiere al spam los legisladores consignaron el siguiente tipo: «Articulo 5. Queda prohibido el envío de comunicaciones publicitarias o promociónales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas». Igualmente se consagró una sanción dentro del parágrafo único del artículo
3°, que reza: «Parágrafo: Cuando por el mal uso del Internet o Fax se atente contra el patrimonio moral de las personas, se ponga en riesgo su vida o atente contra la seguridad y la estabilidad económica de las empresas, cualquiera que fuese su actividad, las autoridades competentes pueden, con fundamento en los libros de registro, aplicar a los responsables el rigor de las leyes preexistentes en materia civil, comercial o penal para castigar a dichas personas».

Esteremos atentos del futuro legislativo que atañe la atención de este Despacho en el día de hoy, por lo pronto resulta oportuno acotar que España es de los pocos estados que prohíbe absolutamente esta técnica gracias a dos leyes: LSSICE y LORTAD (la primera regularía la utilización del spam y la 2º el origen de los datos ilícitos sin autorización del propietario), que imponen en ambos casos severas sanciones a los responsables.

6.2.2. La vulneración de los derechos fundamentales

Alega el demandado JAIME LEONARDO ** GONZÁLEZ, que se le vulneró el derecho al debido proceso, en razón a la distancia no se practicaron las pruebas que se deberían hacer en la ciudad de Bogotá, y poder probar que no había vulnerado ningún derecho constitucional. Consideramos que dichas pruebas no eran necesarias precisamente por la confesión que el mismo ciudadano demandado hace en su libelo, porque reconoce que sí le ha enviado correspondencia no solicitada al actor del que conservaba la dirección de su correo electrónico en su base de datos.

Extrañamente no refiere el ciudadano ** tener vinculación alguna con su compañero de demanda, esto es, el señor HÉCTOR **, pese a qué éste en el traslado de la demanda constitucional acepta haber contratado los servicios del señor ** GONZALEZ en el manejo de su e-marketing.

El señor ** GONZÁLEZ, en toda la extensión de su escrito de traslado, ha intentado derrumbar por todos los medios la competencia del Estrado, pero se despreocupó de desvirtuar los cargos; no aportó prueba alguna que nos indicará que los argumentos del actor no eran verdad, esto es, que desvirtuara los cargos de haber vulnerado los derechos constitucionales del señor **, como hubiera sido a guisa de ejemplo, que nos hubiera aportado algún contrato virtual que nos enseñara que contaba con la anuencia de éste para recibir mensajes comerciales, como también de manipular su dirección electrónica, lo que en el medio se llama, e-marketing de permiso, en donde se invita al presunto o potencial cliente a recibir los catálogos de productos o servicios ofertados virtualmente, de esta manera una vez contando con la aprobación del futuro cliente, se le remitiría hasta cuando el quiera recibir, los mensajes comerciales[39] . Así es como se debe manejar el mercado virtual, con principios éticos[40] .

Aquella consigna que se agrega a todo spam de que si no quiere recibir más mensajes comerciales, sólo es remitir al postmaster su deseo de no querer recibirlos, es inconstitucional, puesto que se le pide una exclamación sobre un hecho no consentido.

Sabemos que el Spam es el envío indiscriminado de mails no solicitados. Si yo recibo un mail que no solicité de una persona que no conozco, y que al mismo tiempo es enviada a una cantidad de personas que tampoco lo solicitaron, eso es spam. No debería tener necesidad de enviar un mail para que me borren de una lista ya que no deberían agregar mi dirección a ninguna de ellas, puesto que no he autorizado a estar incluido, es ahí en donde se me vulnera mi derecho constitucional y continúa la vulneración cuando comienzan a comercializar mi dirección electrónica, que tampoco he autorizado. Esta advertencia sólo se torna viable si el titular de la cuenta de correo electrónico ha autorizado recibir dichos mensajes, como cuando aceptamos recibir noticias o catálogos al cargar un software en nuestros equipos que ha sido bajado de la Internet.

Además, la mayoría de las veces, al responder el mail pidiendo ser removidos de la lista, lo único que estamos haciendo es confirmar que nuestra dirección existe, con lo cual, en lugar de dejar de recibir mensajes, comenzamos a recibir más.

Recibir spam, es como cuando encuentro a un mismo vendedor golpeando insistentemente en mi casa, para ofertarme sus productos que vende, de los cuales no necesito, yo le replico no quiero nada suyo y le suplico a su vez no insistir ya que no me interesa su genero de productos. Nuevamente el mismo señor u otro personaje, me vuelven a ofrecer los mismos productos, los que no me interesan.

El Habeas Data brinda el derecho a toda persona de conocer qué datos propios han sido incluidos en registros y bancos de datos o en registros privados, destinados a proveer de informes, para pedir su supresión, rectificación, confidencialidad o actualización en caso de falsedad o discriminación.

Los riesgos a los cuáles esta expuesta la vida privada de las personas en la sociedad de la información, en particular, aquellos derivados del tratamiento de datos personales a consecuencia de la utilización de las nuevas tecnologías de la información y de la comunicación, nos hacen cuestionar cual debe ser el rol del derecho ante la referida problemática.

En relación con el derecho a la intimidad, este hace referencia al ámbito personalísimo de cada individuo o familia, es decir, a aquellos fenómenos, comportamientos, datos y situaciones que normalmente están sustraídos a la injerencia o al conocimiento de extraños. Lo íntimo, lo realmente privado y personalísimo de las personas es, como lo ha señalado en múltiples oportunidades la Corte, un derecho fundamental del ser humano, y debe mantener esa condición, es decir, pertenecer a una esfera o a un ámbito reservado, no conocido, no sabido, no promulgado, a menos que los hechos o circunstancias relevantes concernientes a dicha intimidad sean conocidos por terceros por voluntad del titular del derecho a por que han trascendido al dominio de la opinión pública.

El derecho a la información expresa la propensión innata del hombre hacia el conocimiento de los seres humanos con los cuales se interrelaciona y de su entorno físico, social, cultural y económico, lo cual le permite reflexionar, razonar sobre la realidad, adquirir experiencias, e incluso transmitir a terceros la información y el conocimiento recibidos.

La Libertad Informática o Autodeterminación Informativa, ha sido denominada por la doctrina española y colombiana[41] como «un nuevo derecho fundamental que tiene por objeto garantizar la facultad de las personas, para conocer y acceder a las informaciones que les conciernen, archivadas en bancos de datos y controlar su calidad, lo que implica la posibilidad de corregir o cancelar datos indebidamente procesados y disponer sobre su transmisión». Esta facultad, es lo que se conoce como Habeas Data que constituye, en suma, un cauce procesal para salvaguardar la libertad de la persona en la esfera informática.

La Libertad Informática forma parte del núcleo de derechos denominados de tercera generación, debido a que el derecho a la intimidad adquiere una nueva dimensión al verse amenazado por el uso abusivo de la informática. El mismo, bajo la forma de libertad informática, aúna la noción clásica de los derechos de primera generación, la libertad, en cuanto define las posibilidades reales de autonomía y de participación en la sociedad contemporánea, que pueden verse amenazadas por el mal uso que se haga de determinados datos personales; la igualdad, valor guía de los derechos de segunda generación, en cuanto en informática se concibe como un instrumento de control que puede introducir asimetrías entre quien controla ese poder y quienes no tiene acceso a él. A éstos dos valores han de sumársele al hablar de derechos de tercera generación, el de la solidaridad ya que éstos derechos tienen una incidencia universal en la vida de los hombres, y con ella se apunta a garantizar su pleno disfrute, mediante un esfuerzo no egoísta de toda la comunidad.

En el art. 20 de la Constitución Política se garantiza a toda persona la libertad de expresar y difundir sus pensamientos y opiniones, la de informar y recibir información veraz e imparcial, es decir, se trata de una libertad que opera en doble vía, porque de un lado se reconoce la facultad de la libre expresión y difusión de las ideas, conocimientos, juicios u opiniones y de otro se proclama el derecho de acceder o recepcionar una información ajustada a la verdad objetiva y desprovista de toda deformación.

En corolario de lo anterior, el Estrado tutelará los derechos de habeas data, autodeterminación informática y el de intimidad al ciudadano JUAN CARLOS ** **, por habérsele violado en las circunstancias que arriba se anotaron.

Por lo anteriormente expuesto, el Juzgado Segundo Promiscuo Municipal de Rovira Tolima, administrando Justicia en nombre de la República de Colombia y por autoridad de la Ley,

F A L L A

PRIMERO: TUTELAR como en efecto se hace los derechos a: HABEAS DATA, AUTODETERMINACIÓN INFORMÁTICA y a la INTIMIDAD, del ciudadano JUAN CARLOS ** **.

SEGUNDO: ORDENAR a los señores JAIME LEONARDO ** GONZALEZ representante de la firma VIRTUAL CARD y HÉCTOR **, una vez en firme esta providencia no remitir mas correo no solicitado (spam o ace) al señor JUAN CARLOS **** a su cuenta de correo electrónico jc**@network.com y todos los demás correos creados bajo el nombre de dominio i-network.com.

TERCERO: ORDENAR a los señores JAIME LEONARDO ** GONZALEZ y HÉCTOR ** una vez en firme esta decisión, borrar la dirección de correo electrónico jc**@network.com y todos los demás correos creados bajo el nombre de dominio inetwork. com, cuyo titular es el ciudadano JUAN CARLOS ** **, de sus respectivas bases de datos para el manejo de e-marketing en sus empresas.

CUARTO: Se procede a notificar a los demandados en sus corroeos electrónicos (*******) surtiéndose la fórmula señalada en el artículo 29 de la Ley 794 de 2003, que modificó el artículo 315 del Código de Procedimiento Civil. El presente documento electrónico está amparado en los preceptos de los artículos 6°,7° y 8° de la Ley 527/99 que se refiere al mensaje de datos.

QUINTO : Contra la presente decisión procede el recurso de impugnación consagrado en el art. 31 Decreto 2591 de noviembre 19 de 1991.

COPIESE, NOTIFÍQUESE Y CÚMPLASE

ALEXÁNDER DÍAZ GARCÍA
Juez
—————————————————————————————————

[1]Acción de Nulidad Decreto 1382 de 2000. Diciembre 18 de 2002. Consejo de Estado. Sala de lo Contencioso Administrativo CP. Dr. CAMILO ARCINIEGAS ANDRADE. Actor. Franky Urrego Ortiz y otros. Radicación 11001-03-24-000-2000-6414-01. Mayor ilustración en la web site del Consejo de Estado www.ramajudicial.gov.co

[2] Ley 270 de 1996

[3] CENDOJ. Centro de documentación Judicial de la Rama Judicial de Colombia, adscrito al Consejo Superior de la Judicatura y encargada de todo lo relacionado con los recursos informáticos.

[4] Conferencia del Dr. Santiago Muñoz Medina, director del CENDOJ dictada en el Hotel Ámbala de Ibagué Tolima, a los estudiantes de tercer año de derecho de la Universidad Cooperativa de Colombia Seccional Ibagué. Memorias reposan en la Biblioteca del Claustro.

[5] NUÑEZ PONCE, Julio. Abogado, Magíster en Derecho Empresarial, Catedrático de Derecho Informático en la Universidad de Lima. Mayores detalles puede encontrarlos en la Revista Electrónica de Derecho Informático en www.alfa-redi.org

[6] Art. 315 Código de Procedimiento Civil, modificado por la Ley 794, de 2003

[7] POP Postal Office Protocol: Servidor de correo entrante. SMTP Simple Mail Transfer Protocol: Servidor de correo saliente.

[8] Ley 527 de Agosto 18 de 1999, por medio de la cual se define y reglamente el acceso y uso de los mensajes de datos, comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

[9] Ley 794, de Enero 8 de 2003. Reforma al Código de Procedimiento Civil.

[10] Law and Borders-The Rise of Law in Cyberspace. Para una mejor comprensión visite http://www.cli.org/X0025_LBFIN.html

[11] RAGONI. Rodolfo P. E-money, la importancia de definir el medio de pago en el e-commerce, Ed. Prentice Hall, pag.242. 1ª. Edición Buenos Aires Argentina.

[12] A.C.E. Abuso del correo electrónico. Mayor información podrá encontrar en www.cauce.org

[13] Iñigo de la Maza Gazmuri Profesor Facultad de Derecho Universidad Diego Portales.

[14] Ver Cyberangels. http://www.cyberangels.com/law/spam/

[15] Ver KHONG W. K., «Spam Law for the Internet» Refereed article, 2001 (3) The Journal of Information, Law and Technology (JILT). http://elj.warwick.ac.uk/jilt/01-3/khong.html/ ; SORKIN, David. Technical and Legal Approaches to Unsolicited Electronic Mail. U.S.F. L. REV. 325

[16] Es el acrónimo de multi-used shared hallucination

[17] Mayo ilustración si visita http://www.matisse.net/files/glossary.html#M

[18] Glossary of Internet Terms. http://www.matisse.net/files/glossary.html#U

[19] El acrónimo de unsolicited comercial e-mail [UCE]

[20] El acrónimo de unsolicited bulk email [UBE])

[21] Ver http://www.rediris.es/mail/abuso/ace.html

[22] Ver Michael W. CARROLL, Garbage In: Emerging Media and Regulation of Unsolicited Commercial Solicitations, 11 BERKELEY TECH. L. J. (1996). Disponible en http://256.com/gray/spam/law.html

[23] Ver SINROD, Eric & JOLISH, Barak: Controlling Chaos: The Emrging Law of Privacy and Speech in Cyberspace. 1999 STAN. TECH. L. REV. 1. Parag 49. Disponible en http://stlr.stanford.edu/STLR/Articles/99_STLRV_1/

[24] AMADITZ, Keneth: Canning «Spam» in Virginia: Model Legislation to Control Junk E-mail. VA. J.L. & TECH. 4, 1999. Disponible en http://vjolt.student.virginia.edu/graphics/vol4/home_art4.html

[25] Estafeta open-relay: Son Servidores de correo mal configurados que permiten encaminar correo desde cualquier dirección IP. Esto permite un uso indebido de recursos de la empresa por parte de personas ajena a la misma. Estas Estafetas son las preferidas por los spammers para inyectar mensajes de spam y destinado a miles o millones de destinatarios.

[26] Centro de Documentación Judicial de la Rama Judicial de Colombia, mas información en www.ramajudicial.gov.co

[27] Ob cit

[28] Centro de documentación Judicial del Consejo Superior de la Judicatura en Colombia. Mayor información www.ramajudicial.gov.co

[29] Tomado del trabajo denominado Evaluación de alternativas para reducir el spam, del profesor Jesús Sanz de las Heras (Coordinador del servicio de correo electrónico en la comunidad académica española, RedIRIS) Mayor ilustración en www.rediris.es

[30] Ver, POSNER: Richard EL ANÁLISIS ECONÓMICO DEL DERECHO. Fondo de Cultura Económica.México D.F.: 1998.

[31] En el caso europeo pueden citarse las Directivas 95/46 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Diario Oficial de las Comunidades Europeas nº L 281 de 23/11/1995 P. 0031 – 0050); la 97/7 relativa a la protección de los consumidores en materia de contratos a distancia (Diario oficial de las Comunidades Europeas nº L 272 de 08/10/1998 P. 0022 – 0022; la 97/66 relativa al tratamiento de los datos personales y a la protección de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (Diario Oficial de las Comunidades Europeas nº L 024 de 30/01/1998 P. 0001 -0008); y la Directiva 2000/31 relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). (Diario Oficial de las Comunidades Europeas nº L 178 de 17/07/2000 P. 0001 – 0016). Las directivas pueden ser consultadas en http://europa.eu.int/eur-lex/es/. Visitado 15/03/2002. Una buena selección sobre legislación nacional a nivel europeo puede encontrarse en Unsolicited Commercial Communications and Data Protection. (cit. Pp. 131-138). Una selección sobre regulación a nivel nacional puede encontrarse en DAVARA , Miguel Angel: LA PROTECCIÓN DE DATOS EN EUROPA. Grupo Asnef Equifax, Universidad Pontificia Comillas ICAI – ICADE. Madrid 1998. En el caso estadounidense, más de una docena de estados han promulgado legislación antispam, entre ellos California, Illinois, Louisiana, Nevada, Tennesse, Virginia, Washington, Connecticut, Delaware, Missouri, Oklahoma, Pennsylvania) (Ver Technical and Legal Approaches to Unsolicited Electronic Mail. Ob cit. Supra nota 212). Finalmente, para el caso latinoamericano puede consultarse PUCCINELLI, Oscar: EL HABEAS DATA EN NDOIBEROAMÉRICA . Editorial Temis S.A. Santa Fe de Bogotá. 1999. Sobre la situación de algunos otros países -Australia, Canadá, Checoslovaquia, India, Rusia y Yugoslavia- puede consultarse Spam Laws. Disponible en http://www.spamlaws.com/world.html

[32] 58 Esta figura -el trespass to chattels- es un «tort» que proviene de la práctica jurisprudencial anglosajona del siglo XIX y que se configura cada vez que una persona usa, interfiere o de alguna manera desposee al dueño de un bien mueble tangible (para un análisis crítico del trespass to chattels respecto al spam ver BURKE, Dan: The Trouble With Trespass. Disponible en http://papers.ssrn.com/papepr.taf?abstract_id=223513

[33] Como afirman JOHNSON y POST : El ciberespacio no tiene fronteras basadas en el territorio ya que el costo y velocidad de envío de la transmisión de un mensaje en la Red es casi completamente independiente de la ubicación física: los mensajes pueden ser transmitidos desde cualquier ubicación a cualquier ubicación sin arruinarse degradarse o demorarse sustancialmente más y sin que ninguna barrera física o que pueda mantener lugares y personas remotamente alejados separados unos de otros.
La Red permite transacciones entre gente que no se conoce, y en muchos casos , entre gente que no puede conocer la ubicación física de la otra parte. La ubicación continua siendo importante, pero solo la ubicación dentro de un espacio virtual compuesto por las «direcciones» de las máquinas entre las cuales los mensajes y la información es ruteada (Law and Borders-The Rise of Law in Cyberspace. Ob. cit. ).

[34] Módulo sobre la Acción de Tutela. Escuela Judicial Rodrigo Lara Bonilla Pág. 46

[35] Nelson Remolina Angarita. Abogado y especialista en Derecho Comercial de la Universidad de los Andes. Master en Leyes the London School of Economics and Political Sciences, con énfasis en derecho informático y económico (information Technology Law; Electronic Bancking Law; International Economic Law; International Trade Low). Director de Pregrado y profesor de la Facultad de Derecho de la Universidad de los Andes. Profesor de postgrados de las Facultades de Ingeniería y Administración de la Universidad de los Andes. Autor de los temas DATA PROTECTION E INFORMATICA EL DOCUMENTO ELECTRÓNICO y DATA PROTECTION Panorama nacional e internacional, publicado en el libro INTERNET COMERCIO ELECTRÓNICO & TELECOMUNICACIONES por la Universidad de los Andes en asocio con Legis. 2002

[36] Diccionario Jurídico ESPASA. Espasa Siglo XXI. Edi.1998. Pág. 534

[37] Sentencia SU 089 de 1995 del Dr. Jorge Arango Mejía. Sentencia citada por la Corte Constitucional en la T-411 de 13 de Septiembre de 1995. MP. Alejandro Martínez Caballero. 13 de Septiembre de 1995 S. U – 089 de 1995.

[38] PROYECTO DE LEY nº 166-02 «Por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax » Ponente ALVARO ASHTON GIRALDO Representante a la Cámara Departamento del Atlántico

[39] Mayor ilustración en www.comovender.com

[40] Mayor ilustración en www.ispo.cec.be/Ecommerce/legal.html#legal

[41] Entre otras sentencia del CONSEJO DE ESTADO SALA DE LO CONTENCIOSO ADMINISTRATIVO SECCIÓN TERCERA Consejera ponente: MARIA ELENA GIRALDO GÓMEZ Bogotá D. C., treinta y uno (31) de octubre de dos mil uno (2001) Radicación número: 25000-23-24-000-2001-1338-01(AC-1529) Actor: Amparo Barajas García Referencia: Acción de Tutela. Y de la Corte Constitucional las siguientes, entre otras: T-157/94, T-164/94, T-094/95, T-096A/95, T-
097/95, T-199/95)

15Feb/15

¿Qué es el habeas data?

¿Qué es el habeas data?

El habeas data se encuentra regulada por la Ley 1581 de 2012, dicta disposiciones de regulación y manejo de información contenida en bases de datos personales.

Las personas podrán tener acceso a la información que se encuentra suministrada con el fin de actualizar, rectificar, modificar y suprimir los datos personales ante cualquier entidad que administre bases de datos.

La protección de datos es un derecho constitucional relacionado con la seguridad y conservación de la integridad personal y al buen nombre, para el uso y tratamiento se requerirá autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

En los casos en los que se pretenda que la información sea corregida, actualizada o borrada, deberá presentar reclamo ante el responsable del tratamiento o el encargado del tratamiento de datos personales, el reclamo deberá contener:

1. Identificación del Titular, descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

La siguiente instancia es la superintendencia de industria y comercio donde podrá elevarse queja, para acceder a esta entidad es necesario haber agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.

Lexdir Colombia

 

28May/04

Ley 28.237 Código Procesal Constitucional. Habeas Data

Ley 28.237, de 7 de mayo de 2004, del Código Procesal Constitucional. Regula el Habeas Data. (Promulgada el 28 de mayo de 2004 y Publicada en el Diario Oficial «El Peruano» el 31 de mayo de 2004)

TÍTULO PRELIMINAR

Artículo I.- Alcances

El presente Código regula los procesos constitucionales de hábeas corpus, amparo, hábeas data, cumplimiento, inconstitucionalidad, acción popular y los conflictos de competencia, previstos en los artículos 200 y 202 inciso 3) de la Constitución.

Artículo II.- Fines de los Procesos Constitucionales

Son fines esenciales de los procesos constitucionales garantizar la primacía de la Constitución y la vigencia efectiva de los derechos constitucionales.

Artículo III.- Principios Procesales

Los procesos constitucionales se desarrollan con arreglo a los principios de dirección judicial del proceso, gratuidad en la actuación del demandante, economía, inmediación y socialización procesales.

El Juez y el Tribunal Constitucional tienen el deber de impulsar de oficio los procesos, salvo en los casos expresamente señalados en el presente Código.

Asimismo, el Juez y el Tribunal Constitucional deben adecuar la exigencia de las formalidades previstas en este Código al logro de los fines de los procesos constitucionales.

Cuando en un proceso constitucional se presente una duda razonable respecto de si el proceso debe declararse concluido, el Juez y el Tribunal Constitucional declararán su continuación.

La gratuidad prevista en este artículo no obsta el cumplimiento de la resolución judicial firme que disponga la condena en costas y costos conforme a lo previsto por el presente Código.

Artículo IV.- Órganos Competentes

Los procesos constitucionales son de conocimiento del Poder Judicial y del Tribunal Constitucional, de conformidad con lo dispuesto en la Constitución, en sus respectivas leyes orgánicas y en el presente Código.

Artículo V.- Interpretación de los Derechos Constitucionales

El contenido y alcances de los derechos constitucionales protegidos por los procesos regulados en el presente Código deben interpretarse de conformidad con la Declaración Universal de Derechos Humanos, los tratados sobre derechos humanos, así como de las decisiones adoptadas por los tribunales internacionales sobre derechos humanos constituidos según tratados de los que el Perú es parte.

Artículo VI.- Control Difuso e Interpretación Constitucional

Cuando exista incompatibilidad entre una norma constitucional y otra de inferior jerarquía, el Juez debe preferir la primera, siempre que ello sea relevante para resolver la controversia y no sea posible obtener una interpretación conforme a la Constitución.

Los Jueces no pueden dejar de aplicar una norma cuya constitucionalidad haya sido confirmada en un proceso de inconstitucionalidad o en un proceso de acción popular.

Los Jueces interpretan y aplican las leyes o toda norma con rango de ley y los reglamentos según los preceptos y principios constitucionales, conforme a la interpretación de los mismos que resulte de las resoluciones dictadas por el Tribunal Constitucional.

Artículo VII.- Precedente

Las sentencias del Tribunal Constitucional que adquieren la autoridad de cosa juzgada constituyen precedente vinculante cuando así lo exprese la sentencia, precisando el extremo de su efecto normativo. Cuando el Tribunal Constitucional resuelva apartándose del precedente, debe expresar los fundamentos de hecho y de derecho que sustentan la sentencia y las razones por las cuales se aparta del precedente.

Artículo VIII.- Juez y Derecho

El órgano jurisdiccional competente debe aplicar el derecho que corresponda al proceso, aunque no haya sido invocado por las partes o lo haya sido erróneamente.

Artículo IX.- Aplicación Supletoria e Integración

En caso de vacío o defecto de la presente ley, serán de aplicación supletoria los Códigos Procesales afines a la materia discutida, siempre que no contradigan los fines de los procesos constitucionales y los ayuden a su mejor desarrollo. En defecto de las normas supletorias citadas, el Juez podrá recurrir a la jurisprudencia, a los principios generales del derecho procesal y a la doctrina.

TÍTULO I.- DISPOSICIONES GENERALES DE LOS PROCESOS DE HÁBEAS CORPUS, AMPARO, HABEAS DATA Y CUMPLIMIENTO

Artículo 1º.- Finalidad de los Procesos

Los procesos a los que se refiere el presente título tienen por finalidad proteger los derechos constitucionales, reponiendo las cosas al estado anterior a la violación o amenaza de violación de un derecho constitucional, o disponiendo el cumplimiento de un mandato legal o de un acto administrativo.

Si luego de presentada la demanda cesa la agresión o amenaza por decisión voluntaria del agresor, o si ella deviene en irreparable, el Juez, atendiendo al agravio producido, declarará fundada la demanda precisando los alcances de su decisión, disponiendo que el emplazado no vuelva a incurrir en las acciones u omisiones que motivaron la interposición de la demanda, y que si procediere de modo contrario se le aplicarán las medidas coercitivas previstas en el artículo 22 del presente Código, sin perjuicio de la responsabilidad penal que corresponda.

Artículo 2º.- Procedencia

Los procesos constitucionales de hábeas corpus, amparo y hábeas data proceden cuando se amenace o viole los derechos constitucionales por acción u omisión de actos de cumplimiento obligatorio, por parte de cualquier autoridad, funcionario o persona. Cuando se invoque la amenaza de violación, ésta debe ser cierta y de inminente realización. El proceso de cumplimiento procede para que se acate una norma legal o se ejecute un acto administrativo.

Artículo 3º.- Procedencia frente a actos basados en normas

Cuando se invoque la amenaza o violación de actos que tienen como sustento la aplicación de una norma incompatible con la Constitución, la sentencia que declare fundada la demanda dispondrá, además, la inaplicabilidad de la citada norma.

Artículo 4º.- Procedencia respecto de resoluciones judiciales

El amparo procede respecto de resoluciones judiciales firmes dictadas con manifiesto agravio a la tutela procesal efectiva, que comprende el acceso a la justicia y el debido proceso. Es improcedente cuando el agraviado dejó consentir la resolución que dice afectarlo.

El hábeas corpus procede cuando una resolución judicial firme vulnera en forma manifiesta la libertad individual y la tutela procesal efectiva.

Se entiende por tutela procesal efectiva aquella situación jurídica de una persona en la que se respetan, de modo enunciativo, sus derechos de libre acceso al órgano jurisdiccional, a probar, de defensa, al contradictorio e igualdad sustancial en el proceso, a no ser desviado de la jurisdicción predeterminada ni sometido a procedimientos distintos de los previstos por la ley, a la obtención de una resolución fundada en derecho, a acceder a los medios impugnatorios regulados, a la imposibilidad de revivir procesos fenecidos, a la actuación adecuada y temporalmente oportuna de las resoluciones judiciales y a la observancia del principio de legalidad procesal penal.

Artículo 5º.- Causales de improcedencia

No proceden los procesos constitucionales cuando:

1. Los hechos y el petitorio de la demanda no están referidos en forma directa al contenido constitucionalmente protegido del derecho invocado;

2. Existan vías procedimentales específicas, igualmente satisfactorias, para la protección del derecho constitucional amenazado o vulnerado, salvo cuando se trate del proceso de hábeas corpus;

3. El agraviado haya recurrido previamente a otro proceso judicial para pedir tutela respecto de su derecho constitucional;

4. No se hayan agotado las vías previas, salvo en los casos previstos por este Código y en el proceso de hábeas corpus;

5. A la presentación de la demanda ha cesado la amenaza o violación de un derecho constitucional o se ha convertido en irreparable;

6. Se cuestione una resolución firme recaída en otro proceso constitucional o haya litispendencia;

7. Se cuestionen las resoluciones definitivas del Consejo Nacional de la Magistratura en materia de destitución y ratificación de jueces y fiscales, siempre que dichas resoluciones hayan sido motivadas y dictadas con previa audiencia al interesado;

8. Se cuestionen las resoluciones del Jurado Nacional de Elecciones en materia electoral, salvo cuando no sean de naturaleza jurisdiccional o cuando siendo jurisdiccionales violen la tutela procesal efectiva.

Tampoco procede contra las resoluciones de la Oficina Nacional de Procesos Electorales y del Registro Nacional de Identificación y Estado Civil si pueden ser revisadas por el Jurado Nacional de Elecciones;

9. Se trate de conflictos entre entidades de derecho público interno. Los conflictos constitucionales surgidos entre dichas entidades, sean poderes del Estado, órganos de nivel o relevancia constitucional, gobiernos locales y regionales, serán resueltos por las vías procedimentales correspondientes;

10. Ha vencido el plazo para interponer la demanda, con excepción del proceso de hábeas corpus.

Artículo 6º.- Cosa Juzgada

En los procesos constitucionales sólo adquiere la autoridad de cosa juzgada la decisión final que se pronuncie sobre el fondo.

Artículo 7º.- Representación Procesal del Estado

La defensa del Estado o de cualquier funcionario o servidor público está a cargo del Procurador Público o del representante legal respectivo, quien deberá ser emplazado con la demanda. Además, debe notificarse con ella a la propia entidad estatal o al funcionario o servidor demandado, quienes pueden intervenir en el proceso. Aun cuando no se apersonaran, se les debe notificar la resolución que ponga fin al grado. Su no participación no afecta la validez del proceso.

Las instituciones públicas con rango constitucional actuarán directamente, sin la intervención del Procurador Público. Del mismo modo, actuarán directamente las entidades que tengan personería jurídica propia.

El Procurador Público, antes de que el proceso sea resuelto en primer grado, está facultado para poner en conocimiento del titular de la entidad su opinión profesional motivada cuando considere que se afecta el derecho constitucional invocado.

Si el demandante conoce, antes de demandar o durante el proceso, que el funcionario contra quien dirige la demanda ya no ocupa tal cargo, puede solicitar al Juez que este no sea emplazado con la demanda.

Artículo 8º.- Responsabilidad del agresor

Cuando exista causa probable de la comisión de un delito, el Juez, en la sentencia que declara fundada la demanda en los procesos tratados en el presente título, dispondrá la remisión de los actuados al Fiscal Penal que corresponda para los fines pertinentes. Esto ocurrirá, inclusive, cuando se declare la sustracción de la pretensión y sus efectos, o cuando la violación del derecho constitucional haya devenido en irreparable, si el Juez así lo considera.

Tratándose de autoridad o funcionario público, el Juez Penal podrá imponer como pena accesoria la destitución del cargo.

El haber procedido por orden superior no libera al ejecutor de la responsabilidad por el agravio incurrido ni de la pena a que haya lugar. Si el responsable inmediato de la violación fuera una de las personas comprendidas en el artículo 99 de la Constitución, se dará cuenta inmediata a la Comisión Permanente para los fines consiguientes.

Artículo 9º.- Ausencia de etapa probatoria

En los procesos constitucionales no existe etapa probatoria. Sólo son procedentes los medios probatorios que no requieren actuación, lo que no impide la realización de las actuaciones probatorias que el Juez considere indispensables, sin afectar la duración del proceso. En este último caso no se requerirá notificación previa.

Artículo 10º.- Excepciones y defensas previas

Las excepciones y defensas previas se resuelven, previo traslado, en la sentencia.

No proceden en el proceso de hábeas corpus.

Artículo 11º.- Integración de decisiones

Los jueces superiores integrarán las decisiones cuando adviertan alguna omisión en la sentencia, siempre que en ella aparezcan los fundamentos que permitan integrar tal omisión.

Artículo 12º.- Turno

El inicio de los procesos constitucionales se sujetará a lo establecido para el turno en cada distrito judicial, salvo en los procesos de hábeas corpus en donde es competente cualquier juez penal de la localidad.

Artículo 13º.- Tramitación preferente

Los jueces tramitarán con preferencia los procesos constitucionales. La responsabilidad por la defectuosa o tardía tramitación de estos, será exigida y sancionada por los órganos competentes.

Artículo 14º.- Notificaciones

Todas las resoluciones serán notificadas oportunamente a las partes, con excepción de las actuaciones a que se refiere el artículo 9 del presente Código.

Artículo 15º.- Medidas Cautelares

Se pueden conceder medidas cautelares y de suspensión del acto violatorio en los procesos de amparo, hábeas data y de cumplimiento. Para su expedición se exigirá apariencia del derecho, peligro en la demora y que el pedido cautelar sea adecuado para garantizar la eficacia de la pretensión. Se dictan sin conocimiento de la contraparte y la apelación sólo es concedida sin efecto suspensivo. Su procedencia, trámite y ejecución dependen del contenido de la pretensión constitucional intentada y del aseguramiento de la decisión final.

El juez al conceder la medida atenderá al límite de irreversibilidad de la misma.

Cuando la solicitud de medida cautelar tenga por objeto dejar sin efecto actos administrativos dictados en el ámbito de aplicación de la legislación municipal o regional, serán conocidas en primera instancia por la Sala competente de la Corte Superior de Justicia del Distrito Judicial correspondiente.

De la solicitud se corre traslado por el término de tres días, acompañando copia certificada de la demanda y sus recaudos, así como de la resolución que la da por admitida, tramitando el incidente en cuerda separada, con intervención del Ministerio Público. Con la contestación expresa o ficta la Corte Superior resolverá dentro del plazo de tres días, bajo responsabilidad salvo que se haya formulado solicitud de informe oral, en cuyo caso el plazo se computará a partir de la fecha de su realización. La resolución que dicta la Corte será recurrible con efecto suspensivo ante la Corte Suprema de Justicia de la República, la que resolverá en el plazo de diez días de elevados los autos, bajo responsabilidad.

En todo lo no previsto expresamente en el presente Código, será de aplicación supletoria lo dispuesto en el Título IV de la Sección Quinta del Código Procesal Civil, con excepción de los artículos 618, 621, 630, 636 y 642 al 672.

Artículo 16º.- Extinción de la medida cautelar

La medida cautelar se extingue de pleno derecho cuando la resolución que concluye el proceso ha adquirido la autoridad de cosa juzgada.

Si la resolución final constituye una sentencia estimatoria, se conservan los efectos de la medida cautelar, produciéndose una conversión de pleno derecho de la misma en medida ejecutiva. Los efectos de esta medida permanecen hasta el momento de la satisfacción del derecho reconocido al demandante, o hasta que el juez expida una resolución modificatoria o extintiva durante la fase de ejecución.

Si la resolución última no reconoce el derecho reclamado por el demandante, se procede a la liquidación de costas y costos del procedimiento cautelar. El sujeto afectado por la medida cautelar puede promover la declaración de responsabilidad.

De verificarse la misma, en modo adicional a la condena de costas y costos, se procederá a la liquidación y ejecución de los daños y, si el juzgador lo considera necesario, a la imposición de una multa no mayor de diez Unidades de Referencia Procesal.

La resolución que fija las costas y costos es apelable sin efecto suspensivo; la que establece la reparación indemnizatoria y la multa lo es con efecto suspensivo.

En lo que respecta al pago de costas y costos se estará a lo dispuesto por el artículo 56.

Artículo 17º.- Sentencia

La sentencia que resuelve los procesos a que se refiere el presente título, deberá contener, según sea el caso:

1) La identificación del demandante;

2) La identificación de la autoridad, funcionario o persona de quien provenga la amenaza, violación o que se muestre renuente a acatar una norma legal o un acto administrativo;

3) La determinación precisa del derecho vulnerado, o la consideración de que el mismo no ha sido vulnerado, o, de ser el caso, la determinación de la obligación incumplida;

4) La fundamentación que conduce a la decisión adoptada;

5) La decisión adoptada señalando, en su caso, el mandato concreto dispuesto.

Artículo 18º.- Recurso de agravio constitucional

Contra la resolución de segundo grado que declara infundada o improcedente la demanda, procede recurso de agravio constitucional ante el Tribunal Constitucional, dentro del plazo de diez días contados desde el día siguiente de notificada la resolución. Concedido el recurso, el Presidente de la Sala remite al Tribunal Constitucional el expediente dentro del plazo máximo de tres días, más el término de la distancia, bajo responsabilidad.

Artículo 19º.- Recurso de queja

Contra la resolución que deniega el recurso de agravio constitucional procede recurso de queja. Este se interpone ante el Tribunal Constitucional dentro del plazo de cinco días siguientes a la notificación de la denegatoria.

Al escrito que contiene el recurso y su fundamentación, se anexa copia de la resolución recurrida y de la denegatoria, certificadas por abogado, salvo el caso del proceso de hábeas corpus.

El recurso será resuelto dentro de los diez días de recibido, sin dar lugar a trámite.

Si el Tribunal Constitucional declara fundada la queja, conoce también el recurso de agravio constitucional, ordenando al juez superior el envío del expediente dentro del tercer día de oficiado, bajo responsabilidad.

Artículo 20º.- Pronunciamiento del Tribunal Constitucional

Dentro de un plazo máximo de veinte días tratándose de las resoluciones denegatorias de los procesos de hábeas corpus, y treinta cuando se trata de los procesos de amparo, hábeas data y de cumplimiento, el Tribunal Constitucional se pronunciará sobre el recurso interpuesto.

Si el Tribunal considera que la resolución impugnada ha sido expedida incurriéndose en un vicio del proceso que ha afectado el sentido de la decisión, la anulará y ordenará se reponga el trámite al estado inmediato anterior a la ocurrencia del vicio. Sin embargo, si el vicio incurrido sólo alcanza a la resolución impugnada, el Tribunal la revoca y procede a pronunciarse sobre el fondo.

Artículo 21º.- Incorporación de medios probatorios sobre hechos nuevos al proceso

Los medios probatorios que acreditan hechos trascendentes para el proceso, pero que ocurrieron con posterioridad a la interposición de la demanda, pueden ser admitidos por el Juez a la controversia principal o a la cautelar, siempre que no requieran actuación. El Juez pondrá el medio probatorio en conocimiento de la contraparte antes de expedir la resolución que ponga fin al grado.

Artículo 22º.- Actuación de Sentencias

La sentencia que cause ejecutoria en los procesos constitucionales se actúa conforme a sus propios términos por el juez de la demanda. Las sentencias dictadas por los jueces constitucionales tienen prevalencia sobre las de los restantes órganos jurisdiccionales y deben cumplirse bajo responsabilidad.

La sentencia que ordena la realización de una prestación de dar, hacer o no hacer es de actuación inmediata. Para su cumplimiento, y de acuerdo al contenido específico del mandato y de la magnitud del agravio constitucional, el Juez podrá hacer uso de multas fijas o acumulativas e incluso disponer la destitución del responsable. Cualquiera de estas medidas coercitivas debe ser incorporada como apercibimiento en la sentencia, sin perjuicio de que, de oficio o a pedido de parte, las mismas puedan ser modificadas durante la fase de ejecución.

El monto de las multas lo determina discrecionalmente el Juez, fijándolo en Unidades de Referencia Procesal y atendiendo también a la capacidad económica del requerido. Su cobro se hará efectivo con el auxilio de la fuerza pública, el recurso a una institución financiera o la ayuda de quien el Juez estime pertinente.

El Juez puede decidir que las multas acumulativas asciendan hasta el cien por ciento por cada día calendario, hasta el acatamiento del mandato judicial.

El monto recaudado por las multas constituye ingreso propio del Poder Judicial, salvo que la parte acate el mandato judicial dentro de los tres días posteriores a la imposición de la multa. En este último caso, el monto recaudado será devuelto en su integridad a su titular.

Artículo 23º.- Procedencia durante los regímenes de excepción

Razonabilidad y proporcionalidad.- Los procesos constitucionales no se suspenden durante la vigencia de los regímenes de excepción. Cuando se interponen en relación con derechos suspendidos, el órgano jurisdiccional examinará la razonabilidad y proporcionalidad del acto restrictivo, atendiendo a los siguientes criterios:

1) Si la demanda se refiere a derechos constitucionales que no han sido suspendidos;

2) Si tratándose de derechos suspendidos, las razones que sustentan el acto restrictivo del derecho no tienen relación directa con las causas o motivos que justificaron la declaración del régimen de excepción; o,

3) Si tratándose de derechos suspendidos, el acto restrictivo del derecho resulta manifiestamente innecesario o injustificado atendiendo a la conducta del agraviado o a la situación de hecho evaluada sumariamente por el juez.

La suspensión de los derechos constitucionales tendrá vigencia y alcance únicamente en los ámbitos geográficos especificados en el decreto que declara el régimen de excepción.

Artículo 24º.- Agotamiento de la jurisdicción nacional

La resolución del Tribunal Constitucional que se pronuncie sobre el fondo agota la jurisdicción nacional.

TÍTULO II.- PROCESO DE HÁBEAS CORPUS

CAPÍTULO I.- DERECHOS PROTEGIDOS

Artículo 25º.- Derechos protegidos

Procede el hábeas corpus ante la acción u omisión que amenace o vulnere los siguientes derechos que, enunciativamente, conforman la libertad individual:

1) La integridad personal, y el derecho a no ser sometido a tortura o tratos inhumanos o humillantes, ni violentado para obtener declaraciones.

2) El derecho a no ser obligado a prestar juramento ni compelido a declarar o reconocer culpabilidad contra sí mismo, contra su cónyuge, o sus parientes dentro del cuarto grado de consanguinidad o segundo de afinidad.

3) El derecho a no ser exiliado o desterrado o confinado sino por sentencia firme.

4) El derecho a no ser expatriado ni separado del lugar de residencia sino por mandato judicial o por aplicación de la Ley de Extranjería.

5) El derecho del extranjero, a quien se ha concedido asilo político, de no ser expulsado al país cuyo gobierno lo persigue, o en ningún caso si peligrase su libertad o seguridad por el hecho de ser expulsado.

6) El derecho de los nacionales o de los extranjeros residentes a ingresar, transitar o salir del territorio nacional, salvo mandato judicial o aplicación de la Ley de Extranjería o de Sanidad.

7) El derecho a no ser detenido sino por mandato escrito y motivado del Juez, o por las autoridades policiales en caso de flagrante delito; o si ha sido detenido, a ser puesto dentro de las 24 horas o en el término de la distancia, a disposición del juzgado que corresponda, de acuerdo con el acápite «f» del inciso 24) del artículo 2 de la Constitución sin perjuicio de las excepciones que en él se consignan.

8) El derecho a decidir voluntariamente prestar el servicio militar, conforme a la ley de la materia.

9) El derecho a no ser detenido por deudas.

10) El derecho a no ser privado del documento nacional de identidad, así como de obtener el pasaporte o su renovación dentro o fuera de la República.

11) El derecho a no ser incomunicado sino en los casos establecidos por el literal «g» del inciso 24) del artículo 2 de la Constitución.

12) El derecho a ser asistido por un abogado defensor libremente elegido desde que se es citado o detenido por la autoridad policial u otra, sin excepción.

13) El derecho a retirar la vigilancia del domicilio y a suspender el seguimiento policial, cuando resulten arbitrarios o injustificados.

14) El derecho a la excarcelación de un procesado o condenado, cuya libertad haya sido declarada por el juez.

15) El derecho a que se observe el trámite correspondiente cuando se trate del procedimiento o detención de las personas, a que se refiere el artículo 99 de la Constitución.

16) El derecho a no ser objeto de una desaparición forzada.

17) El derecho del detenido o recluso a no ser objeto de un tratamiento carente de razonabilidad y proporcionalidad, respecto de la forma y condiciones en que cumple el mandato de detención o la pena.

También procede el hábeas corpus en defensa de los derechos constitucionales conexos con la libertad individual, especialmente cuando se trata del debido proceso y la inviolabilidad del domicilio.

CAPÍTULO II.- PROCEDIMIENTO

Artículo 26º.- Legitimación

La demanda puede ser interpuesta por la persona perjudicada o por cualquier otra en su favor, sin necesidad de tener su representación. Tampoco requerirá firma del letrado, tasa o alguna otra formalidad. También puede interponerla la Defensoría del Pueblo.

Artículo 27º.- Demanda

La demanda puede presentarse por escrito o verbalmente, en forma directa o por correo, a través de medios electrónicos de comunicación u otro idóneo. Cuando se trata de una demanda verbal, se levanta acta ante el Juez o Secretario, sin otra exigencia que la de suministrar una sucinta relación de los hechos.

Artículo 28º.- Competencia

La demanda de hábeas corpus se interpone ante cualquier Juez Penal, sin observar turnos.

Artículo 29º.- Competencia del Juez de Paz

Cuando la afectación de la libertad individual se realice en lugar distinto y lejano o de difícil acceso de aquel en que tiene su sede el Juzgado donde se interpuso la demanda este dictará orden perentoria e inmediata para que el Juez de Paz del distrito en el que se encuentra el detenido cumpla en el día, bajo responsabilidad, con hacer las verificaciones y ordenar las medidas inmediatas para hacer cesar la afectación.

Artículo 30º.- Trámite en caso de detención arbitraria

Tratándose de cualquiera de las formas de detención arbitraria y de afectación de la integridad personal, el Juez resolverá de inmediato. Para ello podrá constituirse en el lugar de los hechos, y verificada la detención indebida ordenará en el mismo lugar la libertad del agraviado, dejando constancia en el acta correspondiente y sin que sea necesario notificar previamente al responsable de la agresión para que cumpla la resolución judicial.

Artículo 31º.- Trámite en casos distintos

Cuando no se trate de una detención arbitraria ni de una vulneración de la integridad personal, el Juez podrá constituirse en el lugar de los hechos, o, de ser el caso, citar a quien o quienes ejecutaron la violación, requiriéndoles expliquen la razón que motivó la agresión, y resolverá de plano en el término de un día natural, bajo responsabilidad.

La resolución podrá notificarse al agraviado, así se encontrare privado de su libertad. También puede notificarse indistintamente a la persona que interpuso la demanda así como a su abogado, si lo hubiere.

Artículo 32º.- Trámite en caso de desaparición forzada

Sin perjuicio del trámite previsto en los artículos anteriores, cuando se trate de la desaparición forzada de una persona, si la autoridad, funcionario o persona demandada no proporcionan elementos de juicio satisfactorios sobre su paradero o destino, el Juez deberá adoptar todas las medidas necesarias que conduzcan a su hallazgo, pudiendo incluso comisionar a jueces del Distrito Judicial donde se presuma que la persona pueda estar detenida para que las practiquen. Asimismo, el Juez dará aviso de la demanda de hábeas corpus al Ministerio Público para que realice las investigaciones correspondientes.

Si la agresión se imputa a algún miembro de la Policía Nacional o de las Fuerzas Armadas, el juez solicitará, además, a la autoridad superior del presunto agresor de la zona en la cual la desaparición ha ocurrido, que informe dentro del plazo de veinticuatro horas si es cierta o no la vulneración de la libertad y proporcione el nombre de la autoridad que la hubiere ordenado o ejecutado.

Artículo 33º.- Normas especiales de procedimiento

Este proceso se somete además a las siguientes reglas:

1) No cabe recusación, salvo por el afectado o quien actúe en su nombre.
2) No caben excusas de los jueces ni de los secretarios.
3) Los jueces deberán habilitar día y hora para la realización de las actuaciones procesales.
4) No interviene el Ministerio Público.
5) Se pueden presentar documentos cuyo mérito apreciará el juez en cualquier estado del proceso.
6) El Juez o la Sala designará un defensor de oficio al demandante, si lo pidiera.
7) Las actuaciones procesales son improrrogables.

Artículo 34º.- Contenido de sentencia fundada

La resolución que declara fundada la demanda de hábeas corpus dispondrá alguna de las siguientes medidas:

1) La puesta en libertad de la persona privada arbitrariamente de este derecho; o

2) Que continúe la situación de privación de libertad de acuerdo con las disposiciones legales aplicables al caso, pero si el Juez lo considerase necesario, ordenará cambiar las condiciones de la detención, sea en el mismo establecimiento o en otro, o bajo la custodia de personas distintas de las que hasta entonces la ejercían; o

3) Que la persona privada de libertad sea puesta inmediatamente a disposición del Juez competente, si la agresión se produjo por haber transcurrido el plazo legalmente establecido para su detención; o

4) Que cese el agravio producido, disponiendo las medidas necesarias para evitar que el acto vuelva a repetirse.

Artículo 35º.- Apelación

Sólo es apelable la resolución que pone fin a la instancia. El plazo para apelar es de dos días.

Artículo 36º.- Trámite de Apelación

Interpuesta la apelación el Juez elevará en el día los autos al Superior, quien resolverá el proceso en el plazo de cinco días bajo responsabilidad. A la vista de la causa los abogados podrán informar.

TÍTULO III.- PROCESO DE AMPARO

CAPÍTULO I.- DERECHOS PROTEGIDOS

Artículo 37º.- Derechos protegidos

El amparo procede en defensa de los siguientes derechos:

1) De igualdad y de no ser discriminado por razón de origen, sexo, raza, orientación sexual, religión, opinión, condición económica, social, idioma, o de cualquier otra índole;
2) Del ejercicio público de cualquier confesión religiosa;
3) De información, opinión y expresión;
4) A la libre contratación;
5) A la creación artística, intelectual y científica;
6) De la inviolabilidad y secreto de los documentos privados y de las comunicaciones;
7) De reunión;
8) Del honor, intimidad, voz, imagen y rectificación de informaciones inexactas o agraviantes;
9) De asociación;
10) Al trabajo;
11) De sindicación, negociación colectiva y huelga;
12) De propiedad y herencia;
13) De petición ante la autoridad competente;
14) De participación individual o colectiva en la vida política del país;
15) A la nacionalidad;
16) De tutela procesal efectiva;
17) A la educación, así como el derecho de los padres de escoger el centro de educación y participar en el proceso educativo de sus hijos;
18) De impartir educación dentro de los principios constitucionales;
19) A la seguridad social;
20) De la remuneración y pensión;
21) De la libertad de cátedra;
22) De acceso a los medios de comunicación social en los términos del artículo 35 de la Constitución;
23) De gozar de un ambiente equilibrado y adecuado al desarrollo de la vida;
24) A la salud; y
25) Los demás que la Constitución reconoce.

Artículo 38º.- Derechos no protegidos

No procede el amparo en defensa de un derecho que carece de sustento constitucional directo o que no está referido a los aspectos constitucionalmente protegidos del mismo.

CAPÍTULO II.- PROCEDIMIENTO

Artículo 39º.- Legitimación

El afectado es la persona legitimada para interponer el proceso de amparo.

Artículo 40º.- Representación Procesal

EI afectado puede comparecer por medio de representante procesal. No es necesaria la inscripción de la representación otorgada.

Tratándose de personas no residentes en el país, la demanda será formulada por representante acreditado. Para este efecto, será suficiente el poder fuera de registro otorgado ante el Cónsul del Perú en la ciudad extranjera que corresponda y la legalización de la firma del Cónsul ante el Ministerio de Relaciones Exteriores, no siendo necesaria la inscripción en los Registros Públicos.

Asimismo, puede interponer demanda de amparo cualquier persona cuando se trate de amenaza o violación del derecho al medio ambiente u otros derechos difusos que gocen de reconocimiento constitucional, así como las entidades sin fines de lucro cuyo objeto sea la defensa de los referidos derechos.

La Defensoría del Pueblo puede interponer demanda de amparo en ejercicio de sus competencias constitucionales.

Artículo 41º.- Procuración Oficiosa

Cualquier persona puede comparecer en nombre de quien no tiene representación procesal, cuando esta se encuentre imposibilitada para interponer la demanda por sí misma, sea por atentado concurrente contra la libertad individual, por razones de fundado temor o amenaza, por una situación de inminente peligro o por cualquier otra causa análoga. Una vez que el afectado se halle en posibilidad de hacerlo, deberá ratificar la demanda y la actividad procesal realizada por el procurador oficioso.

Artículo 42º.- Demanda

La demanda escrita contendrá, cuando menos, los siguientes datos y anexos:

1) La designación del Juez ante quien se interpone;
2) El nombre, identidad y domicilio procesal del demandante;
3) El nombre y domicilio del demandado, sin perjuicio de lo previsto en el artículo 7 del presente Código;
4) La relación numerada de los hechos que hayan producido, o estén en vías de producir la agresión del derecho constitucional;
5) Los derechos que se consideran violados o amenazados;
6) El petitorio, que comprende la determinación clara y concreta de lo que se pide;
7) La firma del demandante o de su representante o de su apoderado, y la del abogado.

En ningún caso la demanda podrá ser rechazada por el personal administrativo del Juzgado o Sala correspondiente.

Artículo 43º.- Acumulación subjetiva de oficio

Cuando de la demanda apareciera la necesidad de comprender a terceros que no han sido emplazados, el juez podrá integrar la relación procesal emplazando a otras personas, si de la demanda o de la contestación aparece evidente que la decisión a recaer en el proceso los va a afectar.

Artículo 44º.- Plazo de interposición de la demanda

El plazo para interponer la demanda de amparo prescribe a los sesenta días hábiles de producida la afectación, siempre que el afectado hubiese tenido conocimiento del acto lesivo y se hubiese hallado en posibilidad de interponer la demanda. Si esto no hubiese sido posible, el plazo se computará desde el momento de la remoción del impedimento.

Tratándose del proceso de amparo iniciado contra resolución judicial, el plazo para interponer la demanda se inicia cuando la resolución queda firme. Dicho plazo concluye treinta días hábiles después de la notificación de la resolución que ordena se cumpla lo decidido.

Para el cómputo del plazo se observarán las siguientes reglas:

1) El plazo se computa desde el momento en que se produce la afectación, aun cuando la orden respectiva haya sido dictada con anterioridad.
2) Si la afectación y la orden que la ampara son ejecutadas simultáneamente, el cómputo del plazo se inicia en dicho momento.
3) Si los actos que constituyen la afectación son continuados, el plazo se computa desde la fecha en que haya cesado totalmente su ejecución.
4) La amenaza de ejecución de un acto lesivo no da inicio al cómputo del plazo.
Sólo si la afectación se produce se deberá empezar a contar el plazo.
5) Si el agravio consiste en una omisión, el plazo no transcurrirá mientras ella subsista.
6) El plazo comenzará a contarse una vez agotada la vía previa, cuando ella proceda.

Artículo 45º.- Agotamiento de las vías previas

El amparo sólo procede cuando se hayan agotado las vías previas. En caso de duda sobre el agotamiento de la vía previa se preferirá dar trámite a la demanda de amparo.

Artículo 46º.- Excepciones al agotamiento de las vías previas

No será exigible el agotamiento de las vías previas si:

1) Una resolución, que no sea la última en la vía administrativa, es ejecutada antes de vencerse el plazo para que quede consentida;
2) Por el agotamiento de la vía previa la agresión pudiera convertirse en irreparable;
3) La vía previa no se encuentra regulada o ha sido iniciada innecesariamente por el afectado; o
4) No se resuelve la vía previa en los plazos fijados para su resolución.

Artículo 47º.- Improcedencia liminar

Si el Juez al calificar la demanda de amparo considera que ella resulta manifiestamente improcedente, lo declarará así expresando los fundamentos de su decisión. Se podrá rechazar liminarmente una demanda manifiestamente improcedente en los casos previstos por el artículo 5 del presente Código. También podrá hacerlo si la demanda se ha interpuesto en defensa del derecho de rectificación y no se acredita la remisión de una solicitud cursada por conducto notarial u otro fehaciente al director del órgano de comunicación o, a falta de éste, a quien haga sus veces, para que rectifique las afirmaciones consideradas inexactas o agraviantes.

Si la resolución que declara la improcedencia fuese apelada, el Juez pondrá en conocimiento del demandado el recurso interpuesto.

Artículo 48º.- Inadmisibilidad

Si el Juez declara inadmisible la demanda, concederá al demandante tres días para que subsane la omisión o defecto, bajo apercibimiento de archivar el expediente.

Esta resolución es apelable.

Artículo 49º.- Reconvención, abandono y desistimiento

En el amparo no procede la reconvención ni el abandono del proceso. Es procedente el desistimiento.

Artículo 50º.- Acumulación de procesos y resolución inimpugnable

Cuando un mismo acto, hecho, omisión o amenaza afecte el interés de varias personas que han ejercido separadamente su derecho de acción, el Juez que hubiese prevenido, a pedido de parte o de oficio, podrá ordenar la acumulación de los procesos de amparo.

La resolución que concede o deniega la acumulación es inimpugnable.

Artículo 51º.- Juez Competente y plazo de resolución en Corte

Son competentes para conocer del proceso de amparo, a elección del demandante, el Juez civil del lugar donde se afectó el derecho, o donde tiene su domicilio el afectado, o donde domicilia el autor de la infracción.

Si la afectación de derechos se origina en una resolución judicial, la demanda se interpondrá ante la Sala Civil de turno de la Corte Superior de Justicia respectiva, la que designará a uno de sus miembros, el cual verificará los hechos referidos al presunto agravio.

La Sala Civil resolverá en un plazo que no excederá de cinco días desde la interposición de la demanda.

Artículo 52º.- Impedimentos

El Juez deberá abstenerse cuando concurran las causales de impedimento previstas en el Código Procesal Civil. En ningún caso será procedente la recusación.

El Juez que intencionalmente no se abstiene cuando concurre una causal de impedimento, o lo hace cuando no concurre una de ellas, incurre en responsabilidad de naturaleza disciplinaria y penal.

Artículo 53º.- Trámite

En la resolución que admite la demanda, el juez concederá al demandado el plazo de cinco días para que conteste. Dentro de cinco días de contestada la demanda, o de vencido el plazo para hacerlo, el juez expedirá sentencia, salvo que se haya formulado solicitud de informe oral, en cuyo caso el plazo se computará a partir de la fecha de su realización. Si se presentan excepciones, defensas previas o pedidos de nulidad del auto admisorio, el Juez dará traslado al demandante por el plazo de dos días. Con la absolución o vencido el plazo para hacerlo, quedan los autos expeditos para ser sentenciados.

Si el Juez lo considera necesario, realizará las actuaciones que considere indispensables, sin notificación previa a las partes. Inclusive, puede citar a audiencia única a las partes y a sus abogados para realizar los esclarecimientos que estime necesarios. El Juez expedirá sentencia en la misma audiencia o, excepcionalmente, en un plazo que no excederá los cinco días de concluida ésta.

Si considera que la relación procesal tiene un defecto subsanable, concederá un plazo de tres días al demandante para que lo remedie, vencido el cual expedirá sentencia. Si estima que la relación procesal tiene un defecto insubsanable, declarará improcedente la demanda en la sentencia. En los demás casos, expedirá sentencia pronunciándose sobre el mérito.

Los actos efectuados con manifiesto propósito dilatorio, o que se asimilen a cualquiera de los casos previstos en el artículo 112 del Código Procesal Civil, serán sancionados con una multa no menor de diez ni mayor de cincuenta Unidades de Referencia Procesal. Dicha sanción no excluye la responsabilidad civil, penal o administrativa que pudiera derivarse del mismo acto.

Artículo 54º.- Intervención litisconsorcial

Quien tuviese interés jurídicamente relevante en el resultado de un proceso, puede apersonarse solicitando ser declarado litisconsorte facultativo. Si el Juez admite su incorporación ordenará se le notifique la demanda. Si el proceso estuviera en segundo grado, la solicitud será dirigida al Juez superior. El litisconsorte facultativo ingresa al proceso en el estado en que éste se encuentre. La resolución que concede o deniega la intervención litisconsorcial es inimpugnable.

Artículo 55º.- Contenido de la Sentencia fundada

La sentencia que declara fundada la demanda de amparo contendrá alguno o algunos de los pronunciamientos siguientes:

1) Identificación del derecho constitucional vulnerado o amenazado;
2) Declaración de nulidad de decisión, acto o resolución que hayan impedido el pleno ejercicio de los derechos constitucionales protegidos con determinación, en su caso, de la extensión de sus efectos;
3) Restitución o restablecimiento del agraviado en el pleno goce de sus derechos constitucionales ordenando que las cosas vuelvan al estado en que se encontraban antes de la violación;
4) Orden y definición precisa de la conducta a cumplir con el fin de hacer efectiva la sentencia.
En todo caso, el Juez establecerá los demás efectos de la sentencia para el caso concreto.

Artículo 56º.- Costas y Costos

Si la sentencia declara fundada la demanda, se interpondrán las costas y costos que el Juez establezca a la autoridad (FE DE ERRATAS), funcionario o persona demandada. Si el amparo fuere desestimado por el Juez, éste podrá condenar al demandante al pago de costas y costos cuando estime que incurrió en manifiesta temeridad.

En los procesos constitucionales el Estado sólo puede ser condenado al pago de costos.

En aquello que no esté expresamente establecido en la presente Ley, los costos se regulan por los artículos 410 al 419 del Código Procesal Civil.

Artículo 57º.- Apelación

La sentencia puede ser apelada dentro del tercer día siguiente a su notificación. El expediente será elevado dentro de los tres días siguientes a la notificación de la concesión del recurso.

Artículo 58º.- Trámite de la apelación

El superior concederá tres días al apelante para que exprese agravios. Recibida la expresión de agravios o en su rebeldía, concederá traslado por tres días, fijando día y hora para la vista de la causa, en la misma resolución. Dentro de los tres días siguientes de recibida la notificación, las partes podrán solicitar que sus abogados informen oralmente a la vista de la causa. El superior expedirá sentencia dentro del plazo de cinco días posteriores a la vista de la causa, bajo responsabilidad.

Artículo 59º.- Ejecución de Sentencia

Sin perjuicio de lo establecido en el artículo 22 del presente Código, la sentencia firme que declara fundada la demanda debe ser cumplida dentro de los dos días siguientes de notificada. Tratándose de omisiones, este plazo puede ser duplicado.

Si el obligado no cumpliera dentro del plazo establecido, el Juez se dirigirá al superior del responsable y lo requerirá para que lo haga cumplir y disponga la apertura del procedimiento administrativo contra quien incumplió, cuando corresponda y dentro del mismo plazo. Transcurridos dos días, el Juez ordenará se abra procedimiento administrativo contra el superior conforme al mandato, cuando corresponda, y adoptará directamente todas las medidas para el cabal cumplimiento del mismo. El Juez podrá sancionar por desobediencia al responsable y al superior hasta que cumplan su mandato, conforme a lo previsto por el artículo 22 de este Código, sin perjuicio de la responsabilidad penal del funcionario.

En todo caso, el Juez establecerá los demás efectos del fallo para el caso concreto, y mantendrá su competencia hasta que esté completamente restablecido el derecho.

Cuando el obligado a cumplir la sentencia sea un funcionario público el Juez puede expedir una sentencia ampliatoria que sustituya la omisión del funcionario y regule la situación injusta conforme al decisorio de la sentencia. Para efectos de una eventual impugnación, ambas sentencias se examinarán unitariamente.

Cuando la sentencia firme contenga una prestación monetaria, el obligado que se encuentre en imposibilidad material de cumplir deberá manifestarlo al Juez quien puede concederle un plazo no mayor a cuatro meses, vencido el cual, serán de aplicación las medidas coercitivas señaladas en el presente artículo.

Artículo 60º.- Procedimiento para represión de actos homogéneos

Si sobreviniera un acto sustancialmente homogéneo al declarado lesivo en un proceso de amparo, podrá ser denunciado por la parte interesada ante el juez de ejecución.

Efectuado el reclamo, el Juez resolverá éste con previo traslado a la otra parte por el plazo de tres días. La resolución es apelable sin efecto suspensivo.

La decisión que declara la homogeneidad amplía el ámbito de protección del amparo, incorporando y ordenando la represión del acto represivo sobreviniente.

TÍTULO IV.- PROCESO DE HÁBEAS DATA

Artículo 61º.- Derechos protegidos

El hábeas data procede en defensa de los derechos constitucionales reconocidos por los incisos 5) y 6) del artículo 2 de la Constitución. En consecuencia, toda persona puede acudir a dicho proceso para:

1) Acceder a información que obre en poder de cualquier entidad pública, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trámite, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier otro documento que la administración pública tenga en su poder, cualquiera que sea la forma de expresión, ya sea gráfica, sonora, visual, electromagnética o que obre en cualquier otro tipo de soporte material.

2) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros.

Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales.

Artículo 62º.- Requisito especial de la demanda

Para la procedencia del hábeas data se requerirá que el demandante previamente haya reclamado, por documento de fecha cierta, el respeto de los derechos a que se refiere el artículo anterior, y que el demandado se haya ratificado en su incumplimiento o no haya contestado dentro de los diez días útiles siguientes a la presentación de la solicitud tratándose del derecho reconocido por el artículo 2 inciso 5) de la Constitución, o dentro de los dos días si se trata del derecho reconocido por el artículo 2 inciso 6) de la Constitución. Excepcionalmente se podrá prescindir de este requisito cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, el que deberá ser acreditado por el demandante. Aparte de dicho requisito, no será necesario agotar la vía administrativa que pudiera existir.

Artículo 63º.- Ejecución Anticipada

De oficio o a pedido de la parte reclamante y en cualquier etapa del procedimiento y antes de dictar sentencia, el Juez está autorizado para requerir al demandado que posee, administra o maneja el archivo, registro o banco de datos, la remisión de la información concerniente al reclamante; así como solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime conveniente. La resolución deberá contener un plazo máximo de tres días útiles para dar cumplimiento al requerimiento expresado por el Juez.

Artículo 64º.- Acumulación

Tratándose de la protección de datos personales podrán acumularse las pretensiones de acceder y conocer informaciones de una persona, con las de actualizar, rectificar, incluir, suprimir o impedir que se suministren datos o informaciones.

Artículo 65º.- Normas aplicables

El procedimiento de hábeas data será el mismo que el previsto por el presente Código para el proceso de amparo, salvo la exigencia del patrocinio de abogado que será facultativa en este proceso. El Juez podrá adaptar dicho procedimiento a las circunstancias del caso.

TÍTULO V.- PROCESO DE CUMPLIMIENTO

Artículo 66º.- Objeto

Es objeto del proceso de cumplimiento ordenar que el funcionario o autoridad pública renuente:

1) Dé cumplimiento a una norma legal o ejecute un acto administrativo firme; o
2) Se pronuncie expresamente cuando las normas legales le ordenan emitir una resolución administrativa o dictar un reglamento.

Artículo 67º.- Legitimación y representación

Cualquier persona podrá iniciar el proceso de cumplimiento frente a normas con rango de ley y reglamentos. Si el proceso tiene por objeto hacer efectivo el cumplimiento de un acto administrativo, sólo podrá ser interpuesto por la persona a cuyo favor se expidió el acto o quien invoque interés para el cumplimiento del deber omitido.

Tratándose de la defensa de derechos con intereses difusos o colectivos, la legitimación corresponderá a cualquier persona. Asimismo, la Defensoría del Pueblo puede iniciar procesos de cumplimiento.

Artículo 68º.- Legitimación pasiva

La demanda de cumplimiento se dirigirá contra la autoridad o funcionario renuente de la administración pública al que corresponda el cumplimiento de una norma legal o la ejecución de un acto administrativo.

Si el demandado no es la autoridad obligada, aquél deberá informarlo al juez indicando la autoridad a quien corresponde su cumplimiento. En caso de duda, el proceso continuará con las autoridades respecto de las cuales se interpuso la demanda. En todo caso, el juez deberá emplazar a la autoridad que conforme al ordenamiento jurídico, tenga competencia para cumplir con el deber omitido.

Artículo 69º.- Requisito especial de la demanda

Para la procedencia del proceso de cumplimiento se requerirá que el demandante previamente haya reclamado, por documento de fecha cierta, el cumplimiento del deber legal o administrativo, y que la autoridad se haya ratificado en su incumplimiento o no haya contestado dentro de los diez días útiles siguientes a la presentación de la solicitud. Aparte de dicho requisito, no será necesario agotar la vía administrativa que pudiera existir.

Artículo 70º.- Causales de Improcedencia

No procede el proceso de cumplimiento:

1) Contra las resoluciones dictadas por el Poder Judicial, Tribunal Constitucional y Jurado Nacional de Elecciones;
2) Contra el Congreso de la República para exigir la aprobación o la insistencia de una ley;
3) Para la protección de derechos que puedan ser garantizados mediante los procesos de amparo, hábeas data y hábeas corpus;
4) Cuando se interpone con la exclusiva finalidad de impugnar la validez de un acto administrativo;
5) Cuando se demanda el ejercicio de potestades expresamente calificadas por la ley como discrecionales por parte de una autoridad o funcionario;
6) En los supuestos en los que proceda interponer el proceso competencial;
7) Cuando no se cumplió con el requisito especial de la demanda previsto por el artículo 69 del presente Código; y,
8) Si la demanda se interpuso luego de vencido el plazo de sesenta días contados desde la fecha de recepción de la notificación notarial.

Artículo 71º.- Desistimiento de la pretensión

El desistimiento de la pretensión se admitirá únicamente cuando ésta se refiera a actos administrativos de carácter particular.

Artículo 72º.- Contenido de la Sentencia fundada

La sentencia que declara fundada la demanda se pronunciará preferentemente respecto a:

1) La determinación de la obligación incumplida;
2) La orden y la descripción precisa de la conducta a cumplir;
3) El plazo perentorio para el cumplimiento de lo resuelto, que no podrá exceder de diez días;
4) La orden a la autoridad o funcionario competente de iniciar la investigación del caso para efecto de determinar responsabilidades penales o disciplinarias, cuando la conducta del demandado así lo exija.

Artículo 73º.- Ejecución de la Sentencia

La sentencia firme que ordena el cumplimiento del deber omitido, será cumplida de conformidad con lo previsto por el artículo 22 del presente Código.

Artículo 74º.- Normas aplicables

El procedimiento aplicable a este proceso será el mismo que el previsto por el presente Código para el proceso de amparo, en lo que sea aplicable. El Juez podrá adaptar dicho procedimiento a las circunstancias del caso.

TÍTULO VI.- DISPOSICIONES GENERALES DE LOS PROCESOS DE ACCIÓN POPULAR E INCONSTITUCIONALIDAD

Artículo 75º.- Finalidad

Los procesos de acción popular y de inconstitucionalidad tienen por finalidad la defensa de la Constitución frente a infracciones contra su jerarquía normativa. Esta infracción puede ser, directa o indirecta, de carácter total o parcial, y tanto por la forma como por el fondo.

Por contravenir el artículo 106 de la Constitución, se puede demandar la inconstitucionalidad, total o parcial, de un decreto legislativo, decreto de urgencia o ley que no haya sido aprobada como orgánica, si dichas disposiciones hubieren regulado materias reservadas a ley orgánica o impliquen modificación o derogación de una ley aprobada como tal.

Artículo 76º.- Procedencia de la demanda de acción popular

La demanda de acción popular procede contra los reglamentos, normas administrativas y resoluciones de carácter general, cualquiera que sea la autoridad de la que emanen, siempre que infrinjan la Constitución o la ley, o cuando no hayan sido expedidas o publicadas en la forma prescrita por la Constitución o la ley, según el caso.

Artículo 77º.- Procedencia de la demanda de inconstitucionalidad

La demanda de inconstitucionalidad procede contra las normas que tienen rango de ley: leyes, decretos legislativos, decretos de urgencia, tratados que hayan requerido o no la aprobación del Congreso conforme a los artículos 56 y 57 de la Constitución, Reglamento del Congreso, normas regionales de carácter general y ordenanzas municipales.

Artículo 78º.- Inconstitucionalidad de normas conexas

La sentencia que declare la ilegalidad o inconstitucionalidad de la norma impugnada, declarará igualmente la de aquella otra a la que debe extenderse por conexión o consecuencia.

Artículo 79º.- Principios de interpretación

Para apreciar la validez constitucional de las normas el Tribunal Constitucional considerará, además de las normas constitucionales, las leyes que, dentro del marco constitucional, se hayan dictado para determinar la competencia o las atribuciones de los órganos del Estado o el ejercicio de los derechos fundamentales de la persona.

Artículo 80º.- Relaciones institucionales con ocasión a los procesos de control de normas

Los Jueces deben suspender el trámite de los procesos de acción popular sustentados en normas respecto de las cuales se ha planteado demanda de inconstitucionalidad ante el Tribunal, hasta que éste expida resolución definitiva.

Artículo 81º.- Efectos de la Sentencia fundada

Las sentencias fundadas recaídas en el proceso de inconstitucionalidad dejan sin efecto las normas sobre las cuales se pronuncian. Tienen alcances generales y carecen de efectos retroactivos. Se publican íntegramente en el Diario Oficial El Peruano y producen efectos desde el día siguiente de su publicación.

Cuando se declare la inconstitucionalidad de normas tributarias por violación del artículo 74 de la Constitución, el Tribunal debe determinar de manera expresa en la sentencia los efectos de su decisión en el tiempo.

Asimismo, resuelve lo pertinente respecto de las situaciones jurídicas producidas mientras estuvo en vigencia.

Las sentencias fundadas recaídas en el proceso de acción popular podrán determinar la nulidad, con efecto retroactivo, de las normas impugnadas. En tal supuesto, la sentencia determinará sus alcances en el tiempo.

Tienen efectos generales y se publican en el Diario Oficial El Peruano.

Artículo 82º.- Cosa juzgada

Las sentencias del Tribunal Constitucional en los procesos de inconstitucionalidad y las recaídas en los procesos de acción popular que queden firmes tienen autoridad de cosa juzgada, por lo que vinculan a todos los poderes públicos y producen efectos generales desde el día siguiente a la fecha de su publicación.

Tiene la misma autoridad el auto que declara la prescripción de la pretensión en el caso previsto en el inciso 1) del artículo 104.

La declaratoria de inconstitucionalidad o ilegalidad de una norma impugnada por vicios formales no obsta para que ésta sea demandada ulteriormente por razones de fondo, siempre que se interponga dentro del plazo señalado en el presente Código.

Artículo 83º.- Efectos de la irretroactividad

Las sentencias declaratorias de ilegalidad o inconstitucionalidad no conceden derecho a reabrir procesos concluidos en los que se hayan aplicado las normas declaradas inconstitucionales, salvo en las materias previstas en el segundo párrafo del artículo 103 y último párrafo del artículo 74 de la Constitución.

Por la declaración de ilegalidad o inconstitucionalidad de una norma no recobran vigencia las disposiciones legales que ella hubiera derogado.

TÍTULO VII.- PROCESO DE ACCIÓN POPULAR

Artículo 84º.- Legitimación

La demanda de acción popular puede ser interpuesta por cualquier persona.

Artículo 85º.- Competencia

La demanda de acción popular es de competencia exclusiva del Poder Judicial. Son competentes:

1) La Sala correspondiente, por razón de la materia de la Corte Superior del Distrito Judicial al que pertenece el órgano emisor, cuando la norma objeto de la acción popular es de carácter regional o local; y
2) La Sala correspondiente de la Corte Superior de Lima, en los demás casos.

Artículo 86º.- Demanda

La demanda escrita contendrá cuando menos, los siguientes datos y anexos:

1) La designación de la Sala ante quien se interpone.
2) El nombre, identidad y domicilio del demandante.
3) La denominación precisa y el domicilio del órgano emisor de la norma objeto del proceso.
4) El petitorio, que comprende la indicación de la norma o normas constitucionales y/o legales que se suponen vulneradas por la que es objeto del proceso.
5) Copia simple de la norma objeto del proceso precisándose el día, mes y año de su publicación.
6) Los fundamentos en que se sustenta la pretensión.
7) La firma del demandante, o de su representante o de su apoderado, y la del abogado.

Artículo 87º.- Plazo

El plazo para interponer la demanda de acción popular prescribe a los cinco años contados desde el día siguiente de publicación de la norma.

Artículo 88º.- Admisibilidad e improcedencia

Interpuesta la demanda, la Sala resuelve su admisión dentro de un plazo no mayor de cinco días desde su presentación. Si declara la inadmisibilidad, precisará el requisito incumplido y el plazo para subsanarlo. Si declara la improcedencia y la decisión fuese apelada, pondrá la resolución en conocimiento del emplazado.

Artículo 89º.- Emplazamiento y publicación de la demanda

Admitida la demanda, la Sala confiere traslado al órgano emisor de la norma objeto del proceso y ordena la publicación del auto admisorio, el cual incluirá una relación sucinta del contenido de la demanda, por una sola vez, en el Diario Oficial El Peruano si la demanda se promueve en Lima, o en el medio oficial de publicidad que corresponda si aquella se promueve en otro Distrito Judicial.

Si la norma objeto del proceso ha sido expedida con participación de más de un órgano emisor, se emplazará al de mayor jerarquía. Si se trata de órganos de igual nivel jerárquico, la notificación se dirige al primero que suscribe el texto normativo.

En el caso de normas dictadas por el Poder Ejecutivo, el emplazamiento se hará al Ministro que la refrenda; si fuesen varios, al que haya firmado en primer término.

Si el órgano emisor ha dejado de operar, corresponde notificar al órgano que asumió sus funciones.

Artículo 90º.- Requerimiento de antecedentes

La Sala puede, de oficio, ordenar en el auto admisorio que el órgano remita el expediente conteniendo los informes y documentos que dieron origen a la norma objeto del proceso, dentro de un plazo no mayor de diez días, contado desde la notificación de dicho auto, bajo responsabilidad. La Sala dispondrá las medidas de reserva pertinentes para los expedientes y las normas que así lo requieran.

Artículo 91º.- Contestación de la demanda

La contestación deberá cumplir con los mismos requisitos de la demanda, en lo que corresponda. El plazo para contestar la demanda es de diez días.

Artículo 92º.- Vista de la Causa

Practicados los actos procesales señalados en los artículos anteriores, la Sala fijará día y hora para la vista de la causa, la que ocurrirá dentro de los diez días posteriores a la contestación de la demanda o de vencido el plazo para hacerlo.

A la vista de la causa, los abogados pueden informar oralmente. La Sala expedirá sentencia dentro de los diez días siguientes a la vista.

Artículo 93º.- Apelación y trámite

Contra la sentencia procede recurso de apelación el cual contendrá la fundamentación del error, dentro de los cinco días siguientes a su notificación.

Recibidos los autos, la Sala Constitucional y Social de la Corte Suprema dará traslado del recurso concediendo cinco días para su absolución y fijando día y hora para la vista de la causa, en la misma resolución. Dentro de los tres días siguientes de recibida la notificación las partes podrán solicitar que sus abogados informen oralmente a la vista de la causa.

Artículo 94º.- Medida Cautelar

Procede solicitar medida cautelar una vez expedida sentencia estimatoria de primer grado. El contenido cautelar está limitado a la suspensión de la eficacia de la norma considerada vulneratoria por el referido pronunciamiento.

Artículo 95º.- Consulta

Si la sentencia que declara fundada la demanda no es apelada, los autos se elevarán en consulta a la Sala Constitucional y Social de la Corte Suprema. La consulta se absolverá sin trámite y en un plazo no mayor de cinco días desde que es recibido el expediente.

Artículo 96º.- Sentencia

La sentencia expedida dentro de los diez días posteriores a la vista de la causa será publicada en el mismo medio de comunicación en el que se publicó el auto admisorio.

Dicha publicación no sustituye la notificación de las partes. En ningún caso procede el recurso de casación.

Artículo 97º.- Costos

Si la sentencia declara fundada la demanda se impondrán los costos que el juez establezca, los cuales serán asumidos por el Estado. Si la demanda fuere desestimada por el Juez, éste podrá condenar al demandante al pago de los costos cuando estime que incurrió en manifiesta temeridad. En todo lo no previsto en materia de costos, será de aplicación supletoria lo previsto en el Código Procesal Civil.

TÍTULO VIII.- PROCESO DE INCONSTITUCIONALIDAD

Artículo 98º.- Competencia y Legitimación

La demanda de inconstitucionalidad se interpone ante el Tribunal Constitucional y sólo puede ser presentada por los órganos y sujetos indicados en el artículo 203 de la Constitución.

Artículo 99º.- Representación Procesal Legal

Para interponer una demanda de inconstitucionalidad el Presidente de la República requiere del voto aprobatorio del Consejo de Ministros. Concedida la aprobación, designa a uno de sus Ministros para que presente la demanda de inconstitucionalidad y lo represente en el proceso. El Ministro designado puede delegar su representación en un Procurador Público.

El Fiscal de la Nación y el Defensor del Pueblo interponen directamente la demanda.

Pueden actuar en el proceso mediante apoderado.

Los Congresistas actúan en el proceso mediante apoderado nombrado al efecto.

Los ciudadanos referidos en el inciso 5) del artículo 203 de la Constitución deben actuar con patrocinio de letrado y conferir su representación a uno solo de ellos.

Los Presidentes de Región con acuerdo del Consejo de Coordinación Regional o los Alcaldes Provinciales con acuerdo de su Concejo, actúan en el proceso por sí o mediante apoderado y con patrocinio de letrado.

Para interponer la demanda, previo acuerdo de su Junta Directiva, los Colegios Profesionales deben actuar con el patrocinio de abogado y conferir representación a su Decano.

El órgano demandado se apersona en el proceso y formula obligatoriamente su alegato en defensa de la norma impugnada, por medio de apoderado nombrado especialmente para el efecto.

Artículo 100º.- Plazo prescriptorio

La demanda de inconstitucionalidad de una norma debe interponerse dentro del plazo de seis años contado a partir de su publicación, salvo el caso de los tratados en que el plazo es de seis meses. Vencido los plazos indicados, prescribe la pretensión, sin perjuicio de lo dispuesto por el artículo 51 y por el segundo párrafo del artículo 138 de la Constitución.

Artículo 101º.- Demanda

La demanda escrita contendrá, cuando menos, los siguientes datos y anexos:

1) La identidad de los órganos o personas que interponen la demanda y su domicilio legal y procesal.
2) La indicación de la norma que se impugna en forma precisa.
3) Los fundamentos en que se sustenta la pretensión.
4) La relación numerada de los documentos que se acompañan.
5) La designación del apoderado si lo hubiere.
6) Copia simple de la norma objeto de la demanda, precisándose el día, mes y año de su publicación.

Artículo 102º.- Anexos de la Demanda

A la demanda se acompañan, en su caso:

1) Certificación del acuerdo adoptado en Consejo de Ministros, cuando el demandante sea el Presidente de la República;
2) Certificación de las firmas correspondientes por el Oficial Mayor del Congreso si los actores son el 25% del número legal de Congresistas;
3) Certificación por el Jurado Nacional de Elecciones, en los formatos que proporcione el Tribunal, y según el caso, si los actores son cinco mil ciudadanos o el uno por ciento de los ciudadanos del respectivo ámbito territorial, conforme al artículo 203 inciso 5) de la Constitución;
4) Certificación del acuerdo adoptado en la Junta Directiva del respectivo Colegio Profesional; o
5) Certificación del acuerdo adoptado en el Consejo de Coordinación Regional o en el Concejo Provincial, cuando el actor sea Presidente de Región o Alcalde Provincial, respectivamente.

Artículo 103º.- Inadmisibilidad de la Demanda

Interpuesta la demanda, el Tribunal resuelve su admisión dentro de un plazo que no puede exceder de diez días.

El Tribunal resuelve la inadmisibilidad de la demanda, si concurre alguno de los siguientes supuestos:

1) Que en la demanda se hubiera omitido alguno de los requisitos previstos en el artículo 101; o

2) Que no se acompañen los anexos a que se refiere el artículo 102.

El Tribunal concederá un plazo no mayor de cinco días si el requisito omitido es susceptible de ser subsanado. Si vencido el plazo no se subsana el defecto de inadmisibilidad, el Tribunal, en resolución debidamente motivada e inimpugnable, declara la improcedencia de la demanda y la conclusión del proceso.

Artículo 104º.- Improcedencia liminar de la demanda

El Tribunal declarará improcedente la demanda cuando concurre alguno de los siguientes supuestos:

1) Cuando la demanda se haya interpuesto vencido el plazo previsto en el artículo 100;
2) Cuando el Tribunal hubiere desestimado una demanda de inconstitucionalidad sustancialmente igual en cuanto al fondo; o
3) Cuando el Tribunal carezca de competencia para conocer la norma impugnada.

En estos casos, el Tribunal en resolución debidamente motivada e inimpugnable declara la improcedencia de la demanda.

Artículo 105º.- Improcedencia de Medidas Cautelares

En el proceso de inconstitucionalidad no se admiten medidas cautelares.

Artículo 106º.- Efecto de la Admisión e Impulso de oficio

Admitida la demanda, y en atención al interés público de la pretensión discutida, el Tribunal Constitucional impulsará el proceso de oficio con prescindencia de la actividad o interés de las partes.

El proceso sólo termina por sentencia.

Artículo 107º.- Tramitación

El auto admisorio concede a la parte demandada el plazo de treinta días para contestar la demanda. El Tribunal emplaza con la demanda:

1) Al Congreso o a la Comisión Permanente, en caso de que el Congreso no se encuentre en funciones, si se trata de Leyes y Reglamento del Congreso.
2) Al Poder Ejecutivo, si la norma impugnada es un Decreto Legislativo o Decreto de Urgencia.
3) Al Congreso, o a la Comisión Permanente y al Poder Ejecutivo, si se trata de Tratados Internacionales.
4) A los órganos correspondientes si la norma impugnada es de carácter regional o municipal.

Con su contestación, o vencido el plazo sin que ella ocurra, el Tribunal tendrá por contestada la demanda o declarará la rebeldía del emplazado, respectivamente. En la misma resolución el Tribunal señala fecha para la vista de la causa dentro de los diez días útiles siguientes. Las partes pueden solicitar que sus abogados informen oralmente.

Artículo 108º.- Plazo para dictar sentencia

El Tribunal dicta sentencia dentro de los treinta días posteriores de producida la vista de la causa.

TÍTULO IX.- PROCESO COMPETENCIAL

Artículo 109º.- Legitimación y representación

El Tribunal Constitucional conoce de los conflictos que se susciten sobre las competencias o atribuciones asignadas directamente por la Constitución o las leyes orgánicas que delimiten los ámbitos propios de los poderes del Estado, los órganos constitucionales, los gobiernos regionales o municipales, y que opongan:

1) Al Poder Ejecutivo con uno o más gobiernos regionales o municipales;
2) A dos o más gobiernos regionales, municipales o de ellos entre sí; o
3) A los poderes del Estado entre sí o con cualquiera de los demás órganos constitucionales, o a éstos entre sí.

Los poderes o entidades estatales en conflicto actuarán en el proceso a través de sus titulares. Tratándose de entidades de composición colegiada, la decisión requerirá contar con la aprobación del respectivo pleno.

Artículo 110º.- Pretensión

El conflicto se produce cuando alguno de los poderes o entidades estatales a que se refiere el artículo anterior adopta decisiones o rehúye deliberadamente actuaciones, afectando competencias o atribuciones que la Constitución y las leyes orgánicas confieren a otro.

Si el conflicto versare sobre una competencia o atribución expresada en una norma con rango de ley, el Tribunal declara que la vía adecuada es el proceso de inconstitucionalidad.

Artículo 111º.- Medida Cautelar

El demandante puede solicitar al Tribunal la suspensión de la disposición, resolución o acto objeto de conflicto. Cuando se promueva un conflicto constitucional con motivo de una disposición, resolución o acto cuya impugnación estuviese pendiente ante cualquier juez o tribunal, éste podrá suspender el procedimiento hasta la resolución del Tribunal Constitucional.

Artículo 112º.- Admisibilidad y procedencia

Si el Tribunal Constitucional estima que existe materia de conflicto cuya resolución sea de su competencia, declara admisible la demanda y dispone los emplazamientos correspondientes.

El procedimiento se sujeta, en cuanto sea aplicable, a las disposiciones que regulan el proceso de inconstitucionalidad.

El Tribunal puede solicitar a las partes las informaciones, aclaraciones o precisiones que juzgue necesarias para su decisión. En todo caso, debe resolver dentro de los sesenta días hábiles desde que se interpuso la demanda.

Artículo 113º.- Efectos de las Sentencias

La sentencia del Tribunal vincula a los poderes públicos y tiene plenos efectos frente a todos. Determina los poderes o entes estatales a que corresponden las competencias o atribuciones controvertidas y anula las disposiciones, resoluciones o actos viciados de incompetencia. Asimismo resuelve, en su caso, lo que procediere sobre las situaciones jurídicas producidas sobre la base de tales actos administrativos.

Cuando se hubiera promovido conflicto negativo de competencias o atribuciones, la sentencia, además de determinar su titularidad, puede señalar, en su caso, un plazo dentro del cual el poder del Estado o el ente estatal de que se trate debe ejercerlas.

TÍTULO X.- JURISDICCIÓN INTERNACIONAL

Artículo 114º.- Organismos internacionales competentes

Para los efectos de lo establecido en el artículo 205 de la Constitución, los organismos internacionales a los que puede recurrir cualquier persona que se considere lesionada en los derechos reconocidos por la Constitución, o los tratados sobre derechos humanos ratificados por el Estado peruano, son: el Comité de Derechos Humanos de las Naciones Unidas, la Comisión Interamericana de Derechos Humanos de la Organización de Estados Americanos y aquellos otros que se constituyan en el futuro y que sean aprobados por tratados que obliguen al Perú.

Artículo 115º.- Ejecución de resoluciones

Las resoluciones de los organismos jurisdiccionales a cuya competencia se haya sometido expresamente el Estado peruano no requieren, para su validez y eficacia, de reconocimiento, revisión, ni examen previo alguno. Dichas resoluciones son comunicadas por el Ministerio de Relaciones Exteriores al Presidente del Poder Judicial, quien a su vez, las remite al tribunal donde se agotó la jurisdicción interna y dispone su ejecución por el juez competente, de conformidad con lo previsto por la Ley nº 27775, que regula el procedimiento de ejecución de sentencias emitidas por tribunales supranacionales.

Artículo 116º.- Obligación de proporcionar documentos y antecedentes

La Corte Suprema de Justicia de la República y el Tribunal Constitucional deberán remitir a los organismos a que se refiere el artículo 114, la legislación, las resoluciones y demás documentos actuados en el proceso o los procesos que originaron la petición, así como todo otro elemento que a juicio del organismo internacional fuere necesario para su ilustración o para mejor resolver el asunto sometido a su competencia.

TÍTULO XI.- DISPOSICIONES GENERALES APLICABLES A LOS PROCEDIMIENTOS ANTE EL TRIBUNAL CONSTITUCIONAL

Artículo 117º.- Acumulación de procesos

El Tribunal Constitucional puede, en cualquier momento, disponer la acumulación de procesos cuando éstos sean conexos.

Artículo 118º.- Numeración de las sentencias

Las sentencias dictadas por el Tribunal Constitucional se enumeran en forma correlativa y anualmente.

Artículo 119º.- Solicitud de información

El Tribunal puede solicitar a los poderes del Estado y a los órganos de la Administración Pública todos los informes y documentos que considere necesarios para la resolución de los procesos de su competencia. En tal caso, el Tribunal habilita un plazo para que las partes conozcan de ellos y puedan alegar lo que convenga a su derecho.

El Tribunal dispone las medidas necesarias para preservar el secreto que legalmente afecta a determinada documentación, y el que, por decisión motivada, acuerda para su actuación.

Artículo 120º.- Subsanación de vicios en el procedimiento

El Tribunal, antes de pronunciar sentencia, de oficio o a instancia de parte, debe subsanar cualquier vicio de procedimiento en que se haya incurrido.

Artículo 121º.- Carácter inimpugnable de las sentencias del Tribunal Constitucional

Contra las sentencias del Tribunal Constitucional no cabe impugnación alguna. En el plazo de dos días a contar desde su notificación o publicación tratándose de las resoluciones recaídas en los procesos de inconstitucionalidad, el Tribunal, de oficio o a instancia de parte, puede aclarar algún concepto o subsanar cualquier error material u omisión en que hubiese incurrido.

Estas resoluciones deben expedirse, sin más trámite, al segundo día de formulada la petición.

Contra los decretos y autos que dicte el Tribunal, sólo procede, en su caso, el recurso de reposición ante el propio Tribunal. El recurso puede interponerse en el plazo de tres días a contar desde su notificación. Se resuelve en los dos días siguientes.

Lo anterior no afecta el derecho a recurrir a los tribunales u organismos internacionales constituidos según tratados de los que el Perú es parte.

TÍTULO XII.- DISPOSICIONES FINALES

PRIMERA.- Denominaciones empleadas

Para los efectos de este Código, se adoptarán las siguientes denominaciones:

1) Proceso de hábeas corpus, a la acción de hábeas corpus;
2) Proceso de amparo, a la acción de amparo;
3) Proceso de hábeas data, a la acción de hábeas data;
4) Proceso de inconstitucionalidad, a la acción de inconstitucionalidad;
5) Proceso de acción popular, a la acción popular;
6) Proceso de cumplimiento, a la acción de cumplimiento; y,
7) Proceso competencial, a los conflictos de competencias o atribuciones.

SEGUNDA.- Vigencia de normas

Las normas procesales previstas por el presente Código son de aplicación inmediata, incluso a los procesos en trámite. Sin embargo, continuarán rigiéndose por la norma anterior: las reglas de competencia, los medios impugnatorios interpuestos, los actos procesales con principio de ejecución y los plazos que hubieran empezado.

TERCERA.- Jueces Especializados

Los procesos de competencia del Poder Judicial a que se refiere el presente Código se iniciarán ante los jueces especializados que correspondan en aquellos distritos judiciales que cuenten con ellos, con la sola excepción del proceso de hábeas corpus que podrá iniciarse ante cualquier juez penal.

CUARTA.- Publicación de sentencias

Las sentencias finales y las resoluciones aclaratoria de las mismas, recaídas en los procesos constitucionales deben remitirse, dentro de las cuarentaiocho horas siguientes a la fecha de su expedición, al Diario Oficial El Peruano para su publicación gratuita, dentro de los diez días siguientes a su remisión. La publicación debe contener la sentencia y las piezas del expediente que sean necesarias para comprender el derecho invocado y las razones que tuvo el Juez para conceder o denegar la pretensión.

Las sentencias recaídas en el proceso de inconstitucionalidad, el proceso competencial y la acción popular se publican en el diario oficial dentro de los tres días siguientes al de la recepción de la transcripción remitida por el órgano correspondiente. En su defecto, el Presidente del Tribunal ordena que se publique en uno de los diarios de mayor circulación nacional, sin perjuicio de las responsabilidades a que hubiere lugar.

Cuando las sentencias versan sobre normas regionales o municipales, además de la publicación a que se refiere el párrafo anterior, el Tribunal ordena la publicación en el diario donde se publican los avisos judiciales de la respectiva circunscripción.

En lugares donde no exista diario que se publique los avisos judiciales, la sentencia se da a conocer, además de su publicación en el diario oficial o de circulación nacional, mediante carteles fijados en lugares públicos.

QUINTA.- Exoneración de tasas judiciales

Los procesos constitucionales se encuentran exonerados del pago de tasas judiciales.

SEXTA.- Enseñanza de los derechos y de los procesos constitucionales

En todos los centros de enseñanza, de cualquier nivel, civiles, o militares, se impartirán cursos obligatorios sobre derechos fundamentales y procesos constitucionales.

Compete promover y supervisar esta tarea al Ministerio de Educación; a la Asamblea Nacional de Rectores, y a los Ministerios de Defensa y del Interior. El Ministerio de Justicia queda encargado de la labor de publicación y difusión de la Constitución y textos básicos conexos. Queda encargado igualmente de editar, periódicamente, una versión fidedigna de todas las constituciones históricas del Perú y de la vigente Constitución.

Adicionalmente editará y patrocinará estudios, publicaciones, textos, jurisprudencia y legislación Constitucional.

SÉPTIMA.- Gaceta Constitucional

La Gaceta Constitucional es el órgano oficial del Tribunal Constitucional y será editada periódicamente, sin perjuicio de otras compilaciones oficiales y de la publicación electrónica de su jurisprudencia. En ella el Tribunal Constitucional dará cuenta de sus actividades, publicará los documentos relacionados con su marcha institucional, así como las resoluciones finales de los procesos constitucionales de su competencia. Esta publicación se hace con independencia de la que efectúe obligatoriamente el Diario Oficial El Peruano.

TÍTULO XIII.- DISPOSICIONES TRANSITORIAS Y DEROGATORIAS

PRIMERA.- Normas derogadas

Quedan derogadas:

1) La Ley nº 23506, Ley de Hábeas Corpus y Amparo.
2) La Ley nº 25398, Ley complementaria de la Ley de Hábeas Corpus y Amparo.
3) La Ley nº 24968, Ley Procesal de la Acción Popular.
4) La Ley nº 25011, que modifica parcialmente la Ley nº 23506.
5) La Ley nº 25315, que modifica parcialmente la Ley nº 23506.
6) El Decreto Ley nº 25433, que modifica la Ley nº 23506 y la Ley nº 24968.
7) La Ley nº 26248, que modifica parcialmente la Ley nº 23506.
8) La Ley nº 26301, Ley de Hábeas Data y Acción de Cumplimiento.
9) Los artículos 20 al 63, con excepción del artículo 58, así como la primera y segunda disposición general de la Ley nº 26435, Ley Orgánica del Tribunal Constitucional.
10) La Ley nº 26545, que modifica parcialmente los procesos de hábeas data y acción de cumplimiento.
11) El Decreto Legislativo nº 824, que modifica parcialmente la Ley nº 23506.
12) La Ley nº 27053, que modifica parcialmente la Ley nº 23506.
13) La Ley nº 27235, que modifica parcialmente la Ley nº 23506.
14) La Ley nº 27959, que modifica parcialmente la Ley nº 23506.
15) Todas las disposiciones que se opongan al presente Código.

SEGUNDA.- Vigencia del Código

El presente Código entra en vigencia a los seis meses de su publicación en el Diario Oficial El Peruano.

Comuníquese al señor Presidente de la República para su promulgación.

En Lima, a los siete días del mes de mayo de dos mil cuatro.

HENRY PEASE GARCÍA, Presidente del Congreso de la República

MARCIANO RENGIFO RUIZ, Primer Vicepresidente del Congreso de la República

AL SEÑOR PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA POR TANTO:

Mando se publique y cumpla.

Dado en la Casa de Gobierno, en Lima, a los veintiocho días del mes de mayo del año dos mil cuatro.

ALEJANDRO TOLEDO, Presidente Constitucional de la República

CARLOS FERRERO, Presidente del Consejo de Ministros

 

FE DE ERRATAS LEY nº 28237 CÓDIGO PROCESAL CONSTITUCIONAL

Mediante Oficios números 211 y 212-2004-SCM-PR, la Secretaría del Consejo de Ministros solicita se publique Fe de Erratas de la Ley nº 28237, Código Procesal Constitucional, publicada en nuestra edición del 31 de mayo de 2004

Página 269430

Artículo 56º

DICE:

«…se interpondrán las costas y los costos que el Juez establezca a la autoridad…»

02Mar/04

Sentencia de Amparo Ref. 118-2002 Habeas Data

Sentencia de Amparo Ref. 118-2002 de 2 de marzo de 2004, sobre Habeas Data. El Salvador

Sala de lo Constitucional de la Corte Suprema de Justicia: San Salvador, a las quince horas y cuarenta y tres minutos del día dos de marzo de dos mil cuatro.

El señor Boris Rubén Solórzano ha promovido el presente proceso constitucional de amparo, mediante demanda presentada el día quince de febrero de dos mil dos, contra DICOM, CENTROAMÉRICA, Sociedad Anónima de Capital Variable, y contra GENERAL AUTOMOTRIZ, Sociedad Anónima de Capital Variable, por considerar que las actuaciones de éstas han vulnerado su derecho constitucional a la intimidad.

Además del demandante, han intervenido en el proceso, las empresas demandadas, por medio de sus respectivos apoderados judiciales, licenciados Efraín Marroquín Abarca y Mauricio Antonio Álvarez Gálvez respectivamente; y el Fiscal de la Corte Suprema de Justicia, quienes tienen su domicilio en esta ciudad.

VISTOS LOS AUTOS;

Y CONSIDERANDO:

I. El demandante en su demanda manifestó, en síntesis, que, en el año de mil novecientos noventa y ocho solicitó a la Sociedad General Automotriz, un crédito para la adquisición de un automóvil, el cual fue aprobado para un plazo de tres años, pero que a los meses de concedido el crédito solicitado, no pudo seguirlo pagando por haberse quedado sin trabajo. Que en mil novecientos noventa y nueve, fue demandado en juicio mercantil, por el incumplimiento en el pago de esa deuda, la que fue cancelada el seis de enero del año dos mil. Posteriormente, a finales del mes de enero de dos mil dos, se presentó a un banco nacional con la finalidad de solicitar un crédito personal, el cual le fue denegado, debido al reporte que le proporcionó la Sociedad DICOM, en el que aparece, además de su nombre, el número de su cédula de identidad y el de su identificación tributaria; es decir, el informe de una mora histórica con un único acreedor, la expresada General Automotriz. Presentó por ello a la primera de las sociedades mencionadas, la constancia de cancelación total de la deuda, para que se le excluyese de la base de datos, lo que no hicieron porque, según le informaron, la sociedad que había sido su acreedora, era la que debía autorizar por escrito, su exclusión como sujeto moroso. Se presentó entonces a General Automotriz, a fin de que se le extendiese la referida autorización, no accediendo tampoco esta otra sociedad a su petición.

Que las anteriores actuaciones considera vulneran su derecho constitucional de intimidad, pues es razonable que se mantenga una base de datos con referencias personales de los individuos que han accedido a un crédito y han incurrido en mora o han pagado como se debe, pero no es justificable ni lícito, que una empresa mantenga su nombre en la base de datos sin su consentimiento y lo comparta con cualquier entidad que le pague por ese servicio. Si la causa por la que fue incorporado a la base de datos ya desapareció, no tiene sentido seguir en la misma. Que no obstante lo anterior, a la Sociedad DICOM le conviene tenerlo con mala referencia crediticia, ya que los bancos o empresas le pagan por hacer las consultas cada vez que lo necesiten y obtiene así elevadas ganancias. Y que además, por ser procedente el amparo contra particulares, según lo ha establecido esta Sala, demanda a las Sociedades mencionadas por haberse negado éstas a actualizar sus datos, encontrándose en una situación de desventaja frente a dichas empresas, sin que existan otros medios jurisdiccionales idóneos para reclamar de tales actuaciones, lo cual lo deja en total indefensión, razón por la cual debía concedérsele el amparo previo el trámite de ley.

La admisión de la demanda se circunscribió al control de constitucionalidad de los siguientes actos:

(a) las actuaciones de la Sociedad DICOM, en virtud de las cuales mantiene en su base de datos las referencias personales y crediticias del peticionario sin su consentimiento y sin motivo alguno; y

(b) la omisión de la Sociedad General Automotriz, que consiste en que hasta la fecha no ha requerido la actualización de las referencias comerciales del actor. Se suspendió inmediata y provisionalmente únicamente el acto atribuido a la primera de las sociedades demandadas; a las que se les pidió el informe a las autoridades demandadas de acuerdo al artículo 21 de la Ley de Procedimientos Constitucionales.

El apoderado de la Sociedad DICOM sostuvo que dicha empresa tiene registrado al actor en la base de datos y sus referencias personales y crediticias; y que en virtud de que el acto que se reclama ha sido inmediata y provisionalmente suspendido, se han abstenido de hacer uso de tales referencias.

Por su parte, la Sociedad General Automotriz, informó que el demandante incurrió en mora en el pago de la cuota número trece, de las treinta y seis cuotas que se habían fijado en el contrato respectivo, por lo que se iniciaron las diligencias administrativas de cobro extrajudicial, las que no dieron fruto alguno, ya que el demandante expresó, desde un principio, que el vehículo había sufrido un accidente que lo dejó totalmente inservible, argumento que no fue más que una manera maquiavélica para ocultar el vehículo y utilizarlo, sin cancelar cuota alguna, siendo ese el motivo por el cual se siguió en su contra el correspondiente juicio ejecutivo, pero que, a la fecha de la demanda, se han extendido al demandante las cartas o constancias de cancelación que ha requerido para comprobar que ya no existe ninguna obligación pendiente de pago. Que la Sociedad DICOM está consciente que la deuda en mora fue cancelada, ya que a partir de la fecha de cancelación, el actor no aparece en los listados de clientes morosos, y que además no está obligado a informar a DICOM que un cliente determinado ya canceló un crédito determinado, sino únicamente a reportar los movimientos en las cuentas en mora, lo cual ya hizo. Que no le corresponde, por lo tanto, solicitar que se borre de la base de datos a un cliente, pues ello es una decisión y responsabilidad de DICOM.

Se confirió al Fiscal de la Corte la audiencia que previene el artículo 23 de la ley de la materia, quien no hizo uso de la misma.

Mediante resolución de fs. 46, este Tribunal confirmó la suspensión de los efectos del acto atribuido a la Sociedad DICOM y solicitó un nuevo informe de las mismas autoridades. La Sociedad DICOM, señaló que si bien no existe una legislación especializada sobre la protección al derecho de intimidad, privacidad, autodeterminación informativa o protección de datos; la Ley de Bancos y Financieras permitía que una entidad especializada en el intercambio de datos pudiera celebrar contratos de prestación de servicios relativos a éstos. Que, por otra parte, el ocho de julio de mil novecientos noventa y ocho, con fundamento en una disposición similar de la Ley de Bancos y Financieras, la Superintendencia del Sistema Financiero, acordó no objetar la suscripción, por parte de cinco bancos nacionales, de contratos sobre la prestación de tales servicios. Que, con posterioridad, ha suscrito contratos de la misma naturaleza con otras entidades regidas por la Ley de Bancos. Que de conocerse a qué banco fue al que el demandante supuestamente solicitó el crédito, podría especificar su actuación en este caso y su apego a la normativa vigente. Que es usual exigir que las entidades que realizan actividades correspondientes al tratamiento de datos personales se inscriban en un registro especializado; sin embargo, esta exigencia no existe legalmente aunque el contrato suscrito entre las partes contempla las actividades relativas al tratamiento y comercialización de datos personales de parte de DICOM.

En consecuencia –continúa-, se trata de una actividad considerada como legítima por la entidad que inscribió el instrumento, pues ninguna legislación, jurisprudencia o doctrina, considera que el comportamiento de una persona en cuanto al cumplimiento de obligaciones crediticias sea un dato sensible o potencialmente discriminatorio. Las tareas entonces de recolección, la sistematización, y distribución de los datos, para su posterior consulta, son actividades lícitas y se encuentran amparadas por diversas disposiciones constitucionales que de manera expresa o tácita, reconocen el derecho a recabar y difundir la información, a la libertad económica y de empresa; y continuó manifestando diferir con el actor en cuanto a la caracterización del derecho a la intimidad, por cuanto ésta tiene límites en aras del interés de la colectividad. Que, con los documentos presentados por el señor Solórzano con su demanda, que hacen referencia a un reporte personal de referencias crediticias identificadas con los números 09793, 09794 y 09795 extendidas el día catorce de febrero de dos mil dos, se puede comprobar que no aparece ningún registro de mora vigente en contra del actor; lo que significa que es falso que en la base de datos se le continúe consignando como un sujeto que se encuentra en mora con algún acreedor. Que, por otro lado, en la sección «historial de moras», aparece que en los últimos tres años, el actor ha sido reportado diecisiete veces con atrasos de más de sesenta días en sus pagos; y que esta información es diferente de la relacionada por el actor, pues no aparece que actualmente se encuentra en mora. Además, que la mecánica de su actuación puede resumirse de la siguiente forma: DICOM proporciona a los titulares de los datos, la información que sobre ellos existe en la base de datos correspondiente; reconociendo, entonces, el llamado derecho de acceso en sentido estricto, que consiste en que el registrado se imponga del contenido de los datos propios que se encuentren almacenados. Para facilitar el ejercicio de tal derecho, extiende reportes personales a requerimiento de los titulares de datos, quienes deben identificarse debidamente, al igual que a las entidades que han suscrito el respectivo contrato, lo que significa que respeta el principio de proporcionalidad, ya que la difusión de la información se limita exclusivamente a quienes cuentan con interés legítimo para consultarla. Se facilita pues al titular de los datos el derecho a rectificar éstos, al de aclararlos y actualizarlos, por lo que rechaza la afirmación del actor de beneficiarse por el hecho tenerlo en la base de datos como sujeto moroso, pues además de ser injuriosa, carece de toda lógica, fuera de que el beneficio es el de proporcionar información exacta, completa y precisa, pues de no ser así perdería credibilidad.

Con posterioridad, DICOM luego de denunciar la falta de competencia de la Sala para conocer de pretensiones en las que intervengan entidades de naturaleza privada, solicitó se sobreseyese a su favor, lo que le fue denegado por resolución motivada de este Tribunal.

La Sociedad General Automotriz manifestó, por su parte, que el procedimiento adoptado consiste en que al inicio de cada mes remite sus carteras de clientes morosos, de treinta, sesenta, o de más de noventa días, con el único objeto de mantener actualizada una base de datos de clientes en mora, que sirva como referencia para futuras aprobaciones o denegatorias de créditos, garantizando así el derecho de propiedad de las empresas. De tal manera que no es responsabilidad directa suya que DICOM proporcione una referencia negativa que llegase a causar perjuicios.

El Fiscal de la Corte, al evacuar el traslado que se le confirió de acuerdo a lo ordenado por el artículo 27 de la ley de materia, opinó que no obstante los amplios señalamientos de las sociedades demandadas en sus informes justificativos de los actos que se les atribuye, la constitucionalidad de los mismos debe fundamentarse en la legitimidad que les asiste para mantener las referencias personales y crediticias del actor, sin su consentimiento y motivo alguno.

El apoderado de la Sociedad DICOM, CENTROAMÉRICA, presentó escrito en el que después de haber hecho una exposición de argumentos relativos a la falta de competencia de la Sala para conocer pretensiones en las que intervengan autoridades de naturaleza privada, solicitó sobreseimiento a su favor, mismo que fue denegado mediante resolución motivada de este Tribunal.

El actor, a su vez, al evacuar su correspondiente traslado, dijo que en el reporte dado por la sociedad DICOM sobre su persona aparece una mora histórica suya con General Automotriz, lo que se entiende, según se le informó en el banco que le denegó el crédito solicitado, que no se sabe con certeza si aún se encuentra en mora con esa empresa y si no lo está, tampoco se sabe cuándo canceló la deuda. Esta situación considera que favorece a DICOM, pues cada vez que reporta dicha información, obtiene grandes ganancias; y que en lo que respecta a la intervención de la otra Sociedad demandada, manifestó, en esencia, que nunca ha dado su consentimiento para que DICOM comercialice sus datos ni a General Automotriz para que transfiera los mismos.

Se abrió a pruebas el proceso de conformidad a lo que establece el artículo 29 de la Ley de Procedimientos Constitucionales; plazo dentro del cual el actor pidió se solicitase del Banco de Comercio de El Salvador, S.A, información respecto al motivo por el que le denegaron el crédito que solicitó en febrero de dos mil dos, solicitud que fue declarada sin lugar mediante resolución motivada de esta Sala de fecha veintinueve de julio de dos mil dos. DICOM, por su parte, aportó la siguiente prueba instrumental:

(a) el contrato de Proveedor de Información y Usuario de Servicios de Bases de Datos, celebrado con General Automotriz , el día uno de octubre de mil novecientos noventa y siete,

(b) copia fotostática certificada por notario de la resolución pronunciada por el Juzgado Quinto de lo Mercantil de este distrito, a las catorce horas del día ocho de septiembre de mil novecientos noventa y nueve, en el juicio ejecutivo, promovido por la sociedad General Automotriz en contra del ahora demandante;

(c) una copia de la autorización para el otorgamiento del Contrato de Servicios de Asesoramiento en Sistemas y Asistencia Técnica con la Sociedad DICOM, suscrita por el intendente de Supervisión, de fecha veintisiete de agosto de mil novecientos noventa y ocho; y

(d) un modelo del que se utiliza como Contrato de Servicios de Tecnología y Asesoramiento en Sistemas con las instituciones financieras regidas por la Superintendencia del Sistema Financiero.

Se confirió enseguida el traslado correspondiente al Fiscal de la Corte, a la parte actora y a las autoridades demandadas, por el plazo de tres días, a cada uno de las mismos conforme a lo dispuesto en el artículo 30 de la ley relacionada. El Fiscal señaló que la protección constitucional que se ejerce a través del proceso de amparo, reviste importancia dentro del sistema de protección de los derechos fundamentales, por cuanto es una garantía para los gobernados de que sus derechos serán tutelados ante cualquier amenaza que incida en su esfera jurídica, de manera que aún cuando la legislación salvadoreña no establezca la figura del habeas data como una garantía constitucional de carácter autónomo diseñada para la protección del derecho a la intimidad, más el derecho a la autodeterminación informativa, se puede considerar como una modalidad de amparo que permite a la Sala de lo Constitucional protegerse de las acciones y omisiones que lesionen la intimidad de las personas, cuando ésta se vea alterada por el manejo de la información; y en especial, cuando la misma se vea invertida con fines de lucro.

El actor por su parte, no evacuó el traslado conferido; y DICOM, S.A de C.V alegó que la conducta crediticia del demandante era pública y notoria y que la resolución judicial que ordenó trabar embargo en bienes del mismo, constituye una consecuencia directa de su conducta morosa, por no haber honrado en tiempo las obligaciones mercantiles adquiridas con la Sociedad General Automotriz, por lo que cualquier persona pudo haberse enterado de que él era deudor moroso de dicha sociedad; manifestando, asimismo, no ser ciertas las afirmaciones del demandante, ya que en los informes proporcionados por la Sociedad General Automotriz no aparece que él se encuentre en mora. Simplemente se dice que hubo un número de reportes de atraso, los cuales son ciertos y exactos, lo que se evidencia en el acápite de historial moratorio. Tal situación no ha sido desvirtuada por la parte demandante, lo que vuelve confusa y contradictoria su solicitud, ya que en su escrito de demanda parte esencialmente de un hecho falso, lo que da base para que la Sala desestime el amparo solicitado.

Que además ha comprobado con la documentación presentada oportunamente, que se encuentra ejerciendo legítimamente una actividad comercial, autorizada por la Ley de Bancos; y que, adicionalmente, está respaldada por la vigilancia y supervisión de la Superintendencia del Sistema Financiero, en virtud de que ésta tiene la facultad para acceder, cuando lo juzgue conveniente, a la base de datos de sus sistemas informativos, destacando finalmente, el hecho de no existir, en el ordenamiento jurídico salvadoreño, un instrumento normativo, sustantivo y procedimental, que regule detalladamente la figura jurídica del habeas data que señale los tribunales competentes para conocer de los conflictos que puedan generarse al respecto, careciendo la Sala de lo Constitucional en tal virtud, de competencia para conocer de la pretensión formulada por el peticionario, ya que la Ley de Procedimientos Constitucionales únicamente se la confiere para conocer en aquellos casos en que la parte demandada es una autoridad o funcionario público. De manera que siendo un particular el que afecta el derecho al honor y a la intimidad, el Código Penal es el cuerpo normativo que regula y tipifica la figura delictiva. De admitir la idea del amparo contra particulares, se llegaría a la conclusión de que en un caso concreto, quedaría a criterio de la Sala, determinar si la conducta de la parte demandada se asimila a la de una autoridad o funcionario público; y, dependiendo de tal razonamiento, atribuirse o no competencia, con lo cual se estaría vulnerando el principio de orden público establecido en el artículo dos del Código de Procedimientos Civiles, que literalmente dispone que «La dirección del proceso está confiada al juez, el que la ejercerá de acuerdo con las disposiciones de este Código, teniendo presente que los procedimientos no penden del arbitrio de los jueces, quienes no pueden crearlos, dispensarlos, restringirlos, ni ampliarlos…», y vulnerando, además, el principio constitucional de que los funcionarios públicos no tienen más facultades que las que expresamente le confiere la ley.

Concluidos de esta forma los actos de desarrollo, el presente proceso quedó en estado de dictar sentencia.

II. El actor reclama contra actuaciones de las empresas DICOM S.A de C.V. y General Automotriz, S.A. de C.V, las cuales, por mantener en su base de datos sus referencias personales y crediticias sin su consentimiento, la primera; y por no haber actualizado, la segunda, sus referencias comerciales y básicamente su status crediticio en la relación comercial que tuvo con ésta; considera violatorias de su derecho a la intimidad.

1- Al respecto y dada la petición de la Sociedad DICOM de que se dicte sobreseimiento en el presente caso por falta de competencia material de la Sala de lo Constitucional para resolver la controversia, se estima procedente iniciar las consideraciones sobre los aspectos debatidos, estableciendo las razones que fundamentan dicha competencia.

Estructuralmente el proceso amparo se encuentra regulado en la Constitución como el instrumento de garantía que tiene por objeto tutelar los derechos constitucionales; lo cual se traduce doctrinaria y jurisprudencialmente como la pieza final del sistema de garantías de los derechos y categorías constitucionales, en cuanto a que corresponde, en primera instancia, a los tribunales ordinarios resolver los casos concretos tomando como parámetro no sólo la ley sino también la propia Constitución e indirectamente solventar, de esa forma, los derechos constitucionales que explícita o implícitamente se constituyan en el centro del litigio. El amparo, como garantía subjetiva, es de larga data en nuestro sistema jurídico y fue concebido con el objeto de poner límites a las actuaciones arbitrarias de quien normalmente ostenta el poder, es decir el Estado. Sin embargo, dada la evolución de las relaciones inter-subjetivas que impone toda sociedad moderna, el Estado o el poder público, único capaz de alterar o menoscabar el ámbito privado de los particulares, en concepción típicamente liberal; fue cediendo espacio a poderes o entidades privados cuyos actos se alejaban de una relación entre iguales con los particulares, para lo cual la legislación civil, o penal –que son la normativa idónea para la solución de los conflictos privados-, resulta insuficiente, pues existe cierto tipo de actividades realizadas por particulares o empresas privadas que por concesión de un servicio público, por ejemplo; o por el tipo de actividad que realizan, son capaces de romper la tradicional igualdad formal y transformar la relación jurídica en una desigualdad material, ubicándose fácticamente una de las partes en una posición de superioridad frente a otro u otros, semejante a la del predominio del poder público, creándose con ello el potencial peligro que en dichas relaciones entre particulares exista vulneración de sus derechos constitucionales.

En ese contexto, la jurisprudencia del amparo en nuestro país también ha evolucionado al ritmo del progreso de la sociedad y superado la tesis de que el amparo es procedente sólo contra actos de autoridad formalmente considerada; v.gr. concejos municipales, jueces, ministros, alcaldes, magistrados, entre otros. El acto de autoridad entonces, tiene ahora una connotación material, más que formal, en el entendido que el acto contra el que se reclama es capaz de causar un agravio constitucional, independientemente del órgano o la persona que lo realiza. A partir de dichas premisas se replantean los supuestos de la legitimación pasiva y ahora se admite la pretensión constitucional también contra actos y omisiones de particulares de los cuales puedan emanar actos limitativos de derechos constitucionales, como si se tratase de actos de autoridades formales, por encontrarse quienes los efectúan, de hecho o de derecho, en una posición de poder.

La jurisprudencia de esta Sala ha sido constante en establecer como presupuestos básicos para la procedencia del proceso de amparo contra particulares, los siguientes:

(a) que el particular responsable del acto se encuentre en una situación de poder,

(b) que el acto u omisión sea parte del ámbito de constitucionalidad y

(c) que no existan mecanismos judiciales o administrativos de protección frente a actos de esa naturaleza; o que de haberlos, sean ellos insuficientes para garantizar los derechos del afectado o se hayan agotado plenamente para remediar el acto contra el cual reclama. De no cumplirse dichos presupuestos, se estaría frente a una improcedencia de la pretensión de amparo, lo cual se traduce en la imposibilidad jurídica de parte de este Tribunal para conocer y decidir el caso.

2- Ahora bien, atendiendo a los argumentos planteados por el actor respecto de las actuaciones atribuidas a las sociedades demandadas que se resumen en un manejo inconstitucional de su status crediticio en la corriente informática y con ello la violación concreta de su derecho a la intimidad en el tráfico electrónico o autodeterminación informativa; es necesario realizar también algunas consideraciones sobre la validación del proceso de amparo como medio idóneo para conocer de tal derecho, en ausencia de un mecanismo propio como el habeas-data existente en ordenamientos foráneos.

El habeas data constituye el mecanismo o instrumento que protege al individuo contra el uso ilegal o indebido de los datos personales de un individuo por parte de entidades públicas o privadas, tutelando de una forma eficaz el derecho a la autodeterminación informativa. De tal manera que constituye una garantía cuyo fundamento en la normativa constitucional responde a la necesidad de los sujetos de proteger sus derechos ante la amenaza del acceso y uso indiscriminado de sus datos personales. En términos generales, se trata de un instrumento judicial que entra en funcionamiento a petición de parte, cuando ésta ha cumplido con el requisito prejudicial de solicitar a la empresa que posee o maneja sus datos personales, le exhiba los mismos con el objeto de verificar los que han sido incluidos en los ficheros automatizados y comprobar la veracidad de los mismos. De no obtenerse la respuesta requerida, el Estado, a través de dicho mecanismo, interviene solicitando la exhibición, modificación, supresión, o actualización de los datos, según el caso, con la consiguiente responsabilidad civil para la empresa demandada en caso de comprobarse la vulneración al derecho en cuestión, sin perjuicio de la responsabilidad penal a que hubiere lugar. Países como Brasil o España son ejemplo de tener dicha regulación en su sistema jurídico a través de leyes específicas.

Y si bien en el ordenamiento jurídico salvadoreño no aparece la figura del habeas data como instrumento diseñado para la protección específica del derecho a la autodeterminación informativa, como manifestación del derecho a la intimidad, ello no significa que tal derecho quede totalmente desprotegido, pues partiendo de lo que establece el inciso primero del Art. 2 de la Constitución, que «toda persona tiene derecho a (…)y a ser protegida en la conservación y defensa de los mismos.» y asimismo el artículo 247 de la misma Carta Primaria, también en su primer inciso sostiene: «Toda persona puede pedir amparo ante la Sala de lo Constitucional de la Corte Suprema de Justicia por violación de los derechos que otorga la presente Constitución»; se infiere que los derechos reconocidos expresa como implícitamente, deben ser garantizados a toda persona a través de los mecanismos de protección establecidos para su ejercicio. De manera que aunque no se disponga de una ley que prescriba los presupuestos procesales para materializar tal figura, se puede decir que la protección del derecho en mención puede ser efectuada a través del proceso constitucional de amparo, no importando la naturaleza de la empresa o ente a quien se le atribuya la vulneración de dicho derecho.

Por todo lo anteriormente expuesto, ha de concluirse que frente a la ausencia de un desarrollo legislativo de la figura relacionada que establezca el procedimiento y los mecanismos de defensa pertinentes, la admisión de la pretensión constitucional del demandante relativa a señalar actuaciones que han supuesto afectación al derecho a la autodeterminación informativa, además de responder a un amparo especializado en cuanto al derecho que se trata de proteger, encaja dentro de la figura del amparo; y, en ese caso específico del amparo contra particulares, por cuanto el mal manejo de sus datos personales, que se atribuye a las autoridades demandadas, comprueba la configuración del primer presupuesto de procedencia; es decir, una especie de situación de predominio de las mismas en relación con la posición del demandante.

Las consideraciones manifestadas evidencian la competencia de la Sala de lo Constitucional para conocer el asunto planteado por el demandante. En consecuencia, se rechaza la pretensión de la sociedad DICOM, de que se dictara sobreseimiento a su favor.

III. Respecto del derecho a la autodeterminación informativa como manifestación del derecho a la intimidad, es menester realizar algunas consideraciones sobre el contenido jurídico del mismo y su forma de ejercicio en la realidad social actual a efecto de que su conceptualización sirva de marco de referencia para valorar su afectación o no a través de las actuaciones contra las que reclama el demandante.

En cuanto al reconocimiento del derecho relacionado en el texto constitucional, ha de partirse de lo que establece el inciso 2º. del citado Art. 2, que señala: «Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen». En referencia específica a la intimidad personal, es preciso manifestar que el contenido de tal derecho hace referencia al ámbito que se encuentra reservado ad intra de cada persona, en el que se originan los valores, sentimientos, etc., vinculados a la propia existencia de su titular y cuyo conocimiento importa únicamente a éste y en su caso, a un círculo concreto de personas seleccionadas por el mismo. Por tanto, en dicho ámbito opera la voluntad del individuo para disponer de todos aquellos aspectos que puedan trascender al conocimiento de los demás.

A pesar de que el derecho a la intimidad parte de la esfera privada del individuo, el mismo no se puede alejar del contexto social donde se ejercita; es decir, que no se desliga completamente del entorno social en el cual adquiere sentido y se relaciona con los otros miembros del colectivo social en forma individual o agrupada, lo que implica que el ejercicio de tal derecho puede encontrarse limitado por las necesidades sociales y los intereses públicos.

Efectivamente, el derecho en estudio, ha ido perdiendo su carácter exclusivamente individual y asumido con mayor fuerza un papel colectivo y social importante, sin que ello signifique la eliminación de la nota que identifica tal carácter –la individualidad– pues ésta se integra con un contenido público que viene a definirla y a complementarla frente a las nuevas circunstancias que van generándose en el tiempo. Para el caso, el suministro de datos particulares que una persona proporciona a la administración pública mediante el empleo de fichas, solicitudes, entrevistas, es un suceso que le compete a la persona misma; y, sin embargo, es de interés también para los demás miembros de un determinado conglomerado social con una finalidad específica. A pesar de ello, el peligro que puede suscitar tal situación consiste más que en el conocimiento y posesión de los datos, en la posibilidad del uso inadecuado de los mismos.

Frente al peligro anteriormente advertido existe una manifestación del derecho a la intimidad, que es precisamente el derecho a la protección de los datos y consiste en que el individuo pueda controlar el uso o tratamiento de los mismos, a fin de impedir una lesión a su esfera jurídica. Tal derecho ha sido denominado de diversas formas, según el autor que lo formule; y así, se le conoce como derecho a la autodeterminación informativa o derecho a la intimidad informática; pero, indistintamente de su formulación, éste debe ser entendido como aquel que tiene por objeto preservar la información individual que se encuentra contenida en registros públicos o privados, especialmente la almacenada a través de los medios informáticos, frente a su utilización arbitraria. De modo que a partir del acceso a la información, exista la posibilidad de solicitar la corrección, actualización, modificación y eliminación de los mismos.

Se puede afirmar entonces que el derecho a la intimidad en el ámbito informático implica lo siguiente:

(a) que todo individuo tiene derecho de acceder a la información personal y especialmente a aquella que se encuentre contenida en bancos de datos informatizados;

(b) que todo individuo ha de tener la posibilidad y el derecho a controlar, de forma razonable, la transmisión o distribución de la información personal que le afecte,

(c) que debe existir, en el ordenamiento jurídico, un proceso o recurso que permita hacer efectivos los puntos señalados. Todo ello con la finalidad de establecer la estructura mínima que permita el manejo fiable de los datos personales de los individuos que se encuentren en banco de datos mecánicos o informáticos para conservar la veracidad, integridad y actualidad de los mismos; así como la regulación sobre la inaccesibilidad de otras instancias que no comprueben la existencia de una finalidad que justifique suficientemente la pretensión de conocerlos.

Ahora bien, en el ámbito público o comercial, algunas instituciones y la mayoría de empresas mercantiles, requieren para su información de ciertos datos personales, que si bien resulta ser una injerencia en el círculo íntimo de una persona, ésta cobra validez cuando se trata de cumplir con una finalidad específica para la que fue creada v. gr. Registro Nacional de Personas Naturales; o cuando, para efecto de alguna negociación financiera o comercial, se pretenda resguardar el capital de la empresa. Y es que, para suscribir contratos mercantiles, ambas partes requieren conocer su situación financiera y crediticia, lo cual, al reflejar su comportamiento en relaciones previas de igual o similar naturaleza, será determinante para la confiabilidad recíproca en el cumplimiento de la obligación que se pretende contraer.

En estas circunstancias, cabe la posibilidad que ante el surgimiento de empresas como DICOM, que a través del tratamiento automatizado de datos hacen referencia exclusiva al comportamiento crediticio de los sujetos, las empresas financieras puedan requerirle tal información, pagando por el servicio prestado. La información no se dispersa; o, más bien, no ha de conocerse por cualquier persona que tenga interés o capricho, sino consultada únicamente por su titular o por quienes realmente comprueben tener facultad o autorización para hacerlo.

No obstante lo anterior, la forma o el tratamiento indebido de los datos, en la tarea de recolección, podría ser generadora de perjuicios para el titular de los mismos por razones de falsedad o discriminación respecto de la información. Iguales perjuicios podrían generarse si la información no se encuentra actualizada, debido a la negativa u omisión de la autoridad correspondiente de completar, verificar o realizar los ajustes necesarios. En todos estos casos, bastará que no exista una correlación directa entre los registros contenidos en los bancos de datos y la realidad del sujeto de que se trate.

Lo expuesto evidencia que frente al poder que la tecnología impone en manos de recolectores y clasificadores de datos, el individuo debe estar dotado también de los medios o mecanismos lo suficientemente eficaces que la ley reconozca para garantizar su derecho de participar en ese proceso asegurando de tal manera que los datos recopilados sean veraces y que no sean más de los que se requiera obtener para fines legítimos. Por tanto, respeto al derecho a la intimidad, existe la obligación para todos aquellos que almacenan y sistematizan datos personales en registros ad-hoc, de seleccionar los datos que reflejen la verdadera situación jurídica del individuo. De allí, que todo banco de datos debe adoptar las medidas de seguridad adecuadas para garantizar la inviolabilidad o inalterabilidad de la información en él contenida, se trate de bancos públicos o privados, debiendo establecerse un régimen de responsabilidad ante su uso indebido.

IV. En el presente caso, el demandante señaló que en el año de mil novecientos noventa y ocho, la Sociedad General Automotriz le concedió un crédito para la adquisición de un vehículo, para tres años plazo, mismo que a los meses ya no pudo continuar cancelando en virtud de haberse quedado sin empleo. En mil novecientos noventa y nueve, fue demandado en juicio mercantil, por el incumplimiento en el pago de la deuda, la cual fue cancelada con fecha seis de enero de dos mil.

Posteriormente, a finales del mes de enero de dos mil dos, solicitó un crédito personal a un banco nacional, el cual le fue denegado debido al reporte que le proporcionó la Sociedad DICOM, en el que aparecía, además de su nombre, su número de cédula de identidad y el de su identificación tributaria, una mora histórica con la sociedad que le había concedido el referido crédito.

Ante las anteriores circunstancias, el actor, tal como lo señaló en la consiguiente demanda y se ha dejado ya transcrito, presentó a DICOM la constancia de cancelación total de la deuda, para que se le excluyese de la base de datos, lo que no hicieron porque, según le informaron, la sociedad que había sido su acreedora era la que debía enviar una carta autorizando su eliminación de la base de datos como sujeto moroso y que tampoco la General Automotriz había accedido a su petición.

Por lo anterior, las actuaciones de las autoridades demandadas que estima han vulnerado su derecho a la intimidad; y, en especial, el derecho a la autodeterminación informativa, son las siguientes:

(a) el acto de la Sociedad DICOM de mantenerlo en su base de datos, como sujeto moroso, sin su consentimiento y sin motivo alguno, por cuanto ya canceló la deuda que provocó su inclusión en dicha base; y

(b) la omisión de la Sociedad General Automotriz de actualizar el registro de referencias comerciales.

V. Con relación al primero de los actos indicados, la sociedad mencionada señaló que el demandante fue reportado en el historial de moras diecisiete veces con atrasos de más de sesenta días en sus pagos. De manera que si una empresa requiere información respecto de la situación crediticia del actor, se manifiesta que el mismo estuvo en mora con el número de reportes acumulados en tal sentido, lo cual es totalmente diferente a decir que éste aún se encuentra en mora, por lo que aseguró que no existe ningún registro de mora vigente en contra del peticionario.

Advirtió además que la empresa sí reconoce el derecho de acceso del titular de los datos, pues éste puede conocer el contenido de los datos que se encuentran almacenados, y pueda solicitar de tal forma su modificación, lo que comprueba con las notas que anexa el demandante a su escrito de demanda.

Respecto de la omisión reclamada, la Sociedad General Automotriz manifestó que de acuerdo a las cláusulas del «Contrato de Proveedor de Información y Usuario de Servicios de Bases de Datos», suscrito con la Sociedad DICOM, no está obligada a informar que un cliente determinado ya canceló una deuda. La única obligación que le compete es la de reportar la mora de sus clientes, por lo que solicitar que se borre a una persona de la base de datos es una decisión que corresponde únicamente a DICOM; y, en consecuencia, no es responsabilidad suya que ésta continúe reportando las veces en que el actor incurrió en mora, ni a quién se le haga saber tal reporte.

Fijadas de esa manera las pretensiones del demandante y las razones aducidas por las sociedades demandadas en pro de las propias, es preciso examinar exhaustivamente la prueba agregada al proceso, a efecto de determinar si las actuaciones atribuidas a estas últimas son o no violatorias del derecho aducido como violado.

En primer lugar, la escritura de modificación al pacto social de la Sociedad DICOM, Centroamérica, S.A de C.V, que consta a fs.56, evidencia la finalidad de la misma de recopilar, sistematizar y analizar la información comercial de crédito de consumo y la de prestar servicios de mercadeo directo, utilizando cualquiera de los medios existentes para ello, tales como correo directo, telemercado y cualquier otro que se cree en el futuro.

A fs.95, aparece el «Contrato de Proveedor de Información y Usuario de Servicios de Bancos de Datos» suscrito por la Sociedad DICOM y la Sociedad General Automotriz, el día uno de octubre de mil novecientos noventa y siete, esta última como CLIENTE Y PROVEEDOR de la base de datos que registra DICOM, a cambio de los servicios de información en línea que se le proporcione por ésta, se obliga a pagarle las cuotas de instalación y acceso correspondiente. Por ser la Sociedad General Automotriz la proveedora, sus obligaciones están referidas a que la información que proporcione a DICOM, debe ser verídica y actualizada, asumiendo por ello la total responsabilidad de su exactitud y liberando a ésta de cualquier problema que se deriva de datos o antecedentes inexactos.

Se establece además que la información de la base de datos de DICOM es confidencial, lo que significa que solamente podrá ser utilizada por el cliente como antecedente en la evaluación del solicitante del crédito, quedando prohibido para otros propósitos o finalidades.

Del análisis de la documentación agregada al proceso, se colige que la Sociedad General Automotriz reporta a DICOM la cartera de clientes en mora; así, en el caso del demandante, aparece que fue él reportado diecisiete veces, según el informe de fs.18. Por otra parte, consta que la deuda se canceló en su totalidad el día seis de enero de dos mil, de acuerdo a la carta de cancelación y constancia expedidas por el Jefe del Departamento Jurídico de General Automotriz; por lo tanto, el demandante ya no sostiene vínculo crediticio alguno con la referida sociedad.

Frente a lo anterior, el demandante ha sostenido que su status crediticio no se ha actualizado dado que al no haberse incorporado a la base de datos que maneja DICOM el dato de la cancelación de la deuda, esta empresa reporta mora en su crédito, lo cual considera que afecta el derecho a la intimidad y propiamente a la autodeterminación informativa que incide en sus negociaciones comerciales, por cuanto la mala referencia que proporciona DICOM es un punto en contra para la solicitud de próximos créditos.

Con relación al acto que se atribuye a la Sociedad DICOM, se ha comprobado con la documentación presentada por ambas partes, que dicha Sociedad, a petición del demandante, reportó una hoja de historial crediticio denominada «Deuda Comercial» en la que no constan montos pendientes de pago, es decir, mora en crédito alguno, apareciendo con reiterativos ceros las casillas respectivas del reporte que se refieren a «Saldo Vencido» y «Fecha de Vencimiento». Aparece, incluso, en el apartado relativo a «Fecha de Cancelación» la referencia 01/2000, coincidiendo tal dato con el mes y año en que el demandante canceló la obligación de pago que tenía con General Automotriz S.A de C.V., tal como aparece a fs. 13,14 y 15. También, como último reporte, la sociedad DICOM le informa al señor Solórzano que: «En los últimos tres años, usted ha sido reportado 17 veces con atrasos de más de 60 días en sus pagos por las siguientes instituciones: GAUSA». Estado crediticio éste que, en general, acepta el impetrante en su demanda.

De las pruebas relacionadas, se puede concluir que en ningún momento la Sociedad DICOM ha suscrito un reporte del que se advierta la existencia de una deuda pendiente de cancelar por parte del demandante a la empresa General Automotriz; al contrario, se ha acreditado que en tal reporte aparece la fecha de cancelación de la misma, con la salvedad de señalarse como historial crediticio que el señor Boris Rubén Solórzano fue reportado una cantidad específica de veces por atraso en sus pagos, dato que difiere al de considerarlo como sujeto obligado a pago actual o en mora. Es decir, se ha constatado la veracidad de los datos aportados por la sociedad DICOM respecto de la realidad crediticia del demandante que difieren de los hechos que por el mismo le fueron atribuidos. En consecuencia, esta Sala colige que no se ha vulnerado el derecho a la autodeterminación informativa como manifestación del derecho a la intimidad alegado por parte de dicha sociedad, ya que la misma no reporta información del impetrante errónea o desactualizada como se ha alegado; y en esa virtud, es indiscutible que ha de denegarse el amparo solicitado respecto a tal acto contra el que se reclama.

Por otra parte, también se ha comprobado que la Sociedad DICOM ha concedido al impetrante el derecho de acceso a la información de sus datos a efecto de tener expeditas las vías para solicitar su verificación, respetándose de esta manera el derecho a la autodeterminación informativa, como manifestación del derecho a la intimidad, en cuanto a potenciar los medios de control de los cuales debe disponer quien se encuentre en una base de esta naturaleza.

Ahora bien, respecto a la omisión que el señor Boris Rubén Solórzano atribuye a la General Automotriz S.A de C.V de llevar a cabo la actualización de su registro de referencias comerciales, en cuanto a incorporar en la base de datos que gestiona DICOM S.A de C.V, que la deuda contraída con aquélla fue cancelada; esta Sala advierte que aun y cuando no se haya dirigido un documento formal a DICOM que consigne la cancelación de la deuda, como lo exige el demandante y cuya obligación no se deduce de las cláusulas contractuales, se ha comprobado debidamente que la hoja de reporte emitida por la empresa referida contempla bajo el epígrafe «Fecha Cancelación» el mes y año respectivo –01/2000- tal como se ha mencionado, con lo cual queda claramente establecido que la Sociedad General Automotriz sí aportó el dato de que la deuda fue pagada, lo cual haría inferir a toda institución bancaria o financiera que el señor Solórzano no tiene una mora actual.

Consecuentemente, al haberse establecido que la información relativa a los datos crediticios del impetrante fueron reportados debidamente, y en específico el de la cancelación de la deuda por parte de la empresa mercantil en comento, esta Sala concluye finalmente que no ha existido violación al derecho a la autodeterminación informativa alegado.

Finalmente, es necesario aclarar que todo dato que refleje el estado de morosidad de un sujeto de crédito, que se encuentra incorporado en un registro público o privado, y cuyo uso y manejo responda a una finalidad justificada –desde la perspectiva constitucional-, no debe permanecer en el mismo durante un tiempo indefinido, ya que, la inmortalización de la morosidad puede afectar futuras contrataciones crediticias de dicho sujeto, en el sentido que éste continuaría ostentando la misma calidad o al menos sería considerado como tal, aunque su realidad actual responda a situaciones crediticias diferentes, y tomarse en cuenta tal aspecto como factor condicionante en la adopción de las decisiones crediticias. En consecuencia de lo anterior, esta Sala estima indispensable -entre otros aspectos no menos importantes- la adopción o regulación de un plazo razonable, en el que se entienda la vigencia de la información relativa al estado crediticio de un sujeto.

POR TANTO: De conformidad con lo antes expuesto y en aplicación de los artículos 32 al 35, inclusive, de la Ley de Procedimientos Constitucionales, esta Sala, en nombre de la República,

FALLA:

(a) No ha lugar el sobreseimiento solicitado por la Sociedad DICOM, CENTROAMÉRICA, S.A DE C.V.;

(b) declárase que no ha lugar al amparo solicitado por el señor Boris Rubén Solórzano contra el acto atribuido a la Sociedad mencionada y contra la omisión de la que responsabiliza a General Automotriz S.A. de C.V., por no existir violación a su derecho a la autodeterminación informativa como manifestación del derecho a la intimidad;

(c) para los efectos del artículo 84 de la Ley de Procedimientos Constitucionales, confiérese audiencia a General Automotriz, S.A. de C.V., por no haber evacuado el traslado a que alude el artículo 30 de la ley mencionada; y

(d) notifíquese.

A. G. CALDERON

J. E. TENORIO

M. CLARÁ

PRONUNCIADO POR LOS SEÑORES MAGISTRADOS QUE LO SUSCRIBEN

GERMAN O. RIVERA HERNANDEZ

Número de expediente: 118-2002

Partes: Boris Rubén Solórzano vrs. Dicom, Centroamérica, S.A. de C.V. y General Automotríz, S.A. de C.V.

Fecha de resolución: 02/03/2004

Nombre de sentencia: AS011802.04

Hora de resolución: 15:43

 

Descriptor: ACTO DE AUTORIDAD

Restrictor: Actualmente tiene connotación material, mas que formal; Debe ser capaz de causar un agravio constitucional; Necesario agravio de alcance constitucional para los fines de la pretensión de amparo

Descriptor: Acto reclamado

Restrictor: Actualmente tiene connotación material, mas que formal; Debe ser capaz de causar un agravio constitucional; Necesario agravio de alcance constitucional para los fines de la pretensión de amparo

Descriptor: Amparo

Restrictor: Instrumento de protección del derecho a la intimidad; Protección puede ser efectuada a través del amparo

Descriptor: AMPARO CONTRA PARTICULARES

Restrictor: Presupuestos básicos para su procedencia

Descriptor: Contratos

Restrictor: Para suscribir contratos mercantiles ambas partes requieren conocer su situación financiera crediticia; Relaciones previas de similar naturaleza son determinantes para la confiabilidad recíproca en el cumplimiento de la obligación

Descriptor: Derecho a la autodeterminación informática

Restrictor: Instrumento de protección del derecho a la intimidad; Protección puede ser efectuada a través del amparo

Descriptor: Derecho a la intimidad

Restrictor: Carácter que lo identifica es la individualidad; Concepción del derecho a la protección de datos; Concepto; Contenido; Contenido hace referencia al ámbito que se encuentra reservado ad intra de cada persona; Derecho a la protección de datos como manifestación de tal derecho; Ha ido perdiendo su carácter individual y asumido con mayor fuerza un papel colectivo y social importante; Implicación en el ámbito informático; Implicación en el ámbito público o comercial; Obligaciones que tienen los que almacenan y sistematizan datos personales en registros ad-hoc

Descriptor: Habeas data

Restrictor: Concepto; Fundamento en la normativa constitucional; Garantía que responde a la necesidad de los sujetos de proteger sus derechos ante la amenaza del acceso a datos personales; Instrumento judicial que entra en funcionamiento a petición de parte; Requisito que debe cumplir la parte para seguir un habeas data

Descriptor: Mora

Restrictor: Debe haber un tiempo definido para que los datos de una persona en estado de morosidad permanezcan en dicho registro

Descriptor: Pretensión constitucional

Restrictor: Admitida contra actos y omisiones de particulares de los cuales puedan emanar actos limitativos de derechos constitucionales

Descriptor: TRIBUNALES ORDINARIOS

Restrictor: Corresponde resolver los casos concretos tomando como parámetro la ley y la Constitución; Corresponde solventar los derechos constitucionales que se constituyan en el centro del litigio

Anotación: Corresponde, en primera instancia, a los tribunales ordinarios resolver los casos concretos tomando como parámetro no sólo la ley sino también la propia Constitución e indirectamente solventar los derechos constitucionales que explícita o implícitamente se constituyan en el centro del litigio.

Anotación: El acto de autoridad tiene ahora una connotación material, más que formal, en el entendido que el acto contra el que se reclama es capaz de causar un agravio constitucional, independientemente del órgano o la persona que lo realiza.

Anotación: Ahora se admite la pretensión constitucional también contra actos y omisiones de particulares de los cuales puedan emanar actos limitativos de derechos constitucionales, como si se tratase de actos de autoridades formales, por encontrarse quienes los efectúan, de hecho o de derecho, en una posición de poder.

Anotación: Los presupuestos básicos para la procedencia del proceso de amparo contra particulares, son: que el particular responsable del acto se encuentre en una situación de poder; que el acto u omisión sea parte del ámbito de constitucionalidad y que no existan mecanismos judiciales o administrativos de protección frente a actos de esa naturaleza; o que de haberlos, sean ellos insuficientes para garantizar los derechos del afectado o se hayan agotado plenamente para remediar el acto contra el cual reclama.

Anotación: El habeas data constituye el mecanismo o instrumento que protege al individuo contra el uso ilegal o indebido de los datos personales de un individuo por parte de entidades públicas o privadas, tutelando de una forma eficaz el derecho a la autodeterminación informativa.

Anotación: El habeas data constituye una garantía cuyo fundamento en la normativa constitucional responde a la necesidad de los sujetos de proteger sus derechos ante la amenaza del acceso y uso indiscriminado de sus datos personales.

Anotación: El habeas data es un instrumento judicial que entra en funcionamiento a petición de parte, cuando ésta ha cumplido con el requisito prejudicial de solicitar a la empresa que posee o maneja sus datos personales, le exhiba los mismos con el objeto de verificar los que han sido incluidos en los ficheros automatizados y comprobar la veracidad de los mismos.

Anotación: La protección del derecho a la autodeterminación informática puede ser efectuada a través del proceso constitucional de amparo, no importando la naturaleza de la empresa o ente a quien se le atribuya la vulneración de dicho derecho.

Anotación: El contenido del derecho a la intimidad personal hace referencia al ámbito que se encuentra reservado ad intra de cada persona, en el que se originan los valores, sentimientos, etc., vinculados a la propia existencia de su titular y cuyo conocimiento importa únicamente a éste y en su caso, a un círculo concreto de personas seleccionadas por el mismo.

Anotación: El derecho a la intimidad ha ido perdiendo su carácter exclusivamente individual y asumido con mayor fuerza un papel colectivo y social importante, sin que ello signifique la eliminación de la nota que identifica tal carácter –la individualidad– pues ésta se integra con un contenido público que viene a definirla y a complementarla frente a las nuevas circunstancias que van generándose en el tiempo.

Anotación: Existe una manifestación del derecho a la intimidad, que es precisamente el derecho a la protección de los datos y consiste en que el individuo pueda controlar el uso o tratamiento de los mismos, a fin de impedir una lesión a su esfera jurídica.

Anotación: El derecho a la autodeterminación informática o derecho a la intimidad informática es aquel que tiene por objeto preservar la información individual que se encuentra contenida en registros públicos o privados, especialmente la almacenada a través de los medios informáticos, frente a su utilización arbitraria.

Anotación: El derecho a la intimidad en el ámbito informático implica lo siguiente: que todo individuo tiene derecho de acceder a la información personal y especialmente a aquella que se encuentre contenida en bancos de datos informatizados; que todo individuo ha de tener la posibilidad y el derecho a controlar, de forma razonable, la transmisión o distribución de la información personal que le afecte; y que debe existir, en el ordenamiento jurídico, un proceso o recurso que permita hacer efectivos los puntos señalados.

Anotación: En el ámbito público o comercial, algunas instituciones y la mayoría de empresas mercantiles, requieren para su información de ciertos datos personales, que si bien resulta ser una injerencia en el círculo íntimo de una persona, ésta cobra validez cuando se trata de cumplir con una finalidad específica para la que fue creada; o cuando, para efecto de alguna negociación financiera o comercial, se pretenda resguardar el capital de la empresa.

Anotación: Para suscribir contratos mercantiles, ambas partes requieren conocer su situación financiera y crediticia, lo cual, al reflejar su comportamiento en relaciones previas de igual o similar naturaleza, será determinante para la confiabilidad recíproca en el cumplimiento de la obligación que se pretende contraer.

Anotación: Respecto al derecho a la intimidad, existe la obligación para todos aquellos que almacenan y sistematizan datos personales en registros ad-hoc, de seleccionar los datos que reflejen la verdadera situación jurídica del individuo; de allí, que todo banco de datos debe adoptar las medidas de seguridad adecuadas para garantizar la inviolabilidad o inalterabilidad de la información en él contenida, se trate de bancos públicos o privados, debiendo establecerse un régimen de responsabilidad ante su uso indebido.

Anotación: Todo dato que refleje el estado de morosidad de un sujeto de crédito, que se encuentra incorporado en un registro público o privado, y cuyo uso y manejo responda a una finalidad justificada, no debe permanecer en el mismo durante un tiempo indefinido, ya que, la inmortalización de la morosidad puede afectar futuras contrataciones crediticias de dicho sujeto.